[shlug] gmail 邮箱突然不能登录

[Ben Luo]

gmail 邮箱突然不能登录，现在改了密码。有什么办法可以看出自己gmail里有没有被人动过？

发生这种事情的原因是什么？

[Icat]

Last account activity: 37 minutes ago on this computer. Details <--

2010/4/24 Ben Luo <ben...@gmail.com>:

> gmail 邮箱突然不能登录，现在改了密码。有什么办法可以看出自己gmail里有没有被人动过？
>
> 发生这种事情的原因是什么？
>

--
Subscription settings: http://groups.google.com/group/shlug/subscribe?hl=zh-CN

[wanglei]

还是 g.cn 好，这几天 google.com.hk 搜索经常被盾。

Ben Luo said the following on 04/24/2010 08:28 PM http://wanglei.host.sk/ 写道:
> gmail 邮箱突然不能登录，现在改了密码。有什么办法可以看出自己gmail里有没有被人动过？
>
> 发生这种事情的原因是什么？
>
>

[Marco]

同问， gtalk也突然不能访问。

翻墙登录， 要求图形验证码， 随后恢复正常。

2010/4/24 Ben Luo <ben...@gmail.com>

gmail 邮箱突然不能登录，现在改了密码。有什么办法可以看出自己gmail里有没有被人动过？

发生这种事情的原因是什么？

--
LinuX
Violin
Canon EOS

[sailer shen]

刚才我第一次登录的时候也说密码错误，第二次输入同样的密码，再加图形验证就ok了。

[Xi Shen]

这几天google doc时不时的可以上。。。还不错


--
Best Regards,
David Shen

http://twitter.com/davidshen84/

[Riku]

难道是 Google 出问题了？ 昨天我也碰到了同样的问题，改密码后才能登录，还以为是被入侵了呢。

2010/4/25 Xi Shen <david...@googlemail.com>

[Xi Shen]

2010/4/25 Riku <lu....@gmail.com>:

> 难道是 Google 出问题了？ 昨天我也碰到了同样的问题，改密码后才能登录，还以为是被入侵了呢。
>

我没有被要求改密码。只是被log off了，要重新sign in一次

[Roy]

难道是截取你第一次的登入密码？？？？

越说越邪乎

2010/4/24 sailer shen <saile...@gmail.com>

[Xi Shen]

2010/4/26 Roy <gregori...@gmail.com>:
> 难道是截取你第一次的登入密码？？？？
>
> 越说越邪乎
>

我发现我的gmail被两个IP断的机器登录过：222.64.8x.xxx，58.38.71.115

不看不知道。。。一看真邪乎！

查了一下，这两个IP都是上海的。我家里是上海，闽行电信。不知道这两个IP是不是都是电信的。

--
Best Regards,
David Shen

http://twitter.com/davidshen84/

[小马xiaoma]

https, 理论上说是截取不了的。

[sala tech]

桥接个设备就可以了...什么ssh，什么https，什么ftps...没研究过原理，怕怕~

[Yongwei Wu]

没研究过原理，就不要上来找拍。

如果没有理论和实现上的漏洞的话，HTTPS是不怕中间人攻击的。只要两端的设
备都安全就行了。

2010/4/26 sala tech <sala...@gmail.com>:

--
Wu Yongwei
URL: http://wyw.dcweb.cn/

[sala tech]

没吃过猪肉还没见过猪跑不成，我也没搞明白是怎么劫持的，但是人家把设备桥接到链路中，就是能截获你的ssh，哼哼~~俺眼睁睁的看着那个数据呀，chuachua滴现出原形~~

[Icat]

截获数据P用啊, 一堆加密的数据能干嘛

2010/4/26 sala tech <sala...@gmail.com>:

[Yongwei Wu]

对于SSH，如果第一次建立连接时，就有桥接的监听设备，那是可能会出问题
的。但如果以前直接连接过服务器，则劫持会产生一个错误，连接发起端必须人
工删除原有服务器的公钥，才能够成功连接。

HTTPS则连这样的问题都没有。如果CA是可信任的，不会给劫持者颁发合法的证
书，则浏览器无法正确连接服务器，除非你人工接受一大堆非常显眼的警告。

还是那句话，不懂原理，不要上来瞎扯。这儿是讨论技术的，不是来让你扯淡的。

2010/4/26 sala tech <sala...@gmail.com>:
> 没吃过猪肉还没见过猪跑不成，我也没搞明白是怎么劫持的，但是人家把设备

[sala tech]

