青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 如何使用代理服务器上网关于Google辱华谣言的分析 »

破解Google Gmail的https新思路

  最近,Google针对Gmail被攻击事件,全面默认启用了始终以https访问Gmail的方式了。但是,对于可以动用整个国家力量的黑客来说,从网络通讯数据中(在此不讨论对用户电脑种木马破解https的情况,只讨论在网络通讯数据中破解https的方法)破解https除了暴力破解(暴力破解https即使按照现在的集群计算能力仍旧需要几百至几万年不等)之外真的别无他法了吗?事实并非如此。

  我们知道,https的安全性主要是由SSL证书中的公钥和私钥来保证的。浏览器与服务器经过https建立通讯的时候(不考虑SSL代理方式需要用户提交证书的情况,因为我们现在讨论的是浏览器访问网站,和SSL代理无关)会按照以下步骤保证通讯的安全性:

  1、浏览器连接服务器,服务器把SSL证书的公钥发送给浏览器

  2、浏览器验证此证书中的域是否和访问的域一致(比如用户访问https://mail.google.com/时,浏览器验证服务器发送过来的SSL证书的公钥中的域是否为mail.google.com或*.google.com)并没有过期

  3、如果浏览器验证失败,浏览器通知用户证书有问题,让用户选择是否继续

  4、如果浏览器验证成功,那么浏览器随机生成一个对称密钥并使用接收到的SSL证书的公钥进行加密并发送给服务器

  5、服务器通过SSL证书的私钥对收到的信息进行解密并得到浏览器随机生成的对称密钥

  6、最后服务器和浏览器都通过这个对称密钥进行通讯了(为什么不直接使用公钥和私钥进行通讯?因为非对称加密比对称加密效率低)

  这个方案看似完美,却无法抵御中间人攻击,攻击者可以按以下步骤实施攻击截取https通讯中的所有数据:

  1、攻击者伪造一个Gmail的SSL证书,使其中的域为mail.google.com或*.google.com,并设置合适的证书过期时间

  2、攻击者等待访问者的浏览器访问Gmail时,通过DNS劫持或IP伪造(对于有路由器控制权限的黑客来说简直轻而易举)的方法使其访问到攻击者的服务器上

  3、攻击者把伪造的SSL证书公钥发送给浏览器

  4、浏览器验证SSL证书的域和过期时间都没错,认为访问到的就是Gmail本身,从而把对称密钥发送给黑客服务器

  5、黑客服务器把伪造的Gmail网页通过收到的对称密钥加密后发送给浏览器

  6、访问者通过浏览器输入Gmail帐户,发送给黑客服务器,黑客服务器通过收到的对称密钥解密后成功获得访问者的Gmail密码

  为了抵御这种中间人攻击,SSL证书需要由可信的SSL证书颁发机构颁发,形成一个证书链(比如Gmail的证书链为:最底层为网域mail.google.com,上一层为Thawte SGC CA证书颁发机构,最顶层为很有名的VeriSign证书颁发机构)。那么,浏览器除了需要验证域和有效期外,还要检查证书链中的上级证书公钥是否有效,上级的上级证书公钥是否有效,直至根证书公钥为止。这样就可以有效避免中间人攻击了,因为根证书公钥都是预装在操作系统中的,黑客如果不是暴力破解,无法得到根证书的私钥,如果黑客自己生成一个私钥,浏览器验证根证书公钥的时候发现无法通过操作系统中预装的公钥加密数据后使用这个私钥进行解密,从而判定这个公钥是无效的。这个方案也是现在https通讯通常的方案。

  那么,这个现在所有的浏览器正在使用的https通讯方案就无懈可击了吗?答案仍是否定的。我们可以看到,在后一个方案中,https的安全性需要在证书颁发机构公信力的强有力保障前提下才能发挥作用。如果证书颁发机构在没有验证黑客为mail.google.com的持游者的情况下,给黑客颁发了网域为mail.google.com的证书,那么黑客的中间人攻击又可以顺利实施:

  1、攻击者从一家不验证mail.google.com持有者的SSL证书颁发机构WoSign那里得到了网域为mail.google.com的证书,此证书的证书链为:最底层为网域mail.google.com,上一层证书颁发机构为WoSign,顶层证书颁发机构为VeriSign

  2/3、第二、第三个步骤同上一个方案的中间人攻击的第二、第三个步骤

  4、浏览器验证SSL证书的域和过期时间都没错,继续验证证书链:

