[OT] 电信级的RSA加密后的密码的破解方法
45 views
Skip to first unread message
Yan Wang
Nov 10, 2013, 9:33:06 PM11/10/13
to ustc...@googlegroups.com
一直以来,电信通过HTTP劫持推送广告的方式已经存在了很多年了,这种手段至今并未停止。这种手段月光博客曾经有多次曝光,见《电信级的网络弹出广告》、《获取了电信恶意弹出广告的罪证》和《谁控制了我们的浏览器?》。虽然HTTP本身的不安全性导致有路由器控制权限的人(比如电信运营商)可以获得没有使用HTTPS登录认证的网站的注册用户的密码,但一开始我并不认为电信运营商会犯触犯法律的风险进行实施。但现在我发现我错了。
现在有证据显示电信运营商非但获取没有加密的HTTP登录的用户名和密码,还会通过HTTP劫持的手段获取通过RSA加密的用户名和密码。信息来源是国内最大的最权威的漏洞报告平台之一wooyun:链接1、链接2。
正如文中所说,国内某邮件服务商在登录入口处将用户输入的帐号和密码通过RSA加密后才会发送到网络上,通过截取网络数据包的方式已经无法对用户输入的密码进行破解了。但由于HTTP本身并没有加密功能,所以RSA的程序必须由邮件服务商以JavaScript的方式进行提供,而登录入口的HTML和所有的JavaScript会通过HTTP发送到用户的浏览器上。而正是由于HTTP的不安全性,导致电信运营商可以在HTML中插入附加的JavaScript代码,在对密码进行RSA加密之前将密码以明文形式发送到网络上。至此,密码已经可以通过抓取网络数据包的方式进行截取了。
这种手段并非DNS级的域名劫持。如果是域名劫持,那么用户访问的也就不是邮件服务商的服务器,而是第三方的服务器了。如果要保证用户可以正常登录邮箱,那么第三方服务器就必须将用户浏览器的请求转发到邮件服务商,这样邮件服务商将会看到大量用户通过同一个或少数几个IP地址进行登录,很快就会发现问题。所以只有控制路由器进行TCP级别的HTTP劫持(仿冒邮件服务商的IP发送附加的JavaScript的数据包)才能做到神不知鬼不觉(虽然出了BUG导致曝光了,但如果没有BUG说不定到现在仍旧无人察觉)。
联想到《破解Google Gmail的https新思路》中所说的情况,电信运营商和国内的CA机构受到某些部门的指使进行实施,对SSL不了解的人完全可以做到神不知鬼不觉地破解用户的密码。如果是DNS劫持还可以通过多种手段进行反劫持,但如果通过类似HTTP劫持的这种IP仿冒的技术呢?据我观察,CNNIC根证书并未在各大浏览器中已被移除,所以关注于安全的朋友还是需要手动进行处理。也正如wooyun的文中所说,看到国内CA随便签署的证书,一定要保存下来提交给各大浏览器厂家,国内的中级CA还有很多。
题外话:虽然全球的网络自由在恶化,但并不代表我们就可以放弃追求网络自由。
来源:投稿,作者: lehui99 (at) gmail . com
Armnotstrong
Nov 10, 2013, 10:22:45 PM11/10/13
to ustc...@googlegroups.com
国内的网络环境本来就毫无节操可言,大运营商在大城市还知道收敛一点,小运营商和小城市就是毫无下限的肆无忌惮的搞,自从美国出了"棱镜"事件后那帮王八蛋更加没有了顾忌。
大环境如此,F**King 垄断,F**King CPC
--
-- 来自USTC LUG
请使用gmail订阅,不要灌水。
更多信息more info:http://groups.google.com/group/ustc_lug?hl=en?hl=en
---
You received this message because you are subscribed to the Google Groups "USTC_LUG" group.
To unsubscribe from this group and stop receiving emails from it, send an email to ustc_lug+u...@googlegroups.com.
For more options, visit https://groups.google.com/groups/opt_out.