你这不是逼我和你抬杠么~那就讲技术，那么多内置的受信CA，搞定其中一个颁发个目标服务器的证书出来给MM用，还会弹出警告不？我真没研究过，您给讲讲。
真看不得你这种人，懂点技术就张牙舞爪的说教。要我说你丫才扯淡呢，要不凭啥张口就说别人扯淡呀，你有本事再给我装个道貌岸然憋着别回骂让我看看~~
我结识的搞技术的都挺谦虚的，就算我是菜鸟中的僧鸟，但这里搞技术的那么多，未必都没你厉害吧，也没见哪个像你这么说话呼三喝四动不动就上纲上线的~讨论技术就非得一本正经？您老学究呀，用不用正襟端坐摇头晃脑？干脆提前三天沐浴斋戒得了。真烦人!
咱向来敬佩真正搞技术的，所以我这么说你自己都觉得内疚，叫我情何以堪呐~不知道您教育菜鸟的时候有没有这感觉。
其实这我还觉得憋屈呢，因为看你是个20年的老程序员了，可能年龄比我大，想想把前面用来加重语气表达不满的什么“tmd”、“我呸”之类都删了，要不自己都觉得不好意思。
唉，这么多年了，头一回把气氛整的这么不和谐。对不住了兄弟们，就当我喝多了~！ ^_^

[Icat]

楼上淡定, 你一上来就未成年人的语气是有点扯了..
这边毕竟是技术型的maillist, 就算OT的也是过了脑子的发言
如果你还未成年则无可厚非,但以后发言最好是注意些
如果已经工作多年,那么请多反思一下

2010/4/27 sala tech <sala...@gmail.com>:

[Terry Wang]

看到最近有组织有预谋钓鱼，尤其是针对Google Account和Gmail，大家提高警惕。

@zuola 关于117.8.207.89这台钓鱼主机的更详细信息，请看匿名高手抓下的数据 http://zuo.in/bc3y5C 7zip
格式，356K， 欢迎高手进一步分析钓鱼者

https://twitter.com/zuola/status/12871084167

[Thomas Iverson]

2010/4/26 Yongwei Wu <wuyo...@gmail.com>:

> 对于SSH，如果第一次建立连接时，就有桥接的监听设备，那是可能会出问题
> 的。但如果以前直接连接过服务器，则劫持会产生一个错误，连接发起端必须人
> 工删除原有服务器的公钥，才能够成功连接。
>
> HTTPS则连这样的问题都没有。如果CA是可信任的，不会给劫持者颁发合法的证
> 书，则浏览器无法正确连接服务器，除非你人工接受一大堆非常显眼的警告。
>
> 还是那句话，不懂原理，不要上来瞎扯。这儿是讨论技术的，不是来让你扯淡的。

吴大哥措辞严厉了一些，sala蛋定

--
ghosTM55
Shanghai Linux User Group

Keep It Simple Stupid
http://www.ghosTunix.org
http://facebook/ghosTM55
http://twitter.com/ghosTM55

[Shell Xu]

很明显，这俩都没来上周末的聚会，我正好讲到这个问题。而且说的很明白，要出问题就是cnnic。借助内置信任和dns欺骗发起man in mid攻击。而且google离开中国事件前后，他们的确换过一次证书。结合他们自称受到攻击，推测证书被破解/泄密不是没有道理的。然而我用下来的直觉推测是，他们正在改进密码和安全算法。原因是多方面的，在此不展开，有心的可以联系国外用户验证一下，看看他们有没有感觉。
至于技术之外，淡定，少骂娘，心平气和。

在 2010-4-27 上午12:13，"Icat" <ica...@gmail.com>编写：

楼上淡定, 你一上来就未成年人的语气是有点扯了..
这边毕竟是技术型的maillist, 就算OT的也是过了脑子的发言
如果你还未成年则无可厚非,但以后发言最好是注意些
如果已经工作多年,那么请多反思一下

2010/4/27 sala tech <sala...@gmail.com>:

> 你这不是逼我和你抬杠么~那就讲技术，那么多内置的受信CA，搞定其中一个颁发个目标服务器的证书出来给MM用，还会弹出警告不？我真没研究过，您给讲讲。

> 真看不得你这种人，懂点技术就张牙舞爪的说教。...