    4.1、最底层的网域mail.google.com证书公钥不在操作系统中,无法验证其访问到的就是Gmail本身,继续验证上一层证书颁发机构

    4.2、上一层证书颁发机构WoSign的公钥也不在操作系统中,仍旧无法验证其有效性,继续验证上一层证书颁发机构

    4.3、浏览器看到顶层证书颁发机构VeriSign的公钥在操作系统中,认为证书链有效,从而把对称密钥发送给黑客服务器

  5/6、第五、第六个步骤同上一个方案的中间人攻击的第五、第六个步骤。黑客成功获得访问者的Gmail密码

  然而,不验证域名持有者就颁发证书的情况在国外几乎不会发生,但是在国内就不一定了。针对破解目标,国内证书颁发机构WoSign(在此只是举例国内比较有名的证书颁发机构WoSign,并不代表WoSign今后一定会这么做)很有可能为了上级要求颁发了证书给非域名持有者的黑客,从而使得破解目标的Gmail密码被黑客截取。

  那么,国内的破解目标是不是使用https的Gmail也无法保证安全了呢?欢迎与我进行探讨。

  来源:读者lehui99投稿,投稿人Email为:[email protected],Google Wave为:[email protected]



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/2058.html
  • 文章排行:
  • 1.blublublu
  • 我邮箱里的敏感信息都是用7zip32位密码压缩的,而且是多密码多次压缩,而且压缩后放在truecrypt里用20位以上密码和数量不确定的密钥保密的。然后再通过7zip用另一个密码压缩。

    最大的危险在于,有一天我忘了其中一个密码,就完蛋了。但是不会忘的,因为密码是我最喜欢的一本书的一章的每段话第一个字和倒数第二个标点经处理后构成的。至于我喜欢那本书,你猜猜,也许是某个电器产品的说明书。
    木有用的 于 2012-12-19 12:13:45 回复
    可以根据人体工程学,把密码计算锁定到一定程度。
    mafan 于 2013-6-28 15:09:31 回复
    你不觉得那样很麻烦吗?

  • 2011/11/21 13:24:01   支持(25)反对(10) 回复
  • 2.用心阁
  • Google的证书是Thawte Consulting (Pty) Ltd.办法并数字签名的,因此可以在连接https://www.google.com/后查看证书的信息。

    最根本的办法就是把所有国内的Root CA都从信任的公钥库中去除,需要用的时候一个个地确认。
    啊哦 于 2010-1-17 23:32:34 回复
    请问 Root CA 在什么目录?
    lehui99 于 2010-1-17 23:33:59 回复
    关键国内的都是中级颁发机构,不在系统中。但是上层机构是国外的而且在系统中,无法删除(删除的话,每个网站的https都要手工验证了)。
  • 2010/1/17 23:30:12   支持(16)反对(9) 回复
  • 3.triger
  • 嗯,需要对证书颁发机构进行核实
  • 2010/1/17 23:07:21   支持(13)反对(7) 回复
  • 4.dcpro
  • 什么叫“对于可以动用整个国家力量的黑客来说”?!看月光博客这么久了,第一次动怒了!请月光博客秉承公正客观的观点,对未经证实的言论不评论不引用。
    lehui99 于 2010-1-18 10:34:50 回复
    没看懂吗?此处只是假设罢了,不要不打自招,攻击Gmail为什么只是针对那些特定用户?想想看就知道了。国内的现状不得不让人怀疑国内所控制的一切
    死的蚊 于 2010-1-18 17:43:14 回复
    你说还有谁能动用整个国家力量?月光只是假设这个对象还可能是个黑客而已!
    蜗居宅男 于 2010-1-18 20:14:12 回复
    可以调动一个国家的黑客 我想说有点 比如朝鲜 伊朗等等 您也不用多想
  • 2010/1/18 8:10:51   支持(20)反对(14) 回复
  • 5.marsteel
  • 像Google这样的公司终将有自己的Root CA,会预装在新的操作系统,可能是Windows8之类。如果Gmail的SSL被伪造劫持,微软或Google会发布紧急更新,将Gmail的SSL证书安装在操作系统里。
  • 2010/1/18 9:46:30   支持(8)反对(3) 回复
  • 6.Hello
  • 不验证域名持有者就颁发证书的情况在国外几乎不会发生