========================================
best regards & a nice day
Zhao Ximing
wzyboy
Nov 11, 2013, 12:04:13 AM11/11/13
to ustc...@googlegroups.com
这只能说明国内邮箱只在登录时用 https POST 但是登录页面依然是 http 不够安全吧。
Gmail 从登录页面开始就全是 https,包括页面上所有的资源(如图片、JavaScript、CSS 等),这样的话就不能被劫持 JavaScript 了。
之前在 Twitter 上看到有位推友也发现了长城宽带会劫持 JavaScript,具体做法是把 Google Analytics 的 ga.js 这个文件 302 到它们自己的显示广告用的 JavaScript 上。这种情况下,如果引用 ga.js 的页面以及 ga.js 本身(Google Analytics 当然是支持 https 的)都是用 https 请求的,就没法劫持了。
比起去担心那些本来就不安全的 http,更需要担心的是那些安全性遭到破坏的 https。比如国内用的人很多的 GoAgent 系列翻墙工具,会采用自签名的 https 证书,如果用户下载了别人打包好的 GoAgent 版本的话,用的都是一样的证书了,而该证书的私钥显然也是公开的,毫无安全性可言。
Yan Wang
Nov 11, 2013, 12:06:12 AM11/11/13
to ustc...@googlegroups.com
Bojie Li
Nov 11, 2013, 3:26:56 AM11/11/13
to USTC_LUG
2013/11/11 wzyboy <wzyb...@gmail.com>:
>
> Gmail 从登录页面开始就全是 https,包括页面上所有的资源(如图片、JavaScript、CSS 等),这样的话就不能被劫持
> JavaScript 了。
>
Gmail 登录界面是 https,不过进入邮箱之后会载入两个 www.google.com.hk 的 non-https 资源,F12 => Console 就能看到。所以 https 左边的挂锁是黄色的而不是绿色的。这两个 http 请求似乎没有传递足以登录 Gmail 的 cookie,返回的内容也不知道是否会被执行或显示出来。
此外,大多数用户甚至不知道什么是 https,因此下文所述的中间人攻击是可行的。其中设置一个小锁的 favicon 让我笑喷了……
此外,大多数用户甚至不知道什么是 https,因此下文所述的中间人攻击是可行的。其中设置一个小锁的 favicon 让我笑喷了……
对于我们这类注意 https 的用户,也有办法。有 BGP Router 的运营商(USTC 都算一个)基本上都可以发伪造源 IP 的包,就能做 DNS Spoofing。而现在申请 SSL 证书的 Domain Control Validation 一般都是发邮件到 webm...@example.com,欺骗 MX 记录就能完成验证,进而申请到 SSL 证书。然后就能做 MITM attack(中间人攻击)。据说还有不验证域名所有者的 SSL 证书颁发商,不过我不了解。
EV SSL(如 github.com、paypal.com)确实不容易伪造,但可以不劫持首页本身,而给 CDN 静态内容所在的 non-EV 站点用上一段的方法申请普通 SSL 证书,这样用户看到了绿色地址栏,内容又被篡改了。
Bojie Li
Nov 11, 2013, 3:41:50 AM11/11/13
to USTC_LUG
2013/11/11 wzyboy <wzyb...@gmail.com>
还有某些 “企业邮箱”,只要用户把 MX 记录指向他们的服务器,这种情况下域名所有者跟邮件服务提供商不是一家,更不可能用 SSL
了。(SSL 证书是要签发给特定域名、部署在服务器上的,而且同一个 IP 只能部署一个 SSL 证书)
> 2013/11/11 Yan Wang <gra...@gmail.com>
>>
>> 而登录入口的HTML和所有的JavaScript会通过HTTP发送到用户的浏览器上。
>
>
> 这只能说明国内邮箱只在登录时用 https POST 但是登录页面依然是 http 不够安全吧。
>
SSL 是很耗 CPU 的,抠门的国内网络公司自然不会全程使用 https。
>>
>> 而登录入口的HTML和所有的JavaScript会通过HTTP发送到用户的浏览器上。
>
>
> 这只能说明国内邮箱只在登录时用 https POST 但是登录页面依然是 http 不够安全吧。
>
还有某些 “企业邮箱”,只要用户把 MX 记录指向他们的服务器,这种情况下域名所有者跟邮件服务提供商不是一家,更不可能用 SSL
