这是一个创建于 607 天前的主题,其中的信息可能已经有所发展或是发生改变。
HTTPS 安全是因为有 SSL 加密,网管直接抓包是看不到具体内容的。
但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!
这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
但是,我发现 chrome 会把很安全的 SSL 密钥导出到明文,仅仅只需要设置一个系统环境变量(SSLKEYLOGFILE),就能轻易做到!
这意味着,公司网管只要在我机器上简简单单配置一个环境变量,我电脑上 chrome 浏览的所有网站,用户密码,他都能直接看到。并且 chrome 浏览器毫无风险提示信息,让人非常没有安全感。
 |
1
libook 2023-03-09 11:55:30 +08:00  60
这压根不是 HTTPS 的职责范围。你都突破物理隔离了,即便不用环境变量装个抓包证书就可以吧,或者替换个加了后门的魔改版浏览器也可以吧。
HTTPS 有效的前提是你信任你的浏览器和操作系统。 |
 |
2
Rrrrrr 2023-03-09 11:57:37 +08:00
不知道为什么我电脑上的 charles 好像不好用了,chrome 也会提示风险,有些还一直报
|
|
3
Rrrrrr 2023-03-09 11:58:09 +08:00
chrome 版本:110
|
 |
4
tool2d OP @libook 公司的电脑,装 1 ~ 2 个普通的网管监控软件是很正常的。电脑算公司的财产,不是完全个人所有。
还有些公司用的是瘦客户端,更没有主导权了。 我是觉得 chrome 不应该把密钥那么重要的东西,就直接静默导出,至少弹出一个确认对话框吧。 |
 |
5
benedict00 2023-03-09 12:00:55 +08:00 via Android
@Rrrrrr charles 证书到期了吧,重新生成证书再安装,信任吧
|
|
6
tool2d OP |
|
8
libook 2023-03-09 12:03:44 +08:00
@tool2d #4 Chrome 确实有些设计不合理的地方,不过你要知道,它只是个浏览器,这就决定了它的安全性设计仅满足于浏览器本身的需求。
所以涉及到敏感信息的情况,我通常不会使用普通浏览器,比如密码管理。 不过不管怎么说,你讲的也都不属于 HTTPS 的功能范围。安全向来都是相对而言的,还是得自己了解其中的原理,然后再根据需求慎重决策。 |
 |
10
KSR 2023-03-09 12:05:35 +08:00
公司的电脑不属于你,你为什么要在不属于你的设备上登录你的账号?
如果是你个人的电脑,你可以拒绝网管的要求。 |
 |
12
cyrbuzz 2023-03-09 12:08:33 +08:00
一楼+1 。
能操控物理机啥 s 都不好使。 我都能操控给你电脑加环境变量了,在你证书里赛个其他证书也不是难事。 |
 |
13
binux 2023-03-09 12:11:38 +08:00 via Android 4
@tool2d IE 确实不会导出到明文,因为为了看你的通信内容,监控软件压根就不需要 SSL 密钥。。。
|
|
15
tool2d OP 2
@binux 如果是中间人代理,我反倒不怕,在 chrome 看一下网站根证书就知道是被监控了。
我怕的是在自己不知情的时候,被监控。 以前看 HTTPS 文档有说到,内存里的握手密钥,在建立连接后,都是需要马上销毁的,chrome 怎么还能保存到明文呢,真是晕过去。 |
 |
17
0o0O0o0O0o 2023-03-09 12:17:19 +08:00 via iPhone
这不是 https 保障的范围。
|
 |
18
iClass 2023-03-09 12:26:30 +08:00 via Android
最好的浏览器是自研浏览器。由于只有一个地球,基于能量守恒原则,谷歌今年必须趴下,让微软抬头。
|
 |
19
dcsuibian 2023-03-09 12:28:17 +08:00
用得着配置环境变量,公司直接给你装个证书,不行直接给你录屏
你连电脑的控制权都没有,赖我一个小工具,我也很无奈啊 |
 |
20
tomczhen 2023-03-09 12:37:11 +08:00 via Android 28
ssl 确实不安全,只要有人拿刀架我脖子上,我啥都说了。
|
 |
