查看: 2328| 回复: 12
收起左侧

HTTPS传输的信息在加密之前是否有安全隐患 (比如使用VPN)

窗外一棵树 | 显示全部楼层
本楼:   👍  2
67%
33%
1   👎
全局:   623
97%
3%
21

注册一亩三分地论坛,查看更多干货!

您需要 登录 才可以下载或查看附件。没有帐号?注册账号

x
本帖最后由 窗外一棵树 于 2021-11-14 00:12 编辑

发现地里居然有专门的板块,想请教大家一个问题。我看到网上几乎绝大多数关于https安全的介绍都是在讲加密的好处以及certificate的作用。

但几乎没有人讨论加密之前怎么办或者具体加密是在什么时候发生的。

假设说下载了一些不知名的VPN软件或者一些shadow socks / clash的之类的,我们不考虑这些软件提供者会不会这么做的问题,仅从技术的角度上,这些软件是否有能力读取https加密之前的信息从而造成窃取账户等等呢?还是说主流的浏览器都是确保加密之前的信息不会被任何其他应用读取?

如果有详细些介绍或依据也欢迎提供。非常感谢 🙏
徐思涵 2022-1-11 09:11:46 | 显示全部楼层
本楼:   👍  1
100%
0%
0   👎
全局:   63
82%
18%
14
VPN只是外层又封了一层包。
正常数据基本就是  data外面一层tcp/udp外面一层Ip再一层MAC
VPN 则把上面内容当作data 再tcp/udp再IP再MAC

http在应用层。https则是在应用层和传输层加个安全层。
所以还没在VPN中传输前就已经封包了。(仅讨论VPN本身,排除VPN携带其他木马病毒之类的。)

评分

参与人数 1大米 +3 收起 理由
Giotto12138 + 3 欢迎分享你知道的情况,会给更多积分奖励!

查看全部评分

回复

使用道具 举报

本楼:   👍  1
100%
0%
0   👎
全局:   991
90%
10%
109
窗外一棵树 发表于 2021-11-14 08:04:53
区别在于VPN接管流量是在路由器之前的啊  路由器也不需要在本地装软件  严格意义上我想问的这种情况可能不完全算中间人攻击。更多是在问VPN等一众软件有没有在tls加密之前读取明文内容的能力
并没有区别,vpn可以看作是一种特殊的路由器,主要的工作还是进行包的转发,在vpn服务器端解码之后的路由器看到的内容和vpn客户端看到的内容一样多。
tls加密传输可以分为三个阶段,密钥交换前,密钥交换,密钥交换后。交换前,只有明文,这里仅包含身份信息,交换后则只有密文,没有密钥就什么也看不到。而密钥交换算法则保证了在公开信道上交换密钥的安全性,没有设备在有限时间内找到密钥。所以唯一能拿到密钥的方法就是冒充服务器端的身份,然后去充当透明代理。但证书认证体系则保证了别人无法冒充,所以浏览器对非认证的证书会告警,因为有潜在的泄密风险。
如果要深入了解这里的逻辑关系,可以去看一本叫做通用密码学的教科书,看懂了这本书,基本上关于加解密方面的常识就都了解了。稍微用心琢磨一下的话,一些关于加解密的应用也都能搞明白,不管是加密传输,还是身份认证,甚至也可以了解加密货币是怎么回事,也可以理解为什么潘建伟的量子加密通信是个大忽悠
回复

使用道具 举报

本楼:   👍  1
100%
0%
0   👎
全局:   991
90%
10%
109
有没有安全隐患不好说,但你考虑的问题不存在。https及tls设计的目标就是防中间人攻击的,如果vpn能看到内容,那么路由器也能,那https就没有意义了。
如果需要了解其原理,那么上网查一下密钥交换算法就能明白了。