[Yongwei Wu]

我前面的回复说得很明白，不考虑理论上的突破和实现上的漏洞，HTTPS不会因为中间有桥接设备而受到破坏。攻击者必须攻击两端。什么意思呢？要么你能够让客户端错误地信任你（把它的根证书和公钥塞进来，如大家怀疑CNNIC可能会做的）；要么你能够从服务器端窃取它的证书和私钥。

换证书而不Revoke原先的证书应该是没用的吧？我和Google员工有一些接触，但没能确认换证书和受攻击是否有关。就算有，这估计也是绝密级别，一般员工不会知道。

2010/4/27 Shell Xu <shell...@gmail.com>:

--

Wu Yongwei
URL: http://wyw.dcweb.cn/

--
Subscription settings: http://groups.google.com/group/shlug/subscribe?hl=zh-CN

[Chaos Eternal]

revoke证书是需要通知到每个使用者的，而在revoke证明拿到之前，该被revoke的证书是一直有效的。

至于对同一个cn发的多个证书，只要签名、有效期 条件符合，那就都是有效的。不存在需要把前一个revoke掉后一个才生效的说法。

2010/4/27 Yongwei Wu <wuyo...@gmail.com>:

[Yongwei Wu]

我的意思是，Google没有Revoke原先的证书，那似乎表明原先的证书没有泄漏。否则，劫持者仍可以使用该证书进行劫持。

2010/4/27 Chaos Eternal <chaose...@shlug.org>:

[Yongwei Wu]

你读得懂中文吗？写得很清楚：“如果CA是可信任的，不会给劫持者颁发合法的证书……”

CA是信任链中比较脆弱的一环，有些CA在审核时并没有足够严密。无论如何，现在还没CA随便给人颁发一个“*.google.com”的证书吧。

你有合理的观点你可以提。别人觉得你的观点错误，就会反驳。如果你不加思考、没有根据地乱说话，就会被骂。这在哪里都一样。

至于一被说就暴跳如雷，我就不做评论了。

2010/4/27 sala tech <sala...@gmail.com>:

[Shell Xu]

实话说看不出什么来。
1.我在机器上查询dns，返回结果是google的IP。
2.上面的数据下载看过了，是一堆页面和账户/密码数据。这些内容最多说明账户被入侵了，而无法说明账户怎么被入侵的。
不过鉴于的确存在这种可能性，建议大家上gmail还是要通过加密线路。反正我从google说要离开的时候，就准备好加密访问/放弃gmail的准备了。

--
与其相濡以沫，不如相忘于江湖

[Shell Xu]

恩，https的理论上是不怕中间人攻击的，但是不代表gmail使用了https就不会受到攻击。因为这里的一个条件，cnnic的信任，已经达成了。
让我们说的更明白点，假定中国政府要求cnnic为某个钓鱼站点颁发一个mail.google.com的证书，并且要求所有的DNS服务器更改域名指向，并劫持所有的外发DNS请求，结果会如何？
应该能把全中国没有加其他安全手段的gmail用户全钓起来吧。
虽然从我各种方面的感觉来说，最近的问题并不是出现了上述情况，而更像是google自身在调整安全系统。
至于google为什么没有把它的老证书revoke掉，我不知道。这不代表google没有受到攻击，也不代表受到了攻击，更多情况下是基于企业保密问题而做出的决策。

--
与其相濡以沫，不如相忘于江湖

[Shell Xu]

ssh的问题则是，首次连接时会提示对方的fp，这个fp是否真的是对端服务器的fp？除非有其他途径验证，否则是不知道的。因此，这个fp可能是中间人的，从而达成中间人攻击。而https在连接时，会根据你已经信任的CA去逐步验证这个签名的真实性。所以没有这个问题，反而是对已信任CA的攻击更加重要一些。
其实这个楼已经歪了，因为LZ在讨论的是最近gmail的种种异像是否说明了gmail正在被大规模的钓鱼攻击。我的结论是，不能排除这种可能，但是从现象来看并不是。

在 2010年4月26日 下午10:12，Yongwei Wu <wuyo...@gmail.com>写道：

--
与其相濡以沫，不如相忘于江湖

[sala tech]