    几乎!国外?
    lehui99 于 2010-2-6 20:53:17 回复
    显然如此,虽然不排除验证程序不规范。
  • 2010/2/3 15:18:00   支持(11)反对(6) 回复
  • 7.john
  • 這麼久 回頭來看 退出還是不遠交出那些人士的賬戶密碼 其他的就是沒有骨氣的了 難怪會有明文密碼
  • 2012/4/14 16:51:00   支持(12)反对(7) 回复
  • 8.else
  • 我好奇了,证书颁发机构又是怎么样鉴定另一个证书签发机构的呢?
    比如说D如果要自己开一个LuanSign,可行性如何?
    lehui99 于 2010-1-17 23:20:20 回复
    通过证书链,并且顶层证书存在于操作系统中。
    lehui99 于 2010-1-17 23:25:28 回复
    哦,你是说开证书颁发机构的资质吧?这个我也不是很清楚。
    lehui99 于 2010-1-18 0:51:00 回复
    中级机构的资质是顶级机构给的,顶级机构的资质是操作系统给的(因为顶级机构的证书集成在操作系统中)。
    路人 于 2010-1-19 1:53:02 回复
    那干脆通过立法或者其他手段、直接要求微软或OEM商在操作系统中内置ZF自己可控的根证书体系。
  • 2010/1/17 23:09:07   支持(11)反对(7) 回复
  • 10.HACKCRAFT
  • 这真是一个纠结而复杂的过程..O.O
  • 2010/1/18 0:18:08   支持(12)反对(9) 回复
  • 11.ab123
  • 其实我是来看五毛留什么的。
    但有一点我搞不清楚了,为什么干了这么多年的五毛们,怎么还是五毛这个价位呢,五毛们,回去找你们领导提下工资嘛!
    vhnv 于 2016/2/27 12:31:11 回复
    加(1744420444)信誉很好!希望可以帮助你们
    vhnv 于 2016/2/27 12:31:26 回复
    加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们
    vhnv 于 2016/2/27 12:32:29 回复
    加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们
  • 2010/6/2 13:57:11   支持(10)反对(7) 回复
  • 12.zhuanwan
  • 楼上的看清楚,此文不是Williamlong写的,另人投稿。

    作者的大意是通过一个中/共可以控制的证书颁发机构来伪造Gmail证书+已有的TCP劫持,从而架构一个钓鱼站点来套取Gmail账户信息,还真说的通。
    zvhdd 于 2010-1-18 15:30:01 回复
    考虑到国内的现实情况,还真的做得出来……
  • 2010/1/17 22:46:55   支持(11)反对(9) 回复
  • 13.williamlong
  • 破解Gmail的一个思路是,先架设一台钓鱼服务器,接着让mail.google.com的IP访问出现故障,然后以非官方名义发布通过hosts方法访问Gmail,接着通过钓鱼服务器记录登录用户名和密码,即可破解Gmail。
    是吧 于 2010-1-17 23:54:41 回复
    如果用户 HOTS mail.google.com 的IP, 这种可防性是不是会提高?
    lehui99 于 2010-1-18 0:04:48 回复
    这样浏览器会报警,说SSL证书错误。或者浏览器地址直接是http而不是https的。
    lehui99 于 2010-1-18 0:08:28 回复
    在hosts中写上mail.google.com的IP也没用,有路由器控制权限的人,可以通过伪造IP的方式让你访问到钓鱼站点。
    是吧 于 2010-1-18 0:09:28 回复
    恩,我也认为是,肯定会报错误。
    如果把IP封了,也没问题,就是打不开。
    哈哈, 是不?
    是吧 于 2010-1-18 0:10:50 回复
    草了,那么多IP,它真要伪造,那也玩的太彻底了吧?
    lehui99 于 2010-1-18 0:11:39 回复
    嗯,或者地址栏不是https而是http的。
    lehui99 于 2010-1-18 0:14:02 回复
    也就4个IP:
    Name: googlemail.l.google.com
    Addresses: 64.233.189.83, 64.233.189.18, 64.233.189.17, 64.233.189.19
    Aliases: mail.google.com
    是吧 于 2010-1-18 0:15:07 回复
    你小子,全列出来,以后别想上了。。哈哈
    是吧 于 2010-1-18 0:16:41 回复
    不, 你没找到全部, 我自己设定的IP 就不一样, 看来你还没找全, 不过算了, 别列出来了。。。
  • 2010/1/17 23:52:10   支持(14)反对(12) 回复
  • 14.要SAY
  • 有个设想,如果某个国家有18万黑客,大部分为该政府雇用,国内有很多中级CA,又被政府和谐,导致GG知识产权被盗,用户GMAIL帐户糟入侵。因此,GG要退出该国,也就顺理成章了,看来,又有一个国际级的丑闻要来了,但原不是真的,否则,在该国用网银,就是给黑客送钱。
    灰常开心 于 2010-1-18 10:56:49 回复
    不会的吧
    人家肯定是有纪律的,怎么会乱来呢?
  • 2010/1/18 9:02:57   支持(9)反对(7) 回复
  • 15.眼见为实
  • 前一种方法还可以理解,后一种方法第4步看不懂了
    lehui99 于 2010-1-21 17:14:01 回复
    是说4.1 - 4.3吗?一般只有部分中级证书颁发机构才会存在于操作系统中,所以很多时候浏览器只有验证到根证书颁发机构的时候,才能确定其有效性。
  • 2010/1/21 11:58:29   支持(11)反对(9) 回复
  • 16.lhb5883
  • 问上一句,如果使用VPN的话是否能防御这种攻击呢?
    lehui99 于 2010-1-17 23:27:49 回复
    OpenVPN或基于OpenVPN等固定证书类型的VPN的话(当然,要求VPN服务器在国外,否则还是无法防御),可以防御这种攻击。
  • 2010/1/17 23:24:11   支持(9)反对(8) 回复
  • 17.仰望星空
  • 国内某免费邮箱听说就被类似方法破解了SSL。他们没有限制注册可以接收SSL证书的信箱,有人用这个信箱申请到了正规机构颁发的证书。但这个方法对gmail不起作用,即使开放了gmail.com的所有邮箱,申请到的证书只是gmail.com这个域的,而对mail.google.com无效。
    lehui99 于 2010-1-18 0:26:19 回复
    这样只是通过邮箱收SSL证书破解https,国内CA如果乱来,完全不用邮箱就可以破解https。
  • 2010/1/18 0:23:45   支持(7)反对(6) 回复
  • 18.哥伦布
  • 个人认为,可以利用全部资源分析此人的一切信息,例如QQ密码,论坛密码,其他国内邮件密码,结合身份信息破解成功概率会更大。
  • 2010/1/18 8:09:30   支持(8)反对(7) 回复
  • 19.是
  • 难怪上gmail的时候证书哪里老是有红色的感叹号,原来有"黑客"“关怀”。
  • 2010/1/18 9:09:49   支持(11)反对(10) 回复
  • 20.以
  • 硅谷最大公司之一的一名雇员表示:“我在中国工作了4年,知道一切都会被偷。上帝保佑谷歌。”
  • 2010/1/18 9:24:06   支持(12)反对(11) 回复
  • 21.务阁
  • 中国做破解还是很猛的饿。....
  • 2010/1/18 11:48:28   支持(11)反对(10) 回复
  • 22.tkiller
  • 中间人攻击将非常的频繁,很多是恶意目的,包括社会工程规模化监控,
  • 2014/6/8 10:20:39   支持(8)反对(7) 回复
  • 24.啊哦
  • FireFox 显示为:

    您已连接至 google.com
    它的经营者为 (未知)
    验证者:Thawte Consulting (Pty) Ltd.
    -------------------------------------
    IE 显示为:

    颁发给: www.google.com
    颁发者: Thawte SGC CA
    有效起始日期 2009-12-18 到 2011-12-19
    lehui99 于 2010-1-17 23:44:05 回复
    以后上Gmail手动验证中级颁发机构是不是Thawte也是一种办法。
    是吧 于 2010-1-17 23:53:30 回复
    证书的颁发者也是可以篡改的。
    从技术层面应该不是问题吧?
    lehui99 于 2010-1-17 23:57:47 回复
    无法伪造证书颁发机构,因为顶级证书颁发机构对下属证书的公钥做了签名,黑客无法赚改证书颁发机构的名称。
  • 2010/1/17 23:26:26   支持(14)反对(14) 回复
  • 25.南靖男
  • 这种攻击方式完全是破坏互联网的安全基石。真有 CA 敢这么做,就有得热闹了。
    国内没有 ROOT CA,即使是有,也会一并干掉了。
    lehui99 于 2010-1-18 0:09:32 回复
    国内有很多中级CA。
  • 2010/1/18 0:01:31   支持(10)反对(10) 回复
  • 26.fw
  • 是的,昨天看到你的twitter,一直在想这个问题。https关键就在CA的认证证书。看来以后要多加观察https的来源了,如果gmail或者国际组织的https证书是国内颁发的,就很可疑了。还有,发现这里五毛真多。
  • 2010/1/18 11:28:29   支持(9)反对(9) 回复
  • 27.风雨天堂
  • 我路过的,但我一直用Google
  • 2010/1/18 13:36:49   支持(10)反对(10) 回复
  • 28.死的蚊
  • 由这篇文章可见中国ZF的公信力已经沦丧到了何种程度——不仅影响到ZF自身的形象,还影响到身在这个国家的机构、组织、公司甚至个人。

    这到底是中国ZF的不幸,中国人的不幸,还是中国的不幸?
  • 2010/1/18 17:39:46   支持(13)反对(13) 回复
  • 29.上帝
  • 当你义无返顾地向着光明奔去时,“上帝”犹如你身上的天使之翼,在你努力的时候,帮助你翱翔。
    当你魔鬼化身般向着黑暗奔去时,“上帝”犹如你身后的降速伞,在你坠入深渊时,还可以为你撑起一片蓝天。
  • 2010/1/19 11:54:04   支持(12)反对(12) 回复
  • 30.Firm
  • 额,看了差不多20分钟,最后总结下“看不懂”。
  • 2010/1/19 14:48:10   支持(9)反对(9) 回复
  • 31.五毛去死
  • 怎么这么多五毛啊 祝你们永世兲朝不得轮回
  • 2010/7/28 22:38:44   支持(10)反对(10) 回复
  • 32.我擦泪
  • 月光真有面子!学习了。中国的中级CA多了去了,害怕
  • 2010/8/3 14:07:17   支持(9)反对(9) 回复
  • 33.tkiller
  • Windows的话直接win+R快捷运行,输入 certmgr.msc 进入到系统证书管理
    在受信任的根证书颁发机构里找到它然后右键属性选“停用这个证书的所有目的”。

    IE 和 Chrome 是用的 Windows 系统的证书,而 Firefox 是自带证书(跟 Windows 自带的无关)。
    有好几个china的证书都应该禁止掉所有属性,或者取消信任!!!特别是叫“RootCA”的,是gov的证书,可信度极低!!!


