V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qwwuyu
V2EX  ›  Android

请问服务配置有 ca 机构颁发的 https 证书,安卓的 https 请求是否还可以被中间代理攻击?

  •  1
     
  •   qwwuyu · 2019-12-04 16:10:49 +08:00 · 10798 次点击
    这是一个创建于 1849 天前的主题,其中的信息可能已经有所发展或是发生改变。
    现在使用安卓项目使用 https,使用 Fiddler 代理的话,会抛出证书效验失败。
    中间人代理可以模拟 ca 机构的所有操作么?
    还是说手机上内置了 ca 机构的初始证书,中间代理无法破解手机向 ca 机构的请求。
    第 1 条附言  ·  2019-12-04 21:23:01 +08:00
    想通了,需要篡改手机根证书,正常情况(非代码取消效验等其他情况)直接使用 https 就好了...
    16 条回复    2019-12-04 21:48:09 +08:00
    qwwuyu
        1
    qwwuyu  
    OP
       2019-12-04 16:13:15 +08:00
    2B 了, 肯定是不能代理的,不然浏览器早 GG 了..
    wangyzj
        2
    wangyzj  
       2019-12-04 16:22:36 +08:00
    正向代理不会
    eason1874
        3
    eason1874  
       2019-12-04 16:38:18 +08:00 via Android
    可信 CA 的存在就是为了防中间人,你说呢?
    crclz
        4
    crclz  
       2019-12-04 17:40:49 +08:00
    建议简单但系统的了解一下 ssl 和 ca 分别解决了什么问题
    morethansean
        5
    morethansean  
       2019-12-04 17:42:57 +08:00   ❤️ 1
    ca 机构的根证书是内置的,中间代理软件会让你安装它自己的证书去劫持啊。
    chennqqi
        6
    chennqqi  
       2019-12-04 17:45:18 +08:00
    https 不能解决的是本地证书被替换的问题
    mouyase
        7
    mouyase  
       2019-12-04 17:52:55 +08:00 via Android   ❤️ 1
    客户端开发的时候,不要信任用户证书,就不会被攻击了,否则可以通过装证书实现中间攻击
    jadec0der
        8
    jadec0der  
       2019-12-04 18:26:18 +08:00   ❤️ 2
    建议系统了解下 SSL 的机制,证书和根证书的区别,fiddler 提供根证书,装了就能中间人 https 了
    NerverLibis
        9
    NerverLibis  
       2019-12-04 18:39:49 +08:00 via iPhone   ❤️ 1
    可以攻击 dh 算法少于 2048 位可被中间人握手攻击 常见于 sslv3 tsl1
    mouyase
        10
    mouyase  
       2019-12-04 18:59:14 +08:00
    补充一个,root 后可以信任第三方证书
    dosmlp
        11
    dosmlp  
       2019-12-04 19:36:05 +08:00
    在保证端安全的情况下可以
    annoy1309
        12
    annoy1309  
       2019-12-04 20:47:31 +08:00   ❤️ 1
    如果这个中间人有作恶的实力(比如直接或者间接控制 /干预某个根 CA )还是可以做到的,所以做好的方法还是 PGP 之类,将加密链掌握在自己手里
    ilotuo
        13
    ilotuo  
       2019-12-04 21:06:59 +08:00
    我理解是中间人也装了 CA 证书就可以。
    如果客户端要确认服务端身份,可以做个单向验证。
    qwwuyu
        14
    qwwuyu  
    OP
       2019-12-04 21:19:08 +08:00
    5L 应该是正确的.. 正常情况下用户没法被代理攻击
    jimages
        15
    jimages  
       2019-12-04 21:45:02 +08:00 via iPhone   ❤️ 1
    看似安全,实际上用户可能会被诱导安装根证书(而且用户非常容易被诱导)。所以大厂都不只依靠 https 做安全校验,要么是检验证书指纹,要么是数据打上签名……balabala 等待方案
    lululau
        16
    lululau  
       2019-12-04 21:48:09 +08:00 via iPhone
    首先,得明白,用户自己通过代理看到 https 流量的明文(方法就是用户主动信任了代理软件“伪造”的 ca 证书),这个不叫“中间人攻击”
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2446 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 16:06 · PVG 00:06 · LAX 08:06 · JFK 11:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.