最近瀏覽到一個(gè)知乎問題：某運(yùn)營(yíng)同學(xué)在試用期期間因?yàn)樵诠ぷ髌陂g上了某 1024 網(wǎng)站，導(dǎo)致試用期不過。

[[377621]] 

圖片來自 Pexels

 

前兩天還看到不少推文，大意是：看小電影前一定要注意網(wǎng)址是不是 HTTPS 的，因?yàn)?HTTPS 是加密的，別人就不知道了。

看到上面幾個(gè)問題，我不禁想問(這腦回路也是……)：

• 通過瀏覽器訪問 HTTPS 站點(diǎn)，其他人真的沒法知道嗎?
• 通過 App 訪問匿名論壇(HTTPS)，公司怎么知道的?(他是不是接入了公司 WiFi?)

總之就是，上班時(shí)間上網(wǎng)摸魚嗎?哪怕用 HTTPS 訪問，如果公司知道，是通過什么手段?

[[377622]] 

本文談?wù)勎业目捶?，主要分為以下幾個(gè)方面：

• HTTPS 為什么安全?
• HTTPS 真的安全嗎?
• App 如何保證信息安全，不被爬走?
• 公司可能的監(jiān)控手段有哪些?我們?nèi)绾巫霾拍艽_保自己的隱私泄露?

HTTPS 為什么安全

HTTPS，也稱作 HTTP over TLS，TLS 前身是 SSL，會(huì)有各個(gè)版本。

 

TLS 協(xié)議在 TCP/IP 協(xié)議棧中的關(guān)系

上圖描述了在 TCP/IP 協(xié)議棧中 TLS(各子協(xié)議)和 HTTP 的關(guān)系，HTTP+TLS 也就是 HTTPS。

和 HTTP 相比，HTTPS 的優(yōu)勢(shì)：

• 數(shù)據(jù)完整性：內(nèi)容傳輸經(jīng)過完整性校驗(yàn)。
• 數(shù)據(jù)隱私性：內(nèi)容經(jīng)過對(duì)稱加密，每個(gè)連接生成一個(gè)唯一的加密密鑰。
• 身份認(rèn)證：第三方無法偽造服務(wù)端(客戶端)身份。

 

HTTPS 原理

上圖就是大致介紹了 HTTPS 的握手流程，感興趣的同學(xué)可以用 WireShark 抓包詳細(xì)看看其中的每一個(gè)步驟，有助于理解 HTTPS 的完整流程。這里，我就不詳述了。

大致就是客戶端和服務(wù)端通過“握手會(huì)談”商量出一個(gè)雙方支持的加密算法和相應(yīng)隨機(jī)參數(shù)，得到一對(duì)密鑰，后續(xù)的傳輸?shù)膬?nèi)容都通過這對(duì)密鑰進(jìn)行加解密。

這對(duì)密鑰很牛皮，比如要加密傳輸消息『tangleithu』，客戶端通過公鑰加密得到的密文『xyyaabbccdd』進(jìn)行傳輸，服務(wù)端用自己的私鑰對(duì)密文解密，恰好能得到『tangleithu』。

中間錯(cuò)一位都不行，這樣就保證了數(shù)據(jù)完整和隱私性。這個(gè)過程比較復(fù)雜，本文不詳述。

因此，你在通過 HTTPS 訪問網(wǎng)站的時(shí)候，就算流量被截取監(jiān)聽，獲取到的信息也是加密的，啥實(shí)質(zhì)性的內(nèi)容也看不到。

例如，如下圖所示，當(dāng)我訪問某個(gè)網(wǎng)站，此時(shí)通過 wireshark 抓包得到的信息，能獲得僅僅是一些通信的 IP 地址而已。

 

HTTPS 加密傳輸

這下放心了嗎?摸魚的過程中，就算訪問的 IP 地址被知道了，好像也無關(guān)緊要?其實(shí)，有了 IP 地址也能獲取不少信息了。

 

還好這個(gè) IP 搜出來是 Github，而不是……

[[377623]] 

你或許會(huì)高興，連個(gè)網(wǎng)站域名都看不到，可以放心摸魚了。不過，這是真的嗎?

[[377624]] 

HTTPS 真的安全嗎?