唉，您还真回了。关于你这句话“如果你不加思考、没有根据地乱说话，就会被骂“，再配合您之前表现出来的姿态，明显就是无赖的逻辑，谁规定
乱说就可以被骂，您又凭什么确定人家是乱说？凭您的个人喜好？您的根据在哪？再说这也不符合您学究的身份丫，建议您也思考一下。
BTW，我懂中文，但那个CA可信的条件是你自己增加的，俺阐述的时候可没说什么CA可信之类的限定条件，因此请不要把我的阐述加上你的限定条件后再来证明我的错误。

关于上面提到的技术问题，我看大家也没什么根本分歧，再扯没用的就太没水平了。咱没啥贡献，但也不想继续破坏了。还是继续就正事儿盖楼吧！我不说了，您请。

[MingBai]

cnnic�����򲻵��ѵ�ʱ��Ӧ�ò����������°ɣ��û�Ⱥ��ô�󣬱���ס֤�ݵĿ�
����̫���ˣ�����һ����ץס֤�ݵĻ�cnnic��֤��Ҳ��ȻҪ��������

�� 2010/4/27 12:58, Shell Xu �:
> ����https���������Dz����м��˹����ģ����Dz����gmailʹ����https�Ͳ�����
> ����������Ϊ�����һ��������cnnic�����Σ��Ѿ�����ˡ�
> ������˵�ĸ����׵㣬�ٶ��й�����Ҫ��cnnicΪij������վ��䷢һ��
> mail.google.com <http://mail.google.com>��֤�飬����Ҫ�����е�DNS������
> �������ָ�򣬲��ٳ����е��ⷢDNS���󣬽�����Σ�
> Ӧ���ܰ�ȫ�й�û�м�����ȫ�ֶε�gmail�û�ȫ�������ɡ�
> ��Ȼ���Ҹ��ַ���ĸо���˵���������Ⲣ���dz���������������������
> google�����ڵ���ȫϵͳ��
> ����googleΪʲôû�а������֤��revoke�����Ҳ�֪�����ⲻ���googleû����
> ��������Ҳ������ܵ��˹��������������ǻ�����ҵ��������������ľ��ߡ�
>
> �� 2010��4��27�� ����12:26��Yongwei Wu <wuyo...@gmail.com
> <mailto:wuyo...@gmail.com>>���
>
> ��ǰ��Ļظ�˵�ú����ף������������ϵ�ͻ�ƺ�ʵ���ϵ�©����HTTPS����
> ��Ϊ�м����Ž��豸���ܵ��ƻ��������߱��빥�����ˡ�ʲô��˼�أ�Ҫô��
> �ܹ��ÿͻ��˴���������㣨����ĸ�֤��͹�Կ����������һ���CNNIC
> ���ܻ����ģ���Ҫô���ܹ��ӷ���������ȡ���֤���˽Կ��
>
> ��֤���Revokeԭ�ȵ�֤��Ӧ����û�õİɣ��Һ�GoogleԱ����һЩ�Ӵ���
> ��û��ȷ�ϻ�֤����ܹ����Ƿ��йء������У������Ҳ�Ǿ��ܼ���һ��Ա
> ������֪����
>
> 2010/4/27 Shell Xu <shell...@gmail.com
> <mailto:shell...@gmail.com>>:
> > �����ԣ�������û������ĩ�ľۻᣬ����ý���������⡣����˵�ĺ���
> �ף�Ҫ���������cnnic�������������κ�dns��ƭ����man in
> > mid����������google�뿪�й��¼�ǰ�����ǵ�ȷ����һ��֤�顣�����
> ���Գ��ܵ��������Ʋ�֤�鱻�ƽ�/й�ܲ���û�е���ġ�Ȼ������������ֱ
> ���Ʋ��ǣ��������ڸĽ�����Ͱ�ȫ�㷨��ԭ���Ƕ෽��ģ��ڴ˲�չ������
> �ĵĿ�����ϵ�����û���֤һ�£�����������û�ио���
> > ���ڼ���֮�⣬�������������ƽ��͡�
> >
> > �� 2010-4-27 ����12:13��"Icat" <ica...@gmail.com
> <mailto:ica...@gmail.com>>���
> >
> > ¥�ϵ���, ��һ������δ�����˵��������е㳶��..
> > ��߱Ͼ��Ǽ����͵�maillist, ����OT��Ҳ�ǹ������ӵķ���
> > ����㻹δ�������޿ɺ��,���Ժ��������ע��Щ
> > ����Ѿ���������,��ô��෴˼һ��
> >
> > 2010/4/27 sala tech <sala...@gmail.com
> <mailto:sala...@gmail.com>>:
> >
> >> ���ⲻ�DZ��Һ���̧��ô~�Ǿͽ���������ô�����õ�����CA���㶨����
> һ���䷢��Ŀ���������֤�������MM�ã����ᵯ�����治������û�о���
> �����
> >> �濴�����������ˣ����㼼����������צ��˵�̡�...