了。(SSL 证书是要签发给特定域名、部署在服务器上的,而且同一个 IP 只能部署一个 SSL 证书)
wzyboy
Nov 11, 2013, 6:31:39 AM11/11/13
to ustc...@googlegroups.com
2013/11/11 Bojie Li <boj...@gmail.com>:
有 .hk 的资源,而且我邮件中的图片也都是关闭不显示的,所以也不会出现点击
一封邮件就导致绿锁变成带黄三角的锁的问题。我在这方面有强迫症,特别受不了
Cr 那个带黄三角(代表 https 页面中有 http 资源,在 IE 里叫「混合内容」)
的图标,所以我十分确定我的 Gmail 从来不会载入任何非 http 资源。(由强迫
症决定)
而你的 Gmail 载入了 .hk 的资源,就非常奇怪了,可能是邮件中有什么外部内容
,或者可能是广告,甚至有可能是你使用了改 hosts, GoAgent 等翻墙方法而带来
的副作用。我的电脑是开机就连美国 OpenVPN 的,所以更不可能跟 .hk 扯上关系
……
> 此外,大多数用户甚至不知道什么是 https,因此下文所述的中间人攻击是可行
有人就骗到了 mail.163.com 的证书,其原理是某受信任的 CA 允许通过
ssl-...@163.com 这样的邮箱来验证 163.com 这个域名的所有权,于是那个人
就注册了 ssl-...@163.com 这个邮箱然后接收了证书,于是就骗到了一张合法
的、受信任的 mail.163.com 的证书。
这种方法对于 Gmail 则是不适用的,因为它的域名是 mail.google.com,而非
Google 员工只能注册到 @gmail.com 和 @googlemail.com (英国、德国曾经的默
认域名)这两个后缀,所以非 Google 员工是骗不到 mail.google.com 的证书的
。。
然后对于文章中提到的 WoSign 问题,则真的需要用户自己去管理信任链了。比如
前铁道部的 12306.cn 的网站就会让你安装一个根证书(当然不装也能用),还有
CNNIC 也进入了 Mozilla 的证书列表了,如果你不信任这些机构,完全可以在
/etc/ca-certificates.conf 中把它们用 ! 吊销掉,然后用
update-ca-certificates 更新证书列表,这样你的浏览器在遇到由这些 CA 签署
的证书的时候就会报警了。
当然,大部分用户还是不会像我这么蛋疼地去手工吊销一些操作系统/发行版自带
的信任证书的,但是真正注重安全的人还是不少的,比如 Twitter 上的
@chenshaoju 和 @chengr28 两位,就会仔细地检查 Windows 中自带的那些证书,
然后把和政府相关的证书全部吊销掉。
> EV SSL(如 github.com、paypal.com)确实不容易伪造,但可以不劫持首页本
> 身,而给 CDN 静态内容所在的 non-EV
> 站点用上一段的方法申请普通 SSL 证书,这样用户看到了绿色地址栏,内容又
> 被篡改了。
> Gmail 登录界面是 https,不过进入邮箱之后会载入两个 www.google.com.hk
> 的 non-https 资源,F12 =>
> Console 就能看到。所以 https 左边的挂锁是黄色的而不是绿色的。这两个
> http 请求似乎没有传递足以登录 Gmail 的
> cookie,返回的内容也不知道是否会被执行或显示出来。
>
不会的,我的 Gmail 从来都是绿锁,整个页面不存在任何非 https 资源,更不会
> 的 non-https 资源,F12 =>
> Console 就能看到。所以 https 左边的挂锁是黄色的而不是绿色的。这两个
> http 请求似乎没有传递足以登录 Gmail 的
> cookie,返回的内容也不知道是否会被执行或显示出来。
>
有 .hk 的资源,而且我邮件中的图片也都是关闭不显示的,所以也不会出现点击
一封邮件就导致绿锁变成带黄三角的锁的问题。我在这方面有强迫症,特别受不了
Cr 那个带黄三角(代表 https 页面中有 http 资源,在 IE 里叫「混合内容」)
的图标,所以我十分确定我的 Gmail 从来不会载入任何非 http 资源。(由强迫
症决定)
而你的 Gmail 载入了 .hk 的资源,就非常奇怪了,可能是邮件中有什么外部内容
,或者可能是广告,甚至有可能是你使用了改 hosts, GoAgent 等翻墙方法而带来
的副作用。我的电脑是开机就连美国 OpenVPN 的,所以更不可能跟 .hk 扯上关系
……
> 此外,大多数用户甚至不知道什么是 https,因此下文所述的中间人攻击是可行
> 的。其中设置一个小锁的 favicon 让我笑喷了……
> https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf
>
> 对于我们这类注意 https 的用户,也有办法。有 BGP Router 的运营商(USTC
> 都算一个)基本上都可以发伪造源 IP 的包,就能做 DNS
> Spoofing。而现在申请 SSL 证书的 Domain Control Validation 一般都是发邮
> 件到
> webm...@example.com,欺骗 MX 记录就能完成验证,进而申请到 SSL 证书。
> 然后就能做 MITM
> attack(中间人攻击)。据说还有不验证域名所有者的 SSL 证书颁发商,不过
> 我不了解。
>
骗 SSL 证书这种,就要靠信任链解决了。这类骗 SSL 证书的文章我也见过,以前
> https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf
>
> 对于我们这类注意 https 的用户,也有办法。有 BGP Router 的运营商(USTC
> 都算一个)基本上都可以发伪造源 IP 的包,就能做 DNS
> Spoofing。而现在申请 SSL 证书的 Domain Control Validation 一般都是发邮
> 件到
> webm...@example.com,欺骗 MX 记录就能完成验证,进而申请到 SSL 证书。
> 然后就能做 MITM
> attack(中间人攻击)。据说还有不验证域名所有者的 SSL 证书颁发商,不过
> 我不了解。
>
有人就骗到了 mail.163.com 的证书,其原理是某受信任的 CA 允许通过
ssl-...@163.com 这样的邮箱来验证 163.com 这个域名的所有权,于是那个人
就注册了 ssl-...@163.com 这个邮箱然后接收了证书,于是就骗到了一张合法
的、受信任的 mail.163.com 的证书。
这种方法对于 Gmail 则是不适用的,因为它的域名是 mail.google.com,而非
Google 员工只能注册到 @gmail.com 和 @googlemail.com (英国、德国曾经的默
认域名)这两个后缀,所以非 Google 员工是骗不到 mail.google.com 的证书的
。。
然后对于文章中提到的 WoSign 问题,则真的需要用户自己去管理信任链了。比如
前铁道部的 12306.cn 的网站就会让你安装一个根证书(当然不装也能用),还有
CNNIC 也进入了 Mozilla 的证书列表了,如果你不信任这些机构,完全可以在
/etc/ca-certificates.conf 中把它们用 ! 吊销掉,然后用
update-ca-certificates 更新证书列表,这样你的浏览器在遇到由这些 CA 签署
的证书的时候就会报警了。
当然,大部分用户还是不会像我这么蛋疼地去手工吊销一些操作系统/发行版自带
的信任证书的,但是真正注重安全的人还是不少的,比如 Twitter 上的
@chenshaoju 和 @chengr28 两位,就会仔细地检查 Windows 中自带的那些证书,
然后把和政府相关的证书全部吊销掉。
> EV SSL(如 github.com、paypal.com)确实不容易伪造,但可以不劫持首页本
> 身,而给 CDN 静态内容所在的 non-EV
> 站点用上一段的方法申请普通 SSL 证书,这样用户看到了绿色地址栏,内容又
> 被篡改了。
Bojie Li
Nov 11, 2013, 6:59:42 AM11/11/13
to USTC_LUG
2013/11/11 wzyboy <wzyb...@gmail.com>:
IP,不过也能用来访问 google.com.hk 和 mail.google.com。
> 这种方法对于 Gmail 则是不适用的,因为它的域名是 mail.google.com,而非
> Google 员工只能注册到 @gmail.com 和 @googlemail.com (英国、德国曾经的默
> 认域名)这两个后缀,所以非 Google 员工是骗不到 mail.google.com 的证书的
> 。。
>
你再仔细读读,我说的就是拿到 google.com 的受信 SSL 证书。我也说了,这方法必须有 BGP Router 才能做。
不过,对有关部门来说,与其到国际知名证书提供商那里骗取一个 SSL 证书,还不如让国内的二级 SSL 直接给发一个。
> 而你的 Gmail 载入了 .hk 的资源,就非常奇怪了,可能是邮件中有什么外部内容
> ,或者可能是广告,甚至有可能是你使用了改 hosts, GoAgent 等翻墙方法而带来
> 的副作用。我的电脑是开机就连美国 OpenVPN 的,所以更不可能跟 .hk 扯上关系
> ……
>
哦,那可能是因为我用了 203.208.46.{176,177,178,179,180} 做代理,这些是 google.cn 的