  • 2014/6/8 10:16:40   支持(9)反对(9) 回复
  • 34.wweer
  • 查移动、联通;通话清单,短信内容,手机定位找人;qq,微信密码破解,聊天记录,等! 放心,绝对可靠,希望可以帮助你,联系方式╋QQ:{599 655 988}。
    网络的交易,有朋友 介绍才能放心!
  • 2015/7/25 23:28:21   支持(4)反对(4) 回复
  • 35.sdfdfger
  • 谷歌,美国中情局喊你回家吃饭

    sunwen 于 2010-1-17 23:31:37 回复
    中国的公务员也看月光博客啊?
    cb 于 2010-1-19 6:10:29 回复
    公务员肯定轮不上,人家现在都裸体做官,谁会到技术博客上反美帝?也就是个底层的5毛
  • 2010/1/17 22:30:15   支持(9)反对(10) 回复
  • 36.漂博远方
  • 文章读起来有点难度!
    大致了解一下。
  • 2010/1/18 8:40:03   支持(11)反对(12) 回复
  • 37.nigun
  • 我倒是觉得,作者可显得自己懂技术了

    居心何在
    边走边看 于 2010-1-18 12:46:36 回复
    无畏者无知!!!
    fzfz 于 2010-1-19 10:46:31 回复
    五毛的习惯用语就是别有用心,和日人民报一个口吻
  • 2010/1/18 8:54:48   支持(8)反对(9) 回复
  • 38.国
  • 太可怕了,如真有有路由器控制权限的"黑客"。
  • 2010/1/18 9:16:14   支持(9)反对(10) 回复
  • 39.小光
  • 为啥要挂黑客教学文章呢?不是教坏了花花草草们么...
  • 2010/1/18 12:10:02   支持(7)反对(8) 回复
  • 40.makefile
  • 费事,都能DNS劫持了直接做个http的钓鱼不更简单吗?
    或者偷偷导入假个根证书。
    lehui99 于 2010-1-18 12:15:07 回复
    http的钓鱼可以发现浏览器不是https的。偷偷导入假个根证书就要控制别人电脑了。
    是吧 于 2010-1-18 14:17:48 回复
    这样也太大胆了,保存证据会很没面子的,甚至将传送至国际法庭...技术和隐秘性拙劣到及至,后果非常严重。 不过CA 破IE 如果本证实, 那影响要比钓鱼严重10000倍.
  • 2010/1/18 12:12:09   支持(6)反对(7) 回复
  • 41.helloapp
  • 关于google的博客声明,有一点不明,请大家指教:

    google是怎么知道那些泄密帐号是属于人——权人士的呢?只有看过邮件内容才能知道这用户是干什么工作的吧。这么说,难道google看了人家的邮件内容?这样算不算侵犯用户的隐私权呢?
    lehui99 于 2010-1-18 14:27:19 回复
    根本不用看邮件内容。照你的逻辑,那么攻击这些帐号的人已经事先知道了这些帐号中的邮件内容了?那他们还要去攻击获取邮件内容怎么说?
    cb 于 2010-1-19 6:18:36 回复
    google一下用户名或者email,不就可以了?

    当然5毛都是社会底层的脑残人士,这些都想不到的.
    helloapp 于 2010-1-19 10:13:52 回复
    我还是没看懂你们俩的回复啥意思
    比如说我注册了个gmail帐号,google知道我是谁吗?google知道我是搞人 -- 权工作的,还是从事科技工作的?不看我的邮件内容google能确定我是干啥的啊?
    PS:动不动就说人五毛真是够无聊的。我还是谷歌的fans来着。
    fzfz 于 2010-1-19 10:43:03 回复
    很多你说的这些人是在美国的,他们没有权利对google投诉,你是否知道有客服这两个字?你的银行账号被盗了,你会不会报警?s13
  • 2010/1/18 14:11:43   支持(9)反对(10) 回复
  • 42.5m
  • 這篇文章好熱鬧,來了那么多五毛。
  • 2010/1/18 14:13:14   支持(9)反对(10) 回复
  • 43.apps
  • 我在考虑一个问题,希望小龙能看到:刚发现最近一些文章招来五毛...你考虑过月光博客的安全吗
    五毛去死 于 2010-7-28 22:39:15 回复
    哈哈 可以订阅嘛
  • 2010/6/5 23:03:00   支持(10)反对(11) 回复
  • 44.tkiller
  • 博主,应该再次的写个系统方面的根证书方面的博文!!!
  • 2014/6/8 10:21:14   支持(5)反对(6) 回复
  • 45.米虫
  • 看不懂,眼花缭乱
    哈哈大侠 于 2010-1-18 5:53:39 回复
    呵呵,不是搞技术的看不懂很正常。