21
kop1989smurf 2023-03-09 12:42:39 +08:00
系统安全,是要有一个场景前提和既定目的的。
并不是所有的框架设计,首要目的都是“绝对安全”。因为这样成本太高,而且适应面太小。 书归正传,https 就是一个针对传输领域的安全协议,他只负责传输层面上的安全,而且是相对安全(破解成本大于破解后的收益)。 chrome 的部分设计确实相对比较激进,或者说懒散。但其依然遵循的是“相对安全”和“场景设计”这两个原则。 比如楼主举例的“明文密码”,“明文 ssl”,其安全逻辑和现实中的钥匙链没什么区别。 如果能接受裤兜里揣钥匙没问题,那么理应来讲 PC 中存明文也没什么问题。 |
 |
22
mrcn 2023-03-09 12:44:51 +08:00 9
你都装监控软件了,还费什么劲拿 SSL ,直接监控你屏幕,直接 hook 你浏览器拿网页,有的是办法搞你。
你能说出这话说明你完全没理解 HTTPS 安全在哪里。 |
|
23
tool2d OP @kop1989smurf "如果能接受裤兜里揣钥匙没问题,那么理应来讲 PC 中存明文也没什么问题。"
不是的,chrome 保存的是客户端随机数和服务器端随机数。 什么叫随机数?就是为了让黑客无法预测的数字,可 chrome 都明文保存到磁盘上了,就自然失去了“随机”的作用。 这种明显开发者向的工具,又比较数据敏感的功能,chrome 就不应该默认开启。 IE 这点就很好,SSL 握手密钥只存在内存里,用完就销毁,谁都别想存到硬盘上。 |
 |
24
StarRail 2023-03-09 12:53:16 +08:00
再说一个吓人的,据统计一半使用 CDN 的网站采用了 CloudFlare CDN 。HTTPS 端到端加密到 Cloudflare 这里就透明的,与国际间谍组织无缝共享数据 :P
|
|
25
tool2d OP @mrcn "说明你完全没理解 HTTPS 安全在哪里。"
在我眼里的安全,就类似苹果手机加密,官方来了也没办法解锁。 chrome 这种静默导 SSL 密钥,明显是给 https 破解留了一个后门。我不想要什么后门,要调试代码,可以用自签名证书。 我就希望 https 加密后的数据,谁都看不见,包括我自己! |
 |
26
adoal 2023-03-09 13:19:43 +08:00
文不对题,不安全的明明是 Chrome 这个具体浏览器的密钥日志行为,又不是 HTTPS 本身。
|
|
27
tool2d OP 2
@adoal 因为不仅仅是 chrome ,包括 firefox 和一大堆套皮 chrome 浏览器,都会有类似行为,都用同一个环境变量名。
不知道 edge 加了 chrome 内核会有什么表现,还没尝试。反正我只知道 ie 内核是 100%安全的。 |
|
28
adoal 2023-03-09 13:29:50 +08:00
我倾向于认为是开发人员脑子抽筋导致的 bug ,而不是后门。这个是 Chrome 开发人员为了方便调试 Chrome 本身用的,不是给业务系统的 web 开发人员调试网站用的,跟你说的“要调试代码,可以用自签名证书”没关系。
|
 |
29
LokiSharp 2023-03-09 13:47:06 +08:00
都能设置环境变量了,也就没什么隐私了把
|
|
30
adoal 2023-03-09 13:49:57 +08:00
经过搜索,这个环境变量是来自 Netscape NSS 库。从 NSS 3.24 开始,用 Makefile 构建的默认关闭,用 build.sh 调用 gyp 构建的仍然启用。Firefox 官方版本重新启用了,而 Debian 拒绝启用。
有说 OpenSSL 也遵循了 NSS 的这个惯例。但是细节我还没搞清楚。 |
 |
31
dqzcwxb 2023-03-09 13:53:35 +08:00
没有绝对的安全,只有相对的安全
|
 |
32
levintrueno 2023-03-09 13:56:26 +08:00
你用 IE ,觉得 HTTPS 安全。IE 外,觉得 HTTPS 不安全。
那么,问题出在 HTTPS 上了嘛... |
 |
33
leonshaw 2023-03-09 13:57:12 +08:00 4
不来个 LD_PRELOAD 呢
|
 |
34
lambdaq 2023-03-09 13:58:53 +08:00
https 是否安全是跟。。。。。http 比吧?
