今天,很多商务人士要到不同的国家出差,在出差过程中,他们常常需要访问比如gmail, yahoo mail,github等很多网站,但这些网站在有些地方是不可访问的,因此,这些商务人士不得不借助一些VPN代理。
我曾经有一个疑问,当这些商务人士通过代理访问他们的工作邮件,甚至登录银行账号的时候,他们的敏感信息会不会被这些代理窃取?也就是中招所谓的『中间人攻击』。
在上图中,中间人伪装成网站,用户以为自己在和网站直接对话,实际却是和中间人在对话,泄露了自己的敏感信息。
这个问题也老早就被计算机专家想到了,所以他们建议我们用https来访问网站。比如我们访问微信公众号的时候,能在浏览器连接前面看到一个小锁的标记,这就是浏览器贴心地告诉我们我们现在使用的是https。
但为什么用https就是安全的呢?这里不展开所谓的技术细节,用一个图来说简单说明:
比如你访问微信公众号的时候,微信会给你一个证书(上图介绍信)来证明正在和你说话的是微信公众号真身,而且为了防伪,这个证书是由专门的权威机构签名认证的(上图村委会),这样就可以避免某个中间人伪装成微信了。
可我们现在是通过代理来上网的,这个代理本身就是中间人啊,没有这个中间人我们就没法上网了啊?这一点也不用担心,代理只是原封不动地帮我们转发请求而已。
如果这个代理不仅仅转发还做了手脚怎么办?通过https进行的通话,内容都是加密的,代理无法看到对话内容,如果代理想做手脚就要尝试中间人攻击来窃取加密对话的密码(密钥),而如上面的介绍,https因为有证书和签名机制,可以有效防止中间人攻击。
那么通过https访问网站就100%安全了吗?也不完全是,还是有几种情况有可能出现信息泄露的。
比如,当代理尝试中间人攻击的时候,它可以发一个假的证书给你,或者挂羊头卖狗肉,虽然发一个真的证书给你,但这个证书却不是认证你正在访问的网站的,这种情况下,你的浏览器都会给你一个警告:
苹果Safari浏览器的报警类似这样:
谷歌Chrome浏览器的报警类似这样:
如果你粗心大意,告诉浏览器信任这个证书,继续访问,那么你就有中招的风险了。
我们看到这种安全提醒依赖于浏览器,如果我们的浏览器有bug,或者浏览器本身没做好,那么我们就有可能会泄露敏感信息,这也是为什么专家推荐使用大厂浏览器的原因。
除了证书本身,攻击者还可能从证书的签名机构入手,现在有些电脑在出厂时会预置一些受信任的签名机构,如果电脑本身中了病毒或者因为其他原因,导致这个预置的签名机构列表中出现了冒牌机构,那么我们的浏览器就有可能信任伪造的证书而不给我们风险提示。
另外还有一种叫做重定向的攻击方法。比如你明明是用https://gmail.com来访问gmail的,中间人可以给浏览器发送一个响应,让浏览器用http://gmail.com来访问(注意https变成了http),而当你用http来访问的时候,所有的信息都是明文的,中间人就可以看到你的敏感信息了。为了防止这一点,今天几乎所有的大厂都不再提供http访问,如果你用http来访问,这些大厂也会给你重新重定向到https上来。
所以归纳一下,用代理的时候,只要是用https来访问目标网站,并且你注意浏览器给出的风险提示,那么你的敏感信息就不会泄露。
【版權聲明】
本文爲轉帖,原文鏈接如下,如有侵權,請聯繫我們,我們會及時刪除
原文鏈接:https://mp.weixin.qq.com/s/IHGyZObL6AvUY69TkJJssQ Tag: 网络安全 VPN