HTTPS 真的完全安全嗎?連訪問的域名都獲取不到?答案是否定的。上述 HTTPS 在握手階段有一個(gè)很重要的東西：證書。

SNI：域名裸奔

當(dāng)訪問 HTTPS 站點(diǎn)時(shí)，會(huì)首先與服務(wù)器建立 SSL 連接，第一步就是請(qǐng)求服務(wù)器的證書。

當(dāng)一個(gè) Server IP 只對(duì)應(yīng)一個(gè)域名(站點(diǎn))時(shí)，很方便，任意客戶端請(qǐng)求過來，無腦返回該域名(服務(wù))對(duì)應(yīng)的證書即可。

但 IP 地址(IPv4)是有限的呀，多個(gè)域名復(fù)用同一個(gè) IP 地址的時(shí)候怎么辦?

服務(wù)器在發(fā)送證書時(shí)，不知道瀏覽器訪問的是哪個(gè)域名，所以不能根據(jù)不同域名發(fā)送不同的證書。

因此 TLS 協(xié)議升級(jí)了，多了 SNI 這個(gè)東西，SNI 即 Server Name Indication，是為了解決一個(gè)服務(wù)器使用多個(gè)域名和證書的 SSL/TLS 擴(kuò)展。

現(xiàn)在主流客戶端都支持這個(gè)協(xié)議的。別問我怎么知道這個(gè)點(diǎn)的，之前工作上因?yàn)檫@個(gè)事情還費(fèi)了老大勁兒……

它的原理是：在與服務(wù)器建立 SSL 連接之前，先發(fā)送要訪問站點(diǎn)的域名(Hostname)，這樣服務(wù)器會(huì)根據(jù)這個(gè)域名返回一個(gè)合適的證書。此時(shí)還沒有辦法進(jìn)行加解密，因此至少這個(gè)域名是裸奔的。

如下圖所示，上面的截圖其實(shí)是訪問我的個(gè)人博客(www.tanglei.name)的抓包情況，客戶端發(fā)送握手請(qǐng)求時(shí)，很自覺帶上了自己的域名。

 

HTTPS SNI

因此，即便是 HTTPS，訪問的域名信息也是裸奔狀態(tài)。你上班期間訪問小電影網(wǎng)站，都留下了痕跡，若接入了公司網(wǎng)絡(luò)，就自然而然被抓個(gè)正著。

除了域名是裸奔外，其實(shí)還有更嚴(yán)重的風(fēng)險(xiǎn)，那就是中間人攻擊。

中間人攻擊

前面也提到 HTTPS 中的關(guān)鍵其實(shí)在于這個(gè)證書。

從名字可以看出來，中間人攻擊就是在客戶端、服務(wù)器之間多了個(gè)『中介』，『中介』在客戶端、服務(wù)器雙方中偽裝對(duì)方。

如下圖所示，這個(gè)『MitmProxy』充當(dāng)了中間人，互相欺騙：

 

中間人攻擊，來源 evil0x

可以安裝 MitmProxy 或者 Fiddler 之類的抓包軟件嘗試一把，然后開啟代理。

此時(shí)用手機(jī)訪問百度，得到的信息如下：

 

證書信任前

提示，連接不是私密連接，其實(shí)就是瀏覽器識(shí)別了證書不太對(duì)勁，沒有信任。而如果此時(shí)手機(jī)安裝了 Fiddler 的證書，就會(huì)正常訪問。

 

證書信任后可正常訪問

因此，當(dāng)你信任證書后，在中間人面前，又是一覽無余了。

而如果你用了公司電腦，估計(jì)你有相應(yīng)的操作讓信任證書吧，或者手機(jī)上是否有安裝類似的客戶端軟件吧?

抓緊時(shí)間看看手機(jī)的證書安裝明細(xì)(比如我手機(jī)上的)：

 

我前任公司在信息安全這塊做得就非常謹(jǐn)慎，手機(jī)會(huì)有工作手機(jī)，未授權(quán)的任何 App 都不能安裝，誰知道 App 會(huì)悄悄干些什么事情呢。(最新熱點(diǎn)，QQ 掃描瀏覽器歷史記錄，你可知道)

當(dāng)然各種 App 肯定也不是吃素的，不會(huì)讓『中間人攻擊』這么容易就得逞的，咱們接著看。

如何防止信息安全，反爬

前面提到，要實(shí)施中間人攻擊，關(guān)鍵在于證書是否得到信任。瀏覽器的行為是證書可以讓用戶授權(quán)是否信任，而 APP 就可以開發(fā)者自己控制。

比如我嘗試通過類似的方式對(duì)某匿名社區(qū)進(jìn)行抓包解密 HTTPS，但最終失敗了，為什么呢?