你 http 甚至都不需要 SSLKEYLOGFILE 呢,亲。 |
|
35
lambdaq 2023-03-09 14:00:25 +08:00 1
你可以打开 chrome.exe 二进制,找到 SSLKEYLOGFILE ,改成别的。
|
 |
38
hxy91819 2023-03-09 14:09:33 +08:00
我就觉得楼主考虑的有道理。现在很多所谓的“零信任”设计思路,也是不相信任何中间协议的安全性。
|
 |
39
idontnowhat2say 2023-03-09 14:10:31 +08:00 1
@Helsing cdn 基本都是这样的,或多或少,不然你 ssl 加密的请求了咋给你加速
|
|
41
idontnowhat2say 2023-03-09 14:16:40 +08:00 1
https 是个通信协议,跟你本地安全不安全和这个有啥关系,你能都在 client 端操作了,基本就是所见即所得。导出 SSLKEYLOGFILE 只不过是 ssl 库的一个方便本地抓包调试的特性罢了。 你认真说的话,在客户端那没啥安全的了,就算没有 SSLKEYLOGFILE 也能有 100 种方法获取到你的通信内容,用 epbf hook 系统调用,一切皆可见。
|
 |
42
Helsing 2023-03-09 14:17:27 +08:00 via iPhone 1
翻完帖子才明白楼主说的是 https 中的协商出来的对称加密密钥可以导出来
感觉楼主确实没太理解 https ,https 安全的前提是设备必须安全可信,没有这个前提,哪来的安全 你提的问题只能表明 Chrome 不安全,而不是 https 不安全 另外,苹果手机加密,如果加密过程中也像 Chrome 能导出密钥或者留有后门什么的,一样也是不安全的,并不存在什么绝对安全…… |
|
43
Helsing 2023-03-09 14:20:48 +08:00 via iPhone
@Seanfuck #37 我知道啊,所以我很好奇 https 怎么到 CDN 就透明了,这不是很离谱吗
|
 |
44
leoleoleo 2023-03-09 14:24:24 +08:00
ssl 或者 tls 那是保证传输层面安全的技术啊,本地系统层面有问题,数据还没发出去就被拿走了,这能怪传输层面的安全技术吗。一旦系统层面不安全了,浏览器啥机制都不顶用啊,不管数据存在硬盘还是内存,一样能读取呀,23 楼 op 还在说存储机制和随机数的事,大哥了解一下 ssl 技术,随机值和协商出来的加密密钥都是一次性的,每一次通信完成后就没用了,这一点上你存在内存和存在硬盘上有什么区别啊。
|
 |
45
yolee599 2023-03-09 14:24:50 +08:00
SSL 可以保证“传输过程中”的安全,数据包已经到了你的电脑,那这个数据包已经不归 SSL 管了。就像运钞车,钱已经运到了银行,并且交到了银行手上,在银行被别人持枪抢劫了是不归运钞车管的。
|
|
46
Helsing 2023-03-09 14:26:05 +08:00 via iPhone
@idontnowhat2say #39 看了一下 CDN 的原理,确实如此
|
 |
47
newmlp 2023-03-09 14:37:50 +08:00
chrome:别人都能改你环境变量,读你本地文件了,你告诉我没保障你的安全?
|
|
48
tool2d OP @leoleoleo "大哥了解一下 ssl 技术,随机值和协商出来的加密密钥都是一次性的,每一次通信完成后就没用了,这一点上你存在内存和存在硬盘上有什么区别啊。"
是一次性的,所以 chrome 把每一次通讯的 ssl 密钥都保存下来了。你客户端发起了 100 次请求,chrome 就老老实实保存 100 份密钥。以确保网管在出口网关上,抓取的所有加密数据包,都能正确解密。 |
 |
49
CatCode 2023-03-09 14:50:10 +08:00
你给 Chrome 启动套个娃呗,整个脚本启动 Chrome 前先把 SSLKEYLOGFILE 变量设为空,不就行了吗
|
 |
50
AA5DE3F034ACCB9E 2023-03-09 14:52:11 +08:00
我觉得 OP 讲得有道理,我对 HTTPS 了解不多,但如果提供容易获取 SSL Key 的方式,我觉得不应该,稍微加点门槛都好过随便获取吧
|
 |
51
yannxia 2023-03-09 14:58:05 +08:00
@AA5DE3F034ACCB9E 和 Chrome 有关系,和 HTTPS 有啥关系呢,Chrome 提供一个方便 Debug 的功能,你别开呗,但是你电脑被控制了,开了这个功能,但是主要问题是你的电脑被控制,就算 chrome 没提供这个功能也有其他办法搞定。
|
 |
52
geelaw 2023-03-09 15:06:33 +08:00
不太确定 OP 在期待什么。公司的电脑是公司控制的,公司可以不间断查看你的内存,那么 Chrome 记录不记录也没什么区别,你能做的就是不使用公司电脑做不能让公司知道的事情。
|
 |
53
mrhhsg 2023-03-09 15:17:26 +08:00
以前感觉飞机很安全,最近有一次我下了飞机扫了个共享单车骑回家居然摔了一跤。。。仅需要一辆共享单车就能引起飞机乘客的受伤,让人非常没有安全感
|
 |
54
byte10 2023-03-09 15:18:51 +08:00
@tool2d 我也是醉了,跟你导出 ssl 有啥关系。网管直接让你安装 信任根证书就完事啦。思维还是没转过来。
之前还有一个同事说,浏览器的 cookie 被别人的导出去怎么办? 账号岂不是被别人登录上啦?你电脑都没有设置高强度密码,肯定会被偷看到啦。所以现在很多都是指纹解锁。很多支付都要二次确认。 太多这样无逻辑的担忧。。。 |
 |
55
Ericcccccccc 2023-03-09 15:32:02 +08:00
公司电脑装了监控软件可以做到 10s 截一次屏幕的. 你要担心的东西不应该限制在 https 上.
|
 |
56
Promtheus 2023-03-09 15:33:53 +08:00
https 是防止的网络嗅探吧,你这直接在源点就被黑了这还搞个毛线
|
 |
57
justfindu 2023-03-09 15:35:26 +08:00
你这都已经跳出互联网范畴了呀.
|
 |
58
8355 2023-03-09 15:40:13 +08:00
linux 获取了 root 权限
windows 获取了 administrator 权限 还有什么是做不到的吗 做不到只是技术能力问题 不是限制问题 反向理解这是我个人电脑有 administrator 我想干啥计算机能做到非不让我干那对吗... 好像租了房东的房子换了把锁 房东就进不来了吗... |
 |
59
sujin190 2023-03-09 15:59:42 +08:00
都能给你设 SSLKEYLOGFILE 环境变量了,直接给你搞个根证书不更好么,这下不管你是不是 chrome 都随便看了,所以都物理突破了既然已经有更容易使用的方法,那么 chrome 搞不搞还有啥意义,而且设置这个现实也确确实实会有这个需求啊
|
 |
60
fregie 2023-03-09 16:12:26 +08:00
都能跑到你电脑上为所欲为了,这就跟网络协议没关系了
|
 |
61
bing1178 2023-03-09 16:13:33 +08:00
你觉得不安全 那就不安全吧
|
 |
62
fields 2023-03-09 16:16:26 +08:00
跟 https 有什么关系 https 是传输过程 浏览器是另外的领域了
|
|
63
newmlp 2023-03-09 16:17:28 +08:00
@AA5DE3F034ACCB9E 在本地已经不安全的情况下,这种门槛毫无意义,人家不能在你系统里装一个自签名证书,一样抓你数据,甚至比环境变量还简单
|
 |
64
Aixtuz 2023-03-09 16:23:10 +08:00
再安全的锁,也挡不住劫匪架刀让我掏钥匙。
|
 |
65
churchmice 2023-03-09 16:26:27 +08:00
又是想搞个大新闻,还以为 ssl 被攻破了呢
你这问题恰好说明 https 的重要性 |
 |
66
iX8NEGGn 2023-03-09 16:40:58 +08:00 1
本地安全关 https 什么事,人家保障的通信链路的安全,退一万步讲,这是浏览器的策略,和 https 也完全不搭边
|
 |
67
yaphets666 2023-03-09 16:44:45 +08:00
这和直接把你绑票了,问你信息有啥区别。你要这么说,密码这个东西根本就没用,我直接打开你浏览器,复制一份你的参数就可以了。
|
 |
68
luoshuhui 2023-03-09 16:46:23 +08:00
没明白“ssl 密钥”是指什么?
|
 |
69
dobelee 2023-03-09 16:52:07 +08:00
谷歌认为你的 PC 被网管入侵。
|
|
70
tool2d OP @luoshuhui "没明白 ssl 密钥是指什么?"
https 传输,底层一般会用 AES 这类的算法加密数据。 SSL 为了保证安全性,原则上每一次新的请求,都会要求客户端更换新密钥。 而 chrome 的 SSLKEYLOGFILE ,会把每一次更换的密钥,都保存下来。有了密钥后,就相当于网管在出口抓包,抓的是明文 http 。 |
 |
71
JKeita 2023-03-09 16:57:43 +08:00
你这话说的,你都电脑上被监控了,还有啥隐私可言,跟 https 有啥关系。
|
|
72
AA5DE3F034ACCB9E 2023-03-09 16:59:18 +08:00
@yannxia 对,我想说的是 Chrome 。虽然有人拿刀架在脖子上做比喻,但我还是无法理解把钱放在电视抽屉的操作,假如有更好的保险箱的情况下,或者是暗格
|
 |
74
bluedawn 2023-03-09 17:08:42 +08:00 via iPhone 3
草,点进来前还以为 https 这么多年了居然还能有漏洞
点进来以后“哦这样啊那没事了”。 |
 |
75
hankai17 2023-03-09 17:09:15 +08:00
让浏览器走代理 再加密一次
|
|
76
tool2d OP @JKeita "你这话说的,及时苹果手机你把解锁密码跟别人说了不也一样。"
两者完全不一样的。 1. 拿刀架脖子,让我交待苹果锁屏密码,我认怂。(公司让强制安装根证书) 2. 在办公室屋顶安装一百倍放大镜,偷看我解锁屏幕的密码,我不服。(用环境变量静默导出,大部分人都不知道还有这个参数) |
 |
77
LXGMAX 2023-03-09 17:38:11 +08:00
我直接用 curl 上网,人脑渲染 page 再 post
|
 |
78
neptuno 2023-03-09 17:46:44 +08:00
可能后面的同事是卧底呢,偷偷看你电脑屏幕
|
 |
79
Metre 2023-03-09 18:19:56 +08:00
https 不是做加密的吧? https 是防篡改
要加密 自己套代理 |
 |
80
banmuyutian 2023-03-09 18:26:59 +08:00
强盗都跑进家里了你怪管家放东西不够严实……
|
 |
81
duanxianze 2023-03-09 18:29:31 +08:00
@tool2d 那我在你苹果上装个监控软件,你还安全吗?