> ,或者可能是广告,甚至有可能是你使用了改 hosts, GoAgent 等翻墙方法而带来
> 的副作用。我的电脑是开机就连美国 OpenVPN 的,所以更不可能跟 .hk 扯上关系
> ……
>
IP,不过也能用来访问 google.com.hk 和 mail.google.com。
> 这种方法对于 Gmail 则是不适用的,因为它的域名是 mail.google.com,而非
> Google 员工只能注册到 @gmail.com 和 @googlemail.com (英国、德国曾经的默
> 认域名)这两个后缀,所以非 Google 员工是骗不到 mail.google.com 的证书的
> 。。
>
不过,对有关部门来说,与其到国际知名证书提供商那里骗取一个 SSL 证书,还不如让国内的二级 SSL 直接给发一个。
wzyboy
Nov 11, 2013, 8:15:22 AM11/11/13
to ustc...@googlegroups.com
2013/11/11 Bojie Li <boj...@gmail.com>:
哦,不好意思,没看清楚,就看到个「骗证书」了……所以以为是通过邮箱入手骗证书。
如果要伪造 MX 记录的话,要保证 BGP 能广播到 CA 的发邮件服务器所在的网络吧?得是相当大的 BGP Router 才行。。。
> 不过,对有关部门来说,与其到国际知名证书提供商那里骗取一个 SSL 证书,还不如让国内的二级 SSL 直接给发一个。
对啊,所以是否要从操作系统/发行版/浏览器自带的那些信任证书中有选择地吊销一些就看用户对政府的信任程度了……
哦,不好意思,没看清楚,就看到个「骗证书」了……所以以为是通过邮箱入手骗证书。
如果要伪造 MX 记录的话,要保证 BGP 能广播到 CA 的发邮件服务器所在的网络吧?得是相当大的 BGP Router 才行。。。
> 不过,对有关部门来说,与其到国际知名证书提供商那里骗取一个 SSL 证书,还不如让国内的二级 SSL 直接给发一个。
wzyboy
Nov 11, 2013, 8:17:04 AM11/11/13
to ustc...@googlegroups.com
2013/11/11 Bojie Li <boj...@gmail.com>:
> 同一个 IP 只能部署一个 SSL 证书
其实现在除了老掉牙的 IE8 还不支持 SNI 外,现代的浏览器都支持 SNI 了啦……有了 SNI 就可以一个 IP 多个 https
域名了。比如我的 VPS 上就是用 SNI 实现了一个 IP 多个 https 域名。
> 同一个 IP 只能部署一个 SSL 证书
其实现在除了老掉牙的 IE8 还不支持 SNI 外,现代的浏览器都支持 SNI 了啦……有了 SNI 就可以一个 IP 多个 https
域名了。比如我的 VPS 上就是用 SNI 实现了一个 IP 多个 https 域名。
Thomas Copper
Nov 11, 2013, 9:51:07 AM11/11/13
to ustc_lug
2013/11/11 Bojie Li <boj...@gmail.com>:
> Gmail 登录界面是 https,不过进入邮箱之后会载入两个 www.google.com.hk不会的,我的 Gmail 从来都是绿锁,整个页面不存在任何非 https 资源,更不会
> 的 non-https 资源,F12 =>
> Console 就能看到。所以 https 左边的挂锁是黄色的而不是绿色的。这两个
> http 请求似乎没有传递足以登录 Gmail 的
> cookie,返回的内容也不知道是否会被执行或显示出来。
>
有 .hk 的资源,而且我邮件中的图片也都是关闭不显示的,所以也不会出现点击
一封邮件就导致绿锁变成带黄三角的锁的问题。我在这方面有强迫症,特别受不了
Cr 那个带黄三角(代表 https 页面中有 http 资源,在 IE 里叫「混合内容」)
的图标,所以我十分确定我的 Gmail 从来不会载入任何非 http 资源。(由强迫
症决定)
而你的 Gmail 载入了 .hk 的资源,就非常奇怪了,可能是邮件中有什么外部内容
,或者可能是广告,甚至有可能是你使用了改 hosts, GoAgent 等翻墙方法而带来
~~~~~~~改hosts不会产生这个问题,我用改hosts的办法用了一年半都完全没事。
我用Google的服务都是用ncr的,上一次遇到这个问题时间太长了,我都记不得什么时候了,是不是会有关系?
我用Google的服务都是用ncr的,上一次遇到这个问题时间太长了,我都记不得什么时候了,是不是会有关系?
Bojie Li
Nov 11, 2013, 10:38:34 AM11/11/13
to USTC_LUG
嗯,SNI 是个好东西,不过我不敢冒不支持稍旧浏览器的风险…… Chrome 全系列都支持 SNI 吗?Firefox 3 支持 SNI 吗?