 

這就要談到『SSL Pinning』技術(shù)。App 可以自己檢驗(yàn) SSL 握手時(shí)服務(wù)端返回的證書是否合法，“SSL pinning” 技術(shù)說的就是在 App 中只信任固定的證書或者公鑰。

因?yàn)樵谖帐蛛A段服務(wù)端的證書必須返回給客戶端，如果客戶端在打包的時(shí)候，就把服務(wù)端證書放到本地，在握手校驗(yàn)證書的環(huán)節(jié)進(jìn)行比較，服務(wù)端返回的證書和本地內(nèi)置的證書一模一樣，才發(fā)起網(wǎng)絡(luò)請(qǐng)求。

否則，直接斷開連接，不可用。當(dāng)然，一般情況下，用這種技術(shù)也就能防止 HTTPS 信息被解密了。

不過，也還有其他的技術(shù)能夠破解這種方法，比如 Android 下的一些 Hook 技術(shù)，具體而言就是繞過本地證書強(qiáng)校驗(yàn)的邏輯。

感興趣的同學(xué)可以抱著學(xué)習(xí)目的研究一下。不過據(jù)說這種方式需要對(duì)系統(tǒng)進(jìn)行 Root、越獄等，需要一些更高權(quán)限的設(shè)置。

因此，也告誡我們，一定不要亂安裝一些軟件，稍不注意可能就中招，讓自己在互聯(lián)網(wǎng)上進(jìn)行裸奔。

一方面?zhèn)€人隱私信息等泄露，另外一個(gè)方面可能一些非常重要的如賬戶密碼等也可能被竊取。

可能的監(jiān)控手段有哪些?

辦公電腦當(dāng)然要接入公司網(wǎng)絡(luò)，通過上面介紹的內(nèi)容，你也應(yīng)該知道，你在什么時(shí)候?yàn)g覽了哪些網(wǎng)站，公司其實(shí)都是一清二楚的。

若自己的手機(jī)如果接入了公司網(wǎng)絡(luò)也是一模一樣(連 Agent 軟件都不需要裝)。這就提醒我們，私人上網(wǎng)盡量用自己的移動(dòng)網(wǎng)絡(luò)呀。

 

瀏覽記錄，來源知乎

上面提到，如一些涉及隱私的敏感信息，如一些 PC 軟件、手機(jī) App 自己內(nèi)部加密傳輸?shù)脑?，?nèi)容加密(包括但不限于 HTTPS)不被破解也問題不大。

不過，這當(dāng)然依賴這些軟件設(shè)計(jì)者的水平了。比如同一個(gè)匿名用戶對(duì)外展示的 ID 不能相同，如果是同一個(gè)的話也恰好暴露了邏輯漏洞。

當(dāng)然，我們還是不要抱有僥幸心理，在監(jiān)管的要求下，如果確實(shí)有一些違法等不恰當(dāng)?shù)难哉摰龋冀K還是有門路找到你的。

[[377626]] 

更何況，一般辦公電腦都會(huì)預(yù)安裝一些公司安全軟件，至于這些軟件究竟都干了些什么，有沒有進(jìn)行傳說中悄悄截圖什么的，這就因人(公司)而異了。(不討論類似行為是否涉及到侵犯了員工隱私等問題)

 

圖源知乎

不過，個(gè)人認(rèn)為，咱也沒必要過度擔(dān)心。一般公司也不會(huì)因?yàn)槟闵习嗯紶柮€(gè)魚，逛逛淘寶、看看微博來找你麻煩的。畢竟沒必要這么點(diǎn)芝麻事情來『大動(dòng)干戈』。

但最好是不是對(duì)照員工手冊(cè)來看看，是否有明令禁止的行為?自己的行為是不是太過了，免得被抓住把柄，正所謂『常在河邊走哪有不濕鞋』，『欲加之罪、何患無辭』。

后記

本人才疏學(xué)淺，文章難免有所疏漏，如有相應(yīng)問題，還望大家指教。最后，祝大家一輩子都不要因文中提到的類似事情掉坑里。

[[377627]] 

作者：石頭哥，阿里 P7，清華學(xué)渣，前大疆后端 Leader。

編輯：陶家龍

出處：轉(zhuǎn)載自公眾號(hào)程序猿石頭(ID: tangleithu)