>
>
>
> --
> Wu Yongwei
> URL: http://wyw.dcweb.cn/
>
>
> --
> Subscription settings:
> http://groups.google.com/group/shlug/subscribe?hl=zh-CN
>
>
>
>
> --

> ���������ĭ�����������ڽ���

[MingBai]

ϴϴ˯��

�� 2010/4/27 15:14, sala tech �:
> ����������ˡ���������仰������㲻��˼����û�и�ݵ���˵�����ͻᱻ����������֮ǰ���ֳ�������̬�����Ծ����������߼���˭�涨
> ��˵�Ϳ��Ա������ƾʲôȷ���˼�����˵��ƾ��ĸ���ϲ�ã���ĸ�����ģ���˵��Ҳ�������ѧ�������Ѿ��������Ҳ˼��һ�¡�
> BTW���Ҷ����ģ����Ǹ�CA���ŵ����������Լ����ӵģ���������ʱ���û˵ʲôCA����֮����޶�����������벻Ҫ���ҵIJ�����������޶�����������֤���ҵĴ���
>
> ���������ᵽ�ļ������⣬�ҿ����Ҳûʲô����磬�ٳ�û�õľ�̫ûˮƽ�ˡ���ûɶ���ף���Ҳ��������ƻ��ˡ����Ǽ�������¶��¥�ɣ��Ҳ�˵�ˣ����롣
>
> �� 2010��4��27�� ����12:39��Yongwei Wu<wuyo...@gmail.com> ���
>> ����ö�������д�ú�����������CA�ǿ����εģ������ٳ��߰䷢�Ϸ���֤�顭����
>>
>> CA���������бȽϴ�����һ������ЩCA�����ʱ��û���㹻���ܡ�������Σ����ڻ�ûCA�����˰䷢һ����*.google.com����֤��ɡ�
>>
>> ���к���Ĺ۵�������ᡣ���˾�����Ĺ۵���󣬾ͻᷴ��������㲻��˼����û�и�ݵ���˵�����ͻᱻ��������ﶼһ��
>>
>> ����һ��˵�ͱ������ף��ҾͲ��������ˡ�
>>
>> 2010/4/27 sala tech<sala...@gmail.com>:

>>> ���ⲻ�DZ��Һ���̧��ô~�Ǿͽ���������ô�����õ�����CA���㶨����һ���䷢��Ŀ���������֤�������MM�ã����ᵯ�����治������û�о��������

>>> �濴�����������ˣ����㼼����������צ��˵�̡�Ҫ��˵��Ѿ�ų����أ�Ҫ��ƾɶ�ſھ�˵���˳���ѽ�����б����ٸ���װ����ò��Ȼ���ű�������ҿ���~~
>>> �ҽ�ʶ�ĸ㼼���Ķ�ͦǫ��ģ��������Dz����е�ɮ�񣬵�����㼼������ô�࣬δ�ض�û�������ɣ�Ҳû���ĸ�������ô˵��������Ķ��������ϸ����ߵ�~���ۼ����ͷǵ�һ��������ѧ��ѽ���ò���������ҡͷ���ԣ��ɴ���ǰ������ԡի����ˡ��淳��!
>>> ��������������㼼���ģ���������ô˵���Լ��������ھΣ���������Կ���~��֪�����������ʱ����û����о���
>>> ��ʵ���һ����ñ����أ���Ϊ�����Ǹ�20����ϳ���Ա�ˣ�����������Ҵ������ǰ���������������ﲻ���ʲô��tmd���������ޡ�֮�඼ɾ�ˣ�Ҫ���Լ������ò�����˼��
>>> ������ô�����ˣ�ͷһ�ذ���������ô����г���Բ�ס���ֵ��ǣ��͵��Һȶ���~�� ^_^
>>>
>>> �� 2010��4��26�� ����10:12��Yongwei Wu<wuyo...@gmail.com> ���
>>>> ����SSH������һ�ν�������ʱ�������Žӵļ����豸�����ǿ��ܻ������
>>>> �ġ��������ǰֱ�����ӹ����������ٳֻ����һ���������ӷ���˱�����
>>>> ��ɾ��ԭ�з������Ĺ�Կ�����ܹ��ɹ����ӡ�
>>>>
>>>> HTTPS������������ⶼû�С����CA�ǿ����εģ������ٳ��߰䷢�Ϸ���֤
>>>> �飬��������޷���ȷ���ӷ�������������˹�����һ��ѷdz����۵ľ��档
>>>>
>>>> �����Ǿ仰������ԭ�?��Ҫ����Ϲ������������ۼ����ģ����������㳶���ġ�
>>>>
>>>> 2010/4/26 sala tech<sala...@gmail.com>:
>>>>> û�Թ����⻹û������ܲ��ɣ���Ҳû����������ô�ٳֵģ������˼Ұ��豸
>>>>> �Žӵ���·�У������ܽػ����ssh���ߺ�~~���������Ŀ����Ǹ����ѽ��
>>>>> chuachua���ֳ�ԭ��~~
>>>>>
>>>>> �� 2010��4��26�� ����8:40��Yongwei Wu<wuyo...@gmail.com> ���
>>>>>> û�о���ԭ�?�Ͳ�Ҫ�������ġ�
>>>>>>
>>>>>> ���û�����ۺ�ʵ���ϵ�©���Ļ���HTTPS�Dz����м��˹����ġ�ֻҪ���˵���
>>>>>> ������ȫ�����ˡ�
>>>>>>
>>>>>> 2010/4/26 sala tech<sala...@gmail.com>:
>>>>>>> �ŽӸ��豸�Ϳ�����...ʲôssh��ʲôhttps��ʲôftps...û�о���ԭ�?����~
>>>>>>>
>>>>>>> �� 2010��4��26�� ����1:05����xiaoma<cnxi...@gmail.com> ���
>>>>>>>> https, ������˵�ǽ�ȡ���˵ġ�
>>>>>>>>
>>>>>>>> �� 2010��4��26�� ����12:54��Roy<gregori...@gmail.com>���
>>>>>>>>>
>>>>>>>>> �ѵ��ǽ�ȡ���һ�εĵ������룿������
>>>>>>>>>
>>>>>>>>> Խ˵Խа��
>>>>>>>>>
>>>>>>>>> 2010/4/24 sailer shen<saile...@gmail.com>
>>>>>>>>>>
>>>>>>>>>> �ղ��ҵ�һ�ε�¼��ʱ��Ҳ˵������󣬵ڶ�������ͬ������룬�ټ�ͼ����֤��ok�ˡ�
>>>>>>>>>>
>>>>>>>>>> �� 2010��4��24�� ����10:37��Marco<chopi...@gmail.com> ���
>>>>>>>>>>> ͬ�ʣ� gtalkҲͻȻ���ܷ��ʡ�
>>>>>>>>>>>
>>>>>>>>>>> ��ǽ��¼�� Ҫ��ͼ����֤�룬 ���ָ���
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> 2010/4/24 Ben Luo<ben...@gmail.com>
>>>>>>>>>>>>
>>>>>>>>>>>> gmail ����ͻȻ���ܵ�¼�����ڸ������롣��ʲô�취���Կ����Լ�gmail����û�б��˶���
>>>>>>>>>>>>
>>>>>>>>>>>> �������������ԭ����ʲô��

[Shell Xu]

恩，所以我估计这个不会针对所有人攻击，但是针对特定的几个用户进行攻击的可能性非常高，只要给特定几个节点返回有问题的DNS结果即可。对于这种情况，被攻击对象多数反应不过来就密码没了。然后就不需要钓鱼了，因此也没什么证据留的下来。所以我这里查DNS记录的却是google的，不能说明任何问题。况且真要发动这种攻击的情况，多数是国家意志。你说cnnic是被吊销证书的好？还是干脆整个灰飞烟灭的好？