【OT】多域名和泛域名证书一般都很贵,不过如果你不在乎 2009 年以来一直没升过级的 Windows(MS 2009年才将其加入根CA),可以去 StartSSL 花 $59.9 做个 Class 2 validation,在一年的有效期内,有效期两年的 SSL 证书随便发(当然要验证域名所有者)。参看 blog.ustc.edu.cn 证书的 Subject Alternative Name。
Yan Wang
Nov 11, 2013, 10:45:49 AM11/11/13
to ustc...@googlegroups.com
--
Bojie Li
Nov 11, 2013, 10:54:02 AM11/11/13
to USTC_LUG
不要 BGP 广播,虚假 BGP 广播也很容易被发现。
1. 搞清楚域名验证服务器的 nameserver(自建 nameserver 解析自己的域名,提交个申请,看 DNS 查询从哪里来)。
2. 伪装成欲劫持域名的 nameserver,向域名验证服务器的 nameserver 不停地发送伪造源IP的虚假 MX 记录包。
3. 在线提交 Domain Control Validation。
4. 由于 DNS 是基于 UDP 的,只要抢在真实的 DNS 回复前收到了虚假的 MX 记录包,域名验证邮件就会发到你的服务器。
GFW DNS 污染就是这么干的。只是因为它处于必经之路上,伪造的回复包一定先于真实的回复包,从而发一个就能达到目的。
只需要一个能伪造源IP的主机。我之所以提 BGP Router,是因为大部分 router 都配置了 reverse route check,很难任意伪造源IP了。
wzyboy
Nov 12, 2013, 12:04:27 AM11/12/13
to ustc...@googlegroups.com
2013/11/11 Bojie Li <boj...@gmail.com>:
老旧浏览器的确是个问题。
> 【OT】多域名和泛域名证书一般都很贵,不过如果你不在乎 2009 年以来一直没升过级的 Windows(MS 2009年才将其加入根CA),可以去
> StartSSL 花 $59.9 做个 Class 2 validation,在一年的有效期内,有效期两年的 SSL
> 证书随便发(当然要验证域名所有者)。参看 blog.ustc.edu.cn 证书的 Subject Alternative Name。
我的博客的 https 是 StartSSL Class 1 的,一个子域名一个子域名地添加,每年续一次。
我本地还用了一个泛域名证书,是 CACert.org 的,这个 CA 被操作系统/发行版包括得不多,比如 Windows 就不包括。
> 嗯,SNI 是个好东西,不过我不敢冒不支持稍旧浏览器的风险…… Chrome 全系列都支持 SNI 吗?Firefox 3 支持 SNI 吗?
>
支持列表可以参考 https://en.wikipedia.org/wiki/Server_Name_Indication#Support
>
老旧浏览器的确是个问题。
> 【OT】多域名和泛域名证书一般都很贵,不过如果你不在乎 2009 年以来一直没升过级的 Windows(MS 2009年才将其加入根CA),可以去
> StartSSL 花 $59.9 做个 Class 2 validation,在一年的有效期内,有效期两年的 SSL
> 证书随便发(当然要验证域名所有者)。参看 blog.ustc.edu.cn 证书的 Subject Alternative Name。
我本地还用了一个泛域名证书,是 CACert.org 的,这个 CA 被操作系统/发行版包括得不多,比如 Windows 就不包括。
Bojie Li
Nov 12, 2013, 12:23:29 AM11/12/13
to USTC_LUG
看起来 SNI 支持的浏览器集合只是比 StartSSL Root CA 的支持集合稍小,最近四年新装的机都没问题,还是挺靠谱的。不过很多在线 ssl checker 都会对 SNI 提示警告。
Bojie Li
Nov 12, 2013, 10:36:55 AM11/12/13
to USTC_LUG
2013/11/11 wzyboy <wzyb...@gmail.com>:
各位的 Gmail 是小绿锁还是小黄锁?
>
> 不会的,我的 Gmail 从来都是绿锁,整个页面不存在任何非 https 资源,更不会
> 有 .hk 的资源,而且我邮件中的图片也都是关闭不显示的,所以也不会出现点击
> 一封邮件就导致绿锁变成带黄三角的锁的问题。我在这方面有强迫症,特别受不了
> Cr 那个带黄三角(代表 https 页面中有 http 资源,在 IE 里叫「混合内容」)
> 的图标,所以我十分确定我的 Gmail 从来不会载入任何非 http 资源。(由强迫
> 症决定)
>
我的 Gmail 从来都是小黄锁,语言设置是 English (US),用美国 IP 和美国 DNS 时也一样。
> 不会的,我的 Gmail 从来都是绿锁,整个页面不存在任何非 https 资源,更不会
> 有 .hk 的资源,而且我邮件中的图片也都是关闭不显示的,所以也不会出现点击
> 一封邮件就导致绿锁变成带黄三角的锁的问题。我在这方面有强迫症,特别受不了
> Cr 那个带黄三角(代表 https 页面中有 http 资源,在 IE 里叫「混合内容」)
> 的图标,所以我十分确定我的 Gmail 从来不会载入任何非 http 资源。(由强迫
> 症决定)
>
各位的 Gmail 是小绿锁还是小黄锁?
Yan Wang
Nov 12, 2013, 10:37:53 AM11/12/13
to ustc...@googlegroups.com
SJ Zhu
Nov 12, 2013, 10:41:46 AM11/12/13
to USTCLUG-Group
小绿锁。。。
用的goagent后,gmail的话也不会走代理,而是北京的host(在proxy.ini里的默认配置)
所有google服务,貌似都没碰到过小黄锁(只有以前的greader)
( sent from my mobile device. )
Xing Lin
Nov 13, 2013, 12:18:12 AM11/13/13
to ustc...@googlegroups.com
wzyboy
Nov 13, 2013, 1:26:52 AM11/13/13
to ustc...@googlegroups.com
2013/11/12 Bojie Li <boj...@gmail.com>:
你可以在设置里显示外部资源改成不显示,再把标签页关掉重新开(直接刷新的话不会更新锁的状态)。
> 我的 Gmail 从来都是小黄锁,语言设置是 English (US),用美国 IP 和美国 DNS 时也一样。
> 各位的 Gmail 是小绿锁还是小黄锁?
我觉得这是因为你的邮件默认显示外部资源(如图片)了,在大部分群发邮件的图片都是外链 http 的。
> 各位的 Gmail 是小绿锁还是小黄锁?
你可以在设置里显示外部资源改成不显示,再把标签页关掉重新开(直接刷新的话不会更新锁的状态)。
Bojie Li
Nov 13, 2013, 4:04:06 AM11/13/13
to USTC_LUG
2013/11/13 wzyboy <wzyb...@gmail.com>:
http://www.google.com.hk/url?sa=p&hl=zh-CN&pref=hkredirect&...
http://www.google.com.hk/setgmail?zx=...
> 我觉得这是因为你的邮件默认显示外部资源(如图片)了,在大部分群发邮件的图片都是外链 http 的。
>
> 你可以在设置里显示外部资源改成不显示,再把标签页关掉重新开(直接刷新的话不会更新锁的状态)。
在 General => External content 改成了 Ask Before...,仍然是小黄锁,不安全资源仍然是
>
> 你可以在设置里显示外部资源改成不显示,再把标签页关掉重新开(直接刷新的话不会更新锁的状态)。
http://www.google.com.hk/url?sa=p&hl=zh-CN&pref=hkredirect&...
http://www.google.com.hk/setgmail?zx=...
wzyboy
Nov 13, 2013, 4:58:28 AM11/13/13
to ustc...@googlegroups.com
Xilin Sun
Nov 13, 2013, 5:06:37 AM11/13/13
to 科大LUG
2013/11/12 Bojie Li <boj...@gmail.com>:
--
孙锡麟
> 我的 Gmail 从来都是小黄锁,语言设置是 English (US),用美国 IP 和美国 DNS 时也
我的黄色锁。
--
孙锡麟
Bojie Li
Nov 13, 2013, 6:08:39 AM11/13/13
to USTC_LUG
wzyboy
Nov 13, 2013, 7:26:20 AM11/13/13
to ustc...@googlegroups.com
好奇怪,这不是图片也不是 CSS 也不是 JavaScript,它所做的只是设置了一下 Cookies 而已……
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>302 Moved</TITLE></HEAD><BODY>
<H1>302 Moved</H1>
The document has moved
<A HREF="http://www.google.com.hk/setgmail?zx=hy1rwwcsv40m">here</A>.
</BODY></HTML>
然后以 "setgmail" 为关键词搜索,能找到唯一有价值的是这个:
http://www.zhihu.com/question/20398123/answer/15014783
我也不明白这是啥……
2013/11/13 Bojie Li <boj...@gmail.com>:
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>302 Moved</TITLE></HEAD><BODY>
<H1>302 Moved</H1>
The document has moved
<A HREF="http://www.google.com.hk/setgmail?zx=hy1rwwcsv40m">here</A>.
