论坛 › ＰＣ数码 › Google HTTPS 连接在中国大陆教育网遭到SSL中间人攻击

賀茂芽依 发表于 2014-9-3 15:11

ostcollector 发表于 2014-9-3 15:30

偶尔出现
正在充电寻机滚蛋

ak47159754 发表于 2014-9-3 15:31

=-=壮哉我大GFW

sd4002991 发表于 2014-9-3 15:36

傻逼GFW，用个学术搜索还要连VPN

258921 发表于 2014-9-3 15:41

ipv6.google.com暂时还没事。

ryans233 发表于 2014-9-3 17:47

@chenshaoju

sha 发表于 2014-9-3 18:27

@陈少举

----发送自 STAGE1 App for Android.

dahuatttt 发表于 2014-9-3 23:27

那么,ipv4目前安全不?

qwased 发表于 2014-9-4 00:12

GFW攻克IPV6的时候，就是开始推广IPV6的那一天吧

midearth 发表于 2014-9-4 00:41

qwased 发表于 2014-9-4 00:12
GFW攻克IPV6的时候，就是开始推广IPV6的那一天吧

原来如此

Gato_shin 发表于 2014-9-4 00:42

SSL被中間人？證書怎麼驗證的？

113 发表于 2014-9-4 00:52

Gato_shin 发表于 2014-9-4 00:42
SSL被中間人？證書怎麼驗證的？

国内有中间的厂商，它们是受根信任的，假冒Google，然后电脑一查，根受信任，OK，能干这种事的基本只有国家了

Gato_shin 发表于 2014-9-4 08:14

113 发表于 2014-9-4 00:52
国内有中间的厂商，它们是受根信任的，假冒Google，然后电脑一查，根受信任，OK，能干这种事的基本只有国 ...

那幾個默認受信的根證書提供商有受TG控制的？

hxy8241 发表于 2014-9-4 08:31

引用第13楼Gato_shin于2014-09-04 08:14发表的:
引用:113 发表于 2014-9-4 00:52国内有中间的厂商，它们是受根信任的，假冒Googl......

@Gato_shin
Cnnic就有根，很久以前就有人禁用这个了。

----发送自 nubia NX403A,Android 4.4.4

Gato_shin 发表于 2014-9-4 09:02

hxy8241 发表于 2014-9-4 08:31
@Gato_shin
Cnnic就有根，很久以前就有人禁用这个了。



哦，懂了
從根上爛那還真是能做到這程度
多謝

heyeshuang 发表于 2014-9-4 15:28

Gato_shin 发表于 2014-9-4 09:02
哦，懂了
從根上爛那還真是能做到這程度
多謝

不不不，现在还没烂到这种程度，只是自己造了张贴上去了而已
假证在这：https://gist.github.com/heyeshuang/b6a3e523ee6e4baec204

Gato_shin 发表于 2014-9-4 16:31

heyeshuang 发表于 2014-9-4 15:28
不不不，现在还没烂到这种程度，只是自己造了张贴上去了而已
假证在这：https://gist.github.com/heyeshu ...

問題這樣證書都不會紅嗎？

heyeshuang 发表于 2014-9-4 16:52

会呀
……所以我便是估不到GFW的思路了，是要引诱我们添加例外？

heyeshuang 发表于 2014-9-4 16:54

Gato_shin 发表于 2014-9-4 16:31
問題這樣證書都不會紅嗎？

另外从根上烂的情况firefox也有对策了：http://www.solidot.org/story?sid=40907&threshold=0

Gato_shin 发表于 2014-9-4 17:48

ostcollector 发表于 2014-9-4 19:47

113 发表于 2014-9-4 00:52
国内有中间的厂商，它们是受根信任的，假冒Google，然后电脑一查，根受信任，OK，能干这种事的基本只有国 ...

不不不，受到攻击的时候FF直接弹错误的

mono 发表于 2014-9-5 04:11

用CNNIC伪造是大招, 等闲不会用的
做个替换的测试倒有可能

113 发表于 2014-9-5 20:26

ostcollector 发表于 2014-9-4 19:47
不不不，受到攻击的时候FF直接弹错误的

这个不清楚了，反正我在12年还在读大学（顺便我学的就是信息安全）的时候导师这么跟我讲的，还用自己搭建的服务器给我们进行了演示，是可以骗过浏览器（IE8）的

113 发表于 2014-9-5 20:26

ostcollector 发表于 2014-9-4 19:47
不不不，受到攻击的时候FF直接弹错误的

这个不清楚了，反正我在12年还在读大学（顺便我学的就是信息安全）的时候导师这么跟我讲的，还用自己搭建的服务器给我们进行了演示，是可以骗过浏览器（IE8）的

113 发表于 2014-9-5 20:28

Gato_shin 发表于 2014-9-4 17:48
我從最初就覺得證書會紅（這是中間人攻擊很難避免的問題）
現在想想我覺得13樓好像並不懂，當時也沒細想 ...

能说说在不启用20楼贴出的方案的前提下为什么会红吗

Gato_shin 发表于 2014-9-5 20:55

本帖最后由 Gato_shin 于 2014-9-5 21:01 编辑

113 发表于 2014-9-5 20:28
能说说在不启用20楼贴出的方案的前提下为什么会红吗
你應該知道證書的結構和ssl的握手過程吧
你不拿到google的私鑰你怎麼靠google的證書和客戶握手成功
你不用google的證書的話你怎麼讓FF在訪問google時候不紅
20樓方案之前，從根本上說，域名和證書必須匹配，不管是IE還是FF
那麼想要訪問google不紅，這個證書就必須是發給google的
但是除非是可信任根發出來的，否則任何私發給google的證書必然也是通不過
那你可以給我解釋一下13樓的具體實現方式嗎

我SSL研究得少，只能想到由一個可信任的根發一個給google的偽證書做中間人這種技術層面合理的方式，因為這樣的證書從技術上來說是個“真”的證書
自己搭服務器做SSL中間人這事我在工作上也弄過，能不用在客戶機上做任何手腳不紅的方法請務必告訴我

鸡蛋灌饼 发表于 2014-9-6 02:31

本帖最后由 鸡蛋灌饼 于 2014-9-6 03:16 编辑

Gato_shin 发表于 2014-9-5 20:55
你應該知道證書的結構和ssl的握手過程吧
你不拿到google的私鑰你怎麼靠google的證書和客戶握手成功
你不用 ...签个强行宣称自己是Google，完事

再补充一点，即使不是根，但只要能给人签那就可以伪造Identity
这也是PKI为人诟病的一点：一烂全烂，只要拿下一个能签的私钥那全体完蛋，

Gato_shin 发表于 2014-9-6 08:38

鸡蛋灌饼 发表于 2014-9-6 02:31
签个强行宣称自己是Google，完事

再补充一点，即使不是根，但只要能给人签那就可以伪造Identity


簽個強行宣稱自己是Google

那說到底不是根也還是要手握一個CA，沒必要說得那麼繞

你的全家 发表于 2014-9-6 10:17

中间人艹google又不是第一次了 法国人也玩过的……
    —— from S1 Nyan (NOKIA Lumia 820)

113 发表于 2014-9-6 13:15

就是可信根发出来中间ca伪造成Google不就行了

----发送自 STAGE1 App for Android.

查看完整版本: Google HTTPS 连接在中国大陆教育网遭到SSL中间人攻击