    这里说的其实是https网址的大概通讯流程

    不过我认为,既然所有的东西,都要通过网络传输,那直接捕获整个过程,要解开其中的内容又有什么难的呢。
    tippisum 于 2010-2-3 17:16:10 回复
    并不是“整个过程”都可以掌握
    实际上这里还有赖于一个最关键的过程那就是本地的证书验证。这个是集成在操作系统当中的,和网络传输无关。当然不排除微软也会和ZF合作在这里留漏洞。不过可能性应该不大吧
    vhnv 于 2016/2/27 12:32:06 回复
    加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们加(1744420444)信誉很好!希望可以帮助你们
  • 2010/1/17 22:13:32   支持(10)反对(12) 回复
  • 46.呵呵
  • 还是美国政府好啊,
    看gmail内容根本不用破解,直接打个电话让Google送资料就可以了。
    哦,对了,希拉里在谷歌退出中国前密会Google总裁。不知道,是不是希拉里告诉Google总裁,被攻击的gmail账户是“异议分子”的。不然,Google如何知道被攻击的gmail账户是“异议分子”的呢??
    全世界那么多gmail用户,Google竟然知道哪些是正常用户,哪些是“异议分子”账户。Google真不简单!!
    sunwen 于 2010-1-17 23:31:18 回复
    中国的公务员也看月光博客啊?
    lanbo 于 2010-1-18 0:12:04 回复
    美国公务员中文说的真好
    ming 于 2010-1-18 0:35:11 回复
    好多五毛。
    lehui99讨论可能的攻击手段是好事情。
    ming 于 2010-1-18 0:37:01 回复
    连中级CA都无法保证安全的话,那我们上网银岂不是。。。。。。无法想象。
    lehui99 于 2010-1-18 0:41:39 回复
    用专业版带客户端的网银应该好一点,固定证书的,这个就不看CA证书了,证书直接集成在客户端中。
    abc 于 2010-1-18 7:31:29 回复
    别总用中国的想法去思考,美国是三权分立的,政府没这么大自由度。“美国司法部要求Google公司提供百万个网站地址及用户输入的搜索关键词等资料,Google公司对此要求表示拒绝。美国地区法院就Google公司与司法部之间的纠纷作出裁决,要求其向司法部提交部分索引网址,但无需提交用户输入的搜索关键词等信息。”美国政府为什么不敢把关塔纳摩的人转移到美国去,就是要逃避美国国内法的管辖。
    你是好×员 于 2010-1-18 12:06:59 回复
    你是个好×员,支持×员多上网!
    isomezero 于 2010-1-18 18:07:38 回复
    你收五毛的银行账号被盗了,你不会去银行挂失?
    块头 于 2010-1-20 14:00:02 回复
    来,收五毛
    harper 于 2011-4-13 11:53:38 回复
    一個看<環球憤報>長大的娃,真可憐
  • 2010/1/17 22:28:36   支持(11)反对(13) 回复
  • 47.阳光不锈
  • 呃,我想起了一句广告词,一切皆有可能。
  • 2010/1/17 22:29:00   支持(8)反对(10) 回复
  • 48.dama
  • 如果胆敢这么做,上一层吊销WoSign如何?
    lehui99 于 2010-1-17 22:46:35 回复
    吊销WoSign之前Gmail帐户已经被破解了,而且可以小范围针对部分人士做DNS劫持或IP欺骗,上层根本查不出来。
  • 2010/1/17 22:42:22   支持(8)反对(10) 回复
  • 49.lzuxz
  • 我上gmail的时候证书哪里老是有红色的感叹号?
    lehui99 于 2010-1-17 23:42:43 回复
    访问 https://mail.google.com/ ,不要访问 https://www.gmail.com/ 。
    lzuxz 于 2010-1-17 23:46:08 回复
    ok了,不过打开一个邮件以后又变成红色的感叹号了。
    不是吧 于 2010-1-17 23:48:08 回复
    不是吧? 红色很危险 ...
    是吧 于 2010-1-17 23:51:16 回复
    lehui99, 请问APPS邮局的用户是不是安全更难保障?
    lehui99 于 2010-1-17 23:52:01 回复
    你查一下https的证书链,颁发机构分别是什么?
    lehui99 于 2010-1-17 23:54:14 回复
    APPS的mail和普通的Gmail的安全性是一样的。对于可以劫持整个国家网民的域名的黑客来说,劫持你的域名和劫持Gmail的域名来说是一样的。
  • 2010/1/17 23:39:56   支持(7)反对(9) 回复
  • 50.You
  • 所有技术问题都可以解决,但不是所有问题都可以靠技术解决。
  • 2010/1/18 9:47:17   支持(7)反对(9) 回复
  • 51.是吧
  • 今天有个很大的发现,用美国IP注册gmail已经变成 @googlemail.com 的域了, 用CN-IP注册却还是 @gmail.com, 是不是google公司的googlemail.com域更安全?
  • 2010/1/18 20:40:38   支持(8)反对(10) 回复
  • 52.yww
  • 如果黑客自己生成一个私钥,浏览器验证根证书公钥的时候发现无法通过操作系统中预装的公钥加密数据后使用这个私钥进行解密,从而判定这个公钥是无效的。 这段话逻辑有问题,作者有跳跃,第一句的私钥怎么变成了后面的被判断的公钥的。两个不同的名词之间的转换没有交代。
  • 2013/6/29 0:38:11   支持(8)反对(10) 回复
  • 53.lehui99
  • 恩,不过大多数人都不会去改hosts上Gmail。所以如果被攻击,大多数人还是被黑了。
  • 2010/1/18 0:19:53   支持(7)反对(10) 回复
  • 54.囧王
  • 这样看来好恐怖啊,不上网了,回家去种田吧,天天开心农场
  • 2010/1/18 19:43:45   支持(7)反对(10) 回复
  • 55.dltc
  • 有点不明白:浏览器验证根证书公钥的时候发现无法通过操作系统中预装的公钥加密数据后使用这个私钥进行解密,从而判定这个公钥是无效的。