补充内容 (2021-11-14 12:57 +08:00):
当然还有一个隐患,就是如果你要访问的网站没有使用证书认证,那么理论上这些不知名的软件是有能力伪造证书的,这是一种中间人攻击的手法。通过伪造的证书,交换密钥后,你拿到实际上是攻击者发的密钥,那么你的内容就全部可见了
回复

使用道具 举报

本楼:   👍  0
0%
0%
0   👎
全局:   8
80%
20%
2
IMHO 可能需要一台量子计算机?
回复

使用道具 举报

 楼主| 窗外一棵树 2021-11-14 03:26:15 | 显示全部楼层
本楼:   👍  0
0%
0%
0   👎
全局:   623
97%
3%
21
CottonyBriana 发表于 2021-11-14 02:42
IMHO 可能需要一台量子计算机?

你可能说的是破解加密的信息 帖子里想问的并不是加密信息能否被解密的问题  而是从技术上第三方软件是否有在https加密发生之前读取明文信息的能力
回复

使用道具 举报

duao119 2021-11-14 13:37:53 | 显示全部楼层
本楼:   👍  0
0%
0%
0   👎
全局:   1098
99%
1%
14
https://stackoverflow.com/questions/37791013/https-uses-asymmetric-or-symmetric-encryption
回复

使用道具 举报

 楼主| 窗外一棵树 2021-11-15 00:04:53 | 显示全部楼层
本楼:   👍  0
0%
0%
0   👎
全局:   623
97%
3%
21
leo.nan 发表于 2021-11-14 12:53
有没有安全隐患不好说,但你考虑的问题不存在。https及tls设计的目标就是防中间人攻击的,如果vpn能看到内 ...
如果vpn能看到内容,那么路由器也能,那https就没有意义了。


区别在于VPN接管流量是在路由器之前的啊  路由器也不需要在本地装软件  严格意义上我想问的这种情况可能不完全算中间人攻击。更多是在问VPN等一众软件有没有在tls加密之前读取明文内容的能力
回复

使用道具 举报

cutehuazai 2021-11-15 01:49:11 | 显示全部楼层
本楼:   👍  0
0%
0%
0   👎
全局:   1443
96%
4%
53
VPN难道不是相当于一个proxy吗,你的http message在离开你的电脑前就已经完成encryption了,vpn做的部分是不touch http那一层的,最多是隐藏你的source ip。
回复

使用道具 举报

t__c___ 2021-11-15 02:09:03 来自APP | 显示全部楼层
本楼:   👍  0
0%
0%
0   👎
全局:   1560
97%
3%
50
我觉得楼主关心的是encryption at the rest那部分 https保障的是transportation layerprotection
我司的实践是双层都有 data本身要加密 并不会在https前后解密加密 只有data的producer和consumer有密钥去获取plain data
回复

使用道具 举报

学姐控 2021-11-15 22:45:47 | 显示全部楼层
本楼:   👍  0
0%
0%
0   👎
全局:   1081
98%
2%
26
t__c___ 发表于 2021-11-14 13:09
我觉得楼主关心的是encryption at the rest那部分 https保障的是transportation layerprotection
我司的实 ...

没毛病,但data in storage和data in memory呢,client side在输入和处理的时候总得是明文吧。我觉得针对LZ的concern只能是具体问题具体分析了。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册账号
隐私提醒:
  • ☑ 禁止发布广告,拉群,贴个人联系方式:找人请去🔗同学同事飞友,拉群请去🔗拉群结伴,广告请去🔗跳蚤市场,和 🔗租房广告|找室友
  • ☑ 论坛内容在发帖 30 分钟内可以编辑,过后则不能删帖。为防止被骚扰甚至人肉,不要公开留微信等联系方式,如有需求请以论坛私信方式发送。
  • ☑ 干货版块可免费使用 🔗超级匿名:面经(美国面经、中国面经、数科面经、PM面经),抖包袱(美国、中国)和录取汇报、定位选校版
  • ☑ 查阅全站 🔗各种匿名方法

本版积分规则

>
快速回复 返回顶部 返回列表