|
 |
82
n18255447846 2023-03-09 18:56:29 +08:00
ssl 防的是中间人攻击,防不了内鬼
|
 |
83
Vh5g6zZU 2023-03-09 19:17:19 +08:00
有点像 KeePass 前段时间被人骂有漏洞,你运行环境本身都不安全了还纠结什么呢
|
 |
84
kkocdko 2023-03-09 19:22:29 +08:00 via Android 2
你设置环境变量,甚至可以:
使用 LD_PRELODE 强行要求所有程序先执行你的代码。 那么你在说什么? |
 |
85
huijiewei 2023-03-09 19:28:02 +08:00
世界上有安全的东西么
加密? 打死也不说? |
 |
86
AlisaDestiny 2023-03-09 19:28:56 +08:00 via Android 2
有点无语,你这有点像用微信和朋友语音,结果说的话全被你旁边的同事听见了,然后你说微信一点也不安全。
|
 |
87
IvanLi127 2023-03-09 19:30:04 +08:00 via Android
这关 https 啥事。。。。。这标题起得很引战啊
|
 |
88
sl0000 2023-03-09 19:38:15 +08:00
https 解决的不是你这个问题呀, 你这个问题是要装一个安全的系统和安全的应用环境才行
|
 |
89
mangoDB 2023-03-09 19:58:46 +08:00
- 管理软件定时截屏
|
 |
90
busier 2023-03-09 20:06:12 +08:00
楼主脑子瓦特了,Chrome 的问题怪到 SSL/TLS 头上!
|
 |
91
ipcjs 2023-03-09 22:09:50 +08:00
IE 确实非常安全😅
|
 |
92
stillyu 2023-03-09 22:26:40 +08:00
相当于你当着警察的面用卫星电话招呼同伙
|
 |
93
Admstor 2023-03-09 23:18:54 +08:00 1
楼主理解错了安全
以及 https 的安全 https 保护的是网络中传输的安全问题 并不保护你电脑本地的数据安全 你说的问题是你电脑本地的安全 一个整体安全的系统,是由多个安全模块共同组成的 每个模块之间往往也是安全漏洞容易爆发的点 根签名也可以直接给伪装网站发签名 你作为终端用户也不是一下子就可以看穿,chrome 也没提示的 所以无论如何也是需要时刻警惕的 |
 |
94
none 2023-03-09 23:50:58 +08:00
这个其实也不是 chrome 的问题,应该是底层协议遵守了某个开源的代码,Firefox 也会读取这个环境变量,就是为了方便调试用的。
这个环境变量也就相当于是一个开关,需要用的话自己去配置上。其他人如果有能力在你电脑上偷偷设置这个环境变量,那就不只是浏览器不安全,是所有软件都不安全。 |
 |
95
lqhx 2023-03-10 00:24:56 +08:00
电脑都被入侵了,还谈什么安全?
就算不解析你的流量,直接粗暴录屏都知道你在干啥 |
 |
96
amlee 2023-03-10 00:39:01 +08:00
你家钥匙都丢了,你还操心门锁牢不牢
|
 |
97
levelworm 2023-03-10 00:42:43 +08:00 via Android
公司电脑不做个人方面的使用。我连常用的论坛都重新注册账号
|
 |
98
Mystery0 2023-03-10 00:48:16 +08:00 via Android
没铜币了?
|
 |
99
lesismal 2023-03-10 01:52:41 +08:00
先搞清楚,通信协议相关的安全算法主要是防止信道监听者。这类似战争年代无线电被监听、加密防破解。
不是用来防止具有密钥的通信两端的,因为两端本来就各自有密钥。所以这种有机器权限的就不适合 OP 讨论范围。 另外,如果想绕过,你装个虚拟机,在虚拟机里跑,应该就可以了,如果想更狠,虚拟机里再加上加密隧道、VPN 。。。 |
 |
100
fuzzsh 2023-03-10 07:12:05 +08:00 via Android 4
看 title 还以有 zero day
看到内容 …… sslkeylogfile 又不是近期才加上的,已存在多少年的旧手法。。 OP 说 IE 安全? …… Windows schannel 了解下,同样 client 无感拿 exchange key 大型软件的功能都置有 access point ,能接触到 terminal 做任何安全都没用,总有手段拿出来,没绝对的手法 况且窃取 TLS 在 server/client 有多种,远不止于当前,dump memory/function hooking 等等很多无感的方法,都有成熟的工具,IT 要搞你,手法千千万 回复前翻了下 OP 历史帖,发现是同步公司代码到个人手机的拿位。。🌚 |
Select Language