    私匙是在服务器上的,本地浏览器怎么使用这个私匙进行解密公钥加密数据?

    顺便更正一个别字:如果证书颁发机构在没有验证黑客为mail.google.com的持(游)者的情况下
    lehui99 于 2010-6-2 20:52:54 回复
    浏览器验证根证书公钥的时候发现无法通过操作系统中预装的公钥加密数据后使用这个私钥进行解密——这里笔误了,本来是想说“无法通过操作系统中预装的公钥解密黑客的这个私钥加密过的数据”
  • 2010/6/2 11:29:20   支持(5)反对(8) 回复
  • 56.谷歌去死
  • 本来还对Google有点同情,现在知道Google和轮子们一伙,制造谣言来污蔑胡总的时候,我只想说Google你去死。
    lehui99 于 2010-1-17 23:22:45 回复
    何出此言?国际知名安全机构VeriSign(也是顶层证书颁发机构)已经验证了Google提交的证据了,也已经证实了Google和其他20家公司被攻击了。
    else 于 2010-1-17 23:27:31 回复
    证据?
    lehui99 于 2010-1-17 23:30:43 回复
    可以去搜一下,VeriSign已经找到攻击IP,并且将要找到控制这些肉鸡的控制主机了。
    else 于 2010-1-17 23:54:39 回复
    额,我是想知道五毛喷那话有什么证据……Google的遭遇我一直在关注呢
    白胖 于 2010-1-18 5:38:54 回复
    是啊,我也很气愤google污蔑胡总!大家到google.com上搜索一下纳米比亚 胡 锦 涛就知道了。我们胡core是那样的人吗?我们胡公子是那样的人吗?
    五毛走好 于 2010-1-28 15:33:05 回复
    拜托,Google只是忠实反映互联网上存在的东西而已。那东西又不是Google自己杜撰的。倒是国内很多人见不得某些东西,就闭上眼假装不存在,也不让别人看。报道新闻的时候也能随便颠倒黑白。
  • 2010/1/17 23:15:52   支持(9)反对(13) 回复
  • 57.是吧
  • 吃饭去了,明天再来温习下,BB
    lehui99 于 2010-1-18 0:23:06 回复
    恩,不过大多数人都不会去改hosts上Gmail。所以如果被攻击,大多数人的Gmail帐户还是被黑了。
  • 2010/1/18 0:19:08   支持(9)反对(13) 回复
  • 58.Sxm
  • 长知识了。

    以前家里的宽带总被电信劫持加广告,而且还是数据层的劫持,你换DNS都没用。
  • 2010/1/18 17:54:14   支持(10)反对(14) 回复
  • 59.NA
  • 纯技术的帖子,你个白痴来捣什么乱??你丫就是用这种方法对抗胡书记的科学发展的么??不懂不要紧,不懂装懂,还到处显配,不怕丢你主子的脸么??不要脸的东西,滚开点!!
    NA 于 2010-1-19 11:52:35 回复
    我骂的是楼上骂谷歌的白痴!
  • 2010/1/19 11:51:51   支持(8)反对(12) 回复
  • 61.maybe
  • 真假难辨,普通人还是好好过日子吧,因为改什么都是要付出血的代价的。。。。
  • 2010/1/19 8:25:55   支持(5)反对(10) 回复
  • 62.asdfasdf
  • 2012年棱镜门一出,这篇文章中的某些内容和某些人的回复就显得极其可笑了,极度的讽刺挖苦自己的国家,而你所羡慕的另一个国家偏偏就是最大的网络流氓国家。
  • 2013/7/3 14:30:41   支持(12)反对(17) 回复
  • 63.白胖
  • 没错,这个方法应该是可行的,然后继续下去:
    Verisign 发现Wosign滥用CA,吊销证书
    某黑社会群体找另一家CA
    另一家CA也被吊销证书
    Verisign宣布某黑社会所在国家所有CA都被吊销,退出某黑社会所在国家
    黑社会锲而不舍找其他黑社会所在国家合作
    ......
    互联网分裂为黑社会局域网和非黑社会广域网
    ......
    (参见韩寒预言)
    玛雅人后代:预言有十年左右的偏差是可以接受的
    匿名 于 2013-1-23 16:26:23 回复
    韩寒连这也懂?
  • 2010/1/17 22:58:31   支持(4)反对(10) 回复
  • 64.popolo
  • 不借助有效第三方或者其它可靠媒介,是无法避免中间人攻击的,这是网络安全的常识
    lehui99 于 2010-1-18 23:12:10 回复
    本文的关键是:“有效”第三方或者其它“可靠”媒介在国内某些团体的权力下是完全有能力被借助的
  • 2010/1/18 22:29:03   支持(6)反对(12) 回复
  • 65.testfor
  • 这样的话,帝国主义要是对我们动粗,那太容易了。
    你的一切基础在别人看来就是个鸟。
    极端情况下,断网是唯一的自保选择。
    lehui99 于 2010-1-18 0:53:55 回复
    现在的情形恰恰相反,国内的情形都不用大家说了。。。
  • 2010/1/18 0:48:26   支持(6)反对(13) 回复
  • 66.jfly
  • 晕,五毛×跑这里来了。月光博客好有面子啊。
  • 2010/1/18 1:04:02   支持(6)反对(13) 回复
  • 67.看看Google的不作恶
  • 揭露一下,无耻谷歌的真面目。


    1.请大家用 Google国际网站中文版,搜索一下“百度”,看看提示
    [ 转自铁血社区 http://bbs.tiexue.net/ ]

    在用 Google国际网站英文版,搜索一下百度。看看提示。



    2,请大家用Google国际网站中文版,搜索一下“中”,看看提示。

    再用Google国际网站英文版,搜索一下“中”。看看提示。


    3,最后大家用Google国际网站中文版,搜索一下“胡”,看看提示。

    然后大家再用Google 国际网站英文版,搜索一下“胡”。看看提示。

    同理在搜索一下分别在Google国际网站的中文版和英文版分别搜索一下“温”。
    [ 转自铁血社区 http://bbs.tiexue.net/ ]


    我可以告诉你们,在Google宣布退出中国后。Google国际网站(记住是Google国际网站)的搜索提示结果中发生了明显的改变。

    这就所谓的不作恶的Google。

    通过改变Google国际网站的搜索提示结果来向xxx施压。
    了 于 2010-1-18 15:40:21 回复
    网狗在此,五毛在此
    孤山客 于 2010-1-18 22:49:33 回复
    那是因为GG取消了.com的某些关键词屏蔽,但.cn还没有
    fzfz 于 2010-1-19 10:44:42 回复
    铁血的s13就留在你们那s13网站自娱自乐好了,干嘛出来啊,看你说的那些幼稚的东西,你到底懂不懂技术?懒得回答你
  • 2010/1/18 12:50:02   支持(13)反对(20) 回复
  • 68.Marco
  • SSL 都可以造假,我们的安全还能有保证么??
  • 2010/1/21 22:15:32   支持(6)反对(13) 回复
  • 70.XXXX
  • 问下lehui99

    如果我用 韩国VPN(私用)上Gmail还可以被所谓的"黑客"监控么
    MSN明文传送聊天记录 Gtalk中文版是密文

    我们还有什么秘密
    qwb 于 2010-1-27 9:29:10 回复
    你以为163啊~
    qwb 于 2010-1-27 9:29:48 回复
    我回错了 回的是楼主
    lehui99 于 2010-1-27 15:44:52 回复
    要看是什么类型的VPN。如果是OpenVPN类似的本身使用固定SSL证书的VPN,那么可以不受国内的网络控制。
  • 2010/1/27 1:45:49   支持(6)反对(17) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.