</BODY></HTML>
然后以 "setgmail" 为关键词搜索,能找到唯一有价值的是这个:
http://www.zhihu.com/question/20398123/answer/15014783
我也不明白这是啥……
2013/11/13 Bojie Li <boj...@gmail.com>:
Bojie Li
Nov 14, 2013, 1:46:14 PM11/14/13
to USTC_LUG
yifan gao
Nov 14, 2013, 8:49:37 PM11/14/13
to ustc...@googlegroups.com
如果是前者,那就说明Google在一直监视用户的邮件内容
有可能是网络环境不同导致的吧
有可能是网络环境不同导致的吧
高一凡
Zhang Cheng
Nov 14, 2013, 9:00:35 PM11/14/13
to USTC LUG
如果是前者的话,那不仅是在监视内容那么简单的事了,这个地球太危险了,大家可以集体移民火星了。
Cheng,
Best Regards
yifan gao
Nov 14, 2013, 9:02:36 PM11/14/13
to ustc...@googlegroups.com
Yan Wang
Nov 14, 2013, 9:42:07 PM11/14/13
to ustc...@googlegroups.com
谷歌在10年初号称不堪政府审查退出中国市场,年底把安卓默认的SSL加密协议从AES256-SHA降级成了09年已被NSA破解的RC4-MD5(http://t.cn/zRtqeVQ),默认禁用更安全的TLS1.2(http://t.cn/zRtqeVY)。
Bojie Li
Nov 14, 2013, 11:31:42 PM11/14/13
to USTC_LUG
我们的邮件列表是公开的,Google 都有索引。
此外,Google 使用用户数据改进其服务是符合 Terms of Service 的:When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content. The rights you grant in this license are for the limited purpose of operating, promoting, and improving our Services, and to develop new ones.
Bojie Li
Nov 14, 2013, 11:42:59 PM11/14/13
to USTC_LUG
不知道这篇新闻里说的破解协议指的是哪一种。协议没有永远安全的,像 SSL 3.0 和 TLS 1.0 都被陆续发现漏洞,MD5 早就被发现碰撞,1024 位 RSA 也不安全了,还有用早期版本 openssl 生成的 key 也被发现不够随机。因此 SSL 证书两年左右有效期是合适的,要是有效期二十年,谁知道那时候密钥会不会被破解。
HTTPS 的安全性取决于安全链条中最薄弱的一环。
https://www.ssllabs.com/ssltest/ 可以做详细检查。早期版本 nginx 默认配置的得分就很低。
Xing Lin
Nov 15, 2013, 1:11:16 AM11/15/13
to ustc...@googlegroups.com
我的还是小黄锁。。。
Thomas Copper
Nov 15, 2013, 2:25:31 AM11/15/13
to ustc_lug
Thomas Copper
Nov 15, 2013, 2:26:54 AM11/15/13
to ustc_lug
Xilin Sun
Nov 15, 2013, 6:02:16 AM11/15/13
to 科大LUG
2013/11/15 Bojie Li <boj...@gmail.com>:
--
孙锡麟
> 神奇地发现我的 Gmail 变成小绿锁了,不再载入不安全资源了……
> 难道我们的讨论被 Google 发现了?或者只是巧合?
我的也是小綠鎖了…… 不可能有功夫監視所有人的討論的。
> 难道我们的讨论被 Google 发现了?或者只是巧合?
--
孙锡麟
Bojie Li
Nov 15, 2013, 1:05:30 PM11/15/13
to USTC_LUG
Xilin Sun
Nov 16, 2013, 11:17:01 AM11/16/13
to 科大LUG
2013/11/16 Bojie Li <boj...@gmail.com>:
> 我在公司的电脑上仍然是小黄锁,不安全内容还是上次那两个 URL。看来变成小绿锁只是在我笔记本上的偶然现象……
我现在也是小黄锁了…… 同一台电脑同一个有线网,只是现在在用 Linux, 上次是 Windows. 我觉得我这里是我装的 Chrome
插件 Rapportive 的影响。
--
孙锡麟
> 我在公司的电脑上仍然是小黄锁,不安全内容还是上次那两个 URL。看来变成小绿锁只是在我笔记本上的偶然现象……
我现在也是小黄锁了…… 同一台电脑同一个有线网,只是现在在用 Linux, 上次是 Windows. 我觉得我这里是我装的 Chrome
插件 Rapportive 的影响。
--
孙锡麟
Yan Wang
Nov 16, 2013, 11:36:11 AM11/16/13
to ustc...@googlegroups.com
Reply all
Reply to author
Forward
0 new messages