在 2010年4月27日 下午5:13，MingBai <bil...@gmail.com>写道：

cnnic不在万不得已的时候应该不会做这种事吧，用户群那么大，被逮住证据的可
能性太大了，而且一旦被抓住证据的话cnnic的证书也必然要被吊销了

于 2010/4/27 12:58, Shell Xu 写道:
> 恩，https的理论上是不怕中间人攻击的，但是不代表gmail使用了https就不会受
> 到攻击。因为这里的一个条件，cnnic的信任，已经达成了。
> 让我们说的更明白点，假定中国政府要求cnnic为某个钓鱼站点颁发一个
> mail.google.com <http://mail.google.com>的证书，并且要求所有的DNS服务器

> 更改域名指向，并劫持所有的外发DNS请求，结果会如何？
> 应该能把全中国没有加其他安全手段的gmail用户全钓起来吧。
> 虽然从我各种方面的感觉来说，最近的问题并不是出现了上述情况，而更像是
> google自身在调整安全系统。
> 至于google为什么没有把它的老证书revoke掉，我不知道。这不代表google没有受
> 到攻击，也不代表受到了攻击，更多情况下是基于企业保密问题而做出的决策。
>

> 在 2010年4月27日 下午12:26，Yongwei Wu <wuyo...@gmail.com

> <mailto:wuyo...@gmail.com>>写道：

>
>     我前面的回复说得很明白，不考虑理论上的突破和实现上的漏洞，HTTPS不会
>     因为中间有桥接设备而受到破坏。攻击者必须攻击两端。什么意思呢？要么你
>     能够让客户端错误地信任你（把它的根证书和公钥塞进来，如大家怀疑CNNIC

>     可能会做的）；要么你能够从服务器端窃取它的证书和私钥。
>
>     换证书而不Revoke原先的证书应该是没用的吧？我和Google员工有一些接触，
>     但没能确认换证书和受攻击是否有关。就算有，这估计也是绝密级别，一般员
>     工不会知道。
>

>     2010/4/27 Shell Xu <shell...@gmail.com

>     <mailto:shell...@gmail.com>>:

>      > 很明显，这俩都没来上周末的聚会，我正好讲到这个问题。而且说的很明

>     白，要出问题就是cnnic。借助内置信任和dns欺骗发起man in
>      > mid攻击。而且google离开中国事件前后，他们的确换过一次证书。结合他
>     们自称受到攻击，推测证书被破解/泄密不是没有道理的。然而我用下来的直
>     觉推测是，他们正在改进密码和安全算法。原因是多方面的，在此不展开，有
>     心的可以联系国外用户验证一下，看看他们有没有感觉。
>      > 至于技术之外，淡定，少骂娘，心平气和。
>      >

>      > 在 2010-4-27 上午12:13，"Icat" <ica...@gmail.com

>     <mailto:ica...@gmail.com>>编写：

>      >
>      > 楼上淡定, 你一上来就未成年人的语气是有点扯了..
>      > 这边毕竟是技术型的maillist, 就算OT的也是过了脑子的发言
>      > 如果你还未成年则无可厚非,但以后发言最好是注意些
>      > 如果已经工作多年,那么请多反思一下
>      >

>      > 2010/4/27 sala tech <sala...@gmail.com

>     <mailto:sala...@gmail.com>>:

>      >
>      >> 你这不是逼我和你抬杠么~那就讲技术，那么多内置的受信CA，搞定其中
>     一个颁发个目标服务器的证书出来给MM用，还会弹出警告不？我真没研究过，
>     您给讲讲。
>      >> 真看不得你这种人，懂点技术就张牙舞爪的说教。...

>
>
>
>     --
>     Wu Yongwei
>     URL: http://wyw.dcweb.cn/
>
>
>     --
>     Subscription settings:
>     http://groups.google.com/group/shlug/subscribe?hl=zh-CN
>
>
>
>
> --

> 与其相濡以沫，不如相忘于江湖

--
与其相濡以沫，不如相忘于江湖

[Chaos Eternal]

话说，控制了无限资源的攻击者是不可防御的 <- NSA说的

2010/4/27 Shell Xu <shell...@gmail.com>: