关于“蹭免费 wifi 有没有风险”的争论，@奥卡姆剃刀 和@yuange1975 谁说的更有道理一些？

不知道网银的安全性能 但是我知道像中国移动的CMCC 做个假热点来钓账号密码并不难。。。。
别问我怎么知道的！

不是很懂，不过用免费WiFi挂着vpn应该比较安全吧？

没什么好讨论，袁哥是对的。

奥卡姆剃刀质疑的精神值得称赞，说得很多话也有道理，但是他毕竟不是搞安全这一行的，很多东西还是不懂。他对https的理解也有偏差，以为https加密是坚不可破的。余弦和tk教主也已经大致表明了态度。
另外，按袁哥的水平，国内有资格在技术上挑战他的没几个人。

凡是没从国外传入，而是国内媒体首创的警告，都值得怀疑。 好黑……

奥卡姆剃刀多次在自己毫不了解的领域大放厥词，而且如果有人跟他讲道理他往往是纯喷，最擅长的就是链接中的这一招，比方舟子还要弱100倍

@mornlight 挺想看看高手实际如何操作的，但是袁哥拒绝了，略失望

@whilgeek http://weibo.com/p/1005051401527553/weibo?profile_ftype=1&key_word=https&is_search=1#_0

攻击https一般不是用直接解密这种手段

WiFi流量劫持：网站JS脚本缓存投毒！长期控制！浏览任意页面即可中毒！
http://lcx.cc/?i=4426

@gamexg 说的正是我想发的，短期取得各种包还不是问题，长期控制才是最危险的

@mornlight @gamexg 大赞！稍后仔细看看

js污染 淘宝也能搞定

@mornlight 难道验证证书指纹也可能被劫持？ 求教 我不懂这个

最早是09年的一篇文章 很详细
关键词就是 js缓存投毒

就算真的是公共部门开的 Wi-Fi，也有 MITM 的风险（ARP 劫持）

@typcn http投毒-登陆失败
而正常是http-https-登陆成功

@typcn 谈到中间人攻击大家都会想到https，而实际上已经有一个东西叫SSLStrip
另外，你也可以看看这个http://weibo.com/2404835845/BpPKxnbcn

蹭公共wifi有个很大的风险来源是有不少人与你在同一个局域网里了，这种环境和你自己在家里接入可信的私有wifi不一样。

@mornlight SSLStrip并没有破解SSL，而是利用人的安全意识薄弱，将HTTPS变成HTTP。只要用户能懂得访问安全网站的时候识别HTTPS（包括安全锁头标识），就能防范这种攻击。

那么多页的讨论中间还有贼多的纯喷，谁有空看完，求 TLDR

@alexyangjie SSL加密理论上不能破解，这个目前是没有问题的。但是原博认为网银是用的https所以肯定是安全的，拿不到密码，就不对了。即使浏览器显示是安全的https，仍然有手段拿到数据。

@blacktulip 目前这事的状态是，掺和进了不少国内安全圈的高手表示呵呵，顺带王思聪也插了一脚，刀刀关闭评论了。
看起来他也像是个一根筋的人。

首先双方的终端应该是靠谱无问题的，然后端到端的 SSL 必须是强健的，才谈得上安全。这样的前提下中间的链路确实没有那么重要。JS 缓存投毒也只适用于加载了不安全的 HTTP 资源的前提下。

感觉问题还是在于一般用户，包括很大一部分程序员，并不会一直检查确认https连接的证书(这个相对好点，一般假证书浏览器会有警告)，页面内不加密资源以及记得登录页面要有SSL加密

不过说实话一直记得检查这种东西是蛮烦的，偶尔忘记也是不奇怪的

就想知道挂着vpn安全不……

我只知道我用的网银需要手机验证码，知道密码也没用。

他也敢去挑战袁哥。。

@gamexg HTTP之所以能实现转发，得益于头部有个host字段；而非HTTP协议，甚至包括HTTPS，我们只能收到一堆二进制数据，然后就不知道的该交给谁了。

哪里谈到https不安全了？

原来争论的焦点是能否通过wifi获取银行卡密码

我觉得袁哥不一定需要在https入手你知道嘛?凭借他对windows的熟悉，随时溢出你的ie，装个木马还不是容易的很？袁哥都上亿身价的人我会乱说？

yuange可是一哥啊。。。在网安话题上，不信yuange，信奥傻那个门外汉么？

吊个QQ密码一点问题都没有！


多傻的陷阱都有人中！（这里的人在网络常识上比普罗大众高不少的，其实我们比很多人都聪明！）

@mornlight 像QQ 淘宝的密码参数都本地RSA后再POST，这样也能抓到明文吗。

@crab 做个钓鱼站就可以了。只要有一个人上 www.qq.com 就成功了，因为那是我的钓鱼站！！！ 因为连 dns 也是我的。

@mornlight https加密确实是牢不可破的，只是攻击者有可能会想办法不让你建立https

@crab 这个我不敢说可不可以，我也不擅长，你可以把思路放宽一点，不要限制在登录正常的网站然后POST数据出去这个环节上，单论https加密当然是不能破的。但可以肯定的是，如果真的有心要针对你个人套出密码，在局域网环境内有的是办法，手机和PC都一样。

@Draplater 这次的讨论话题不明确，其实焦点不应该放在https本身上，而是这个网络环境是极其危险的，入侵和欺骗的方法太多。

@Draplater 听说过中间人攻击没...

可能入侵的方式很多，针对手机，中间人完全可以胜任。

但是把问题聚焦一下，只是单纯从通讯链路上搞定支付宝，这个是不可能的，https 2048位证书和验证能够保证支付宝的通讯安全。

但是手机本身的安全怎么办？

门外汉和搞渗透的争，你说信谁的。

@Draplater 的确。奥的观点应该是从 SSL 协议本身在密码学上的安全性来说，但这是建立在加密信道成功建立的前提下。在这个场景里，攻击者有太多办法破坏加密信道的创建了。奥太自信了。

我觉得他们争论的焦点在于，一个说一千次里（虚数）只要有一次能抓到银行卡帐号密码就行，另一个在说你每次都能抓到银行卡密码才算。

以我理解的剃刀的意思，

如果连接是https的话，中间的链路是否安全已经不是很重要了。只要保证https连接是正确的，（银行提供这种安全的连接方式），你的网络数据被攻击者获取，他是无法破解的，因为加密过，从而保障安全。

从这一点看，连接来路不明的wifi，就算你获取了我的网络数据，我也不怕。

当然这个个非常单纯的想法，真实的环境远远没有这么简单，攻击者还有更多其他的方式来获取你的信息。


1.你可以挖系统漏洞来在让别人电脑被你远程操控。

2.你也可有诱骗小白用户点击安装来路不明的文件来挂马。

这两种情况，第二种真的是不安全吗？

奥在本行之外的理论姿势被多次打脸了。不过公开网络里黑产给自己贴金的言论也不是一次两次了。如果奥的微博偏向于实现个人优越感和增加网络话语权，那黑产和安全那一方的言论则偏向于直接利益相关了。

袁是圈内一哥能说明什么呢？他的理论姿势v2的人不能理解吗？

最后10万不是怂了吗？而且赌约里面只是说“搞到网银密码”。人家有意识防范了，你随便什么方法搞中间人攻击，都很难了。

黑出明文密码这种，按我的理解，都是针对大量小白用户的手段，而且黑出来了怎么用也是难题。对银行账户这类来说，除了密码，现金操作过程中的手机验证更是一大麻烦事。除了纯技术方面，你社工花的时间精力可能更多而且收益不能保证。

像电影里面那种，为了黑一个超级富豪，hacking+社工N个月，然后冒着巨大风险转账成功并逍遥法外的黑客。我不知道在现在的2014年的中国是否还存在。

我反感黑产嘴炮的原因是，他们很多流行言论的逻辑是：“我们圈里有XX个大神闷声发财了”+“我家后院有一只隐形的喷火龙，你没见过不能证明不存在”。

而实际上我了解到的闷声发大财的黑产“大神”，其年靠的是早年网游虚拟物品甚至q币“发财”的。然后转行做安全以后故事大家也都懂了。

@hjc4869 这个指的是vpn吗

我觉得用猎豹360畅无线什么的连cmcc chinanet挺好

那个剃刀就是要丢天朝真正的专家的脸来的，安全这行最幼稚就是在缺乏完备规则的擂台上单挑，扯谈自然就肯定了，而且天朝特色谈论安全最讨厌的就“你现在不能黑掉我，你是装逼”，而不是讨论技术本身可行性，这点天朝安全界就太缺乏，都藏着捏着，真正分享技术的还是不够国外来的多而且规范，剃刀这类人就抓这点赖死，在这个畸形国度希望大家都认识到且尝试改变吧。。。

@mornlight 腾讯的这篇文章，讲了国内制作app的时候，为了贪图方便绕过google的标准api，而采用自己验证公共ca证书的代码。结果省却了验证这个缓解而导致丧失安全性。这是人为的错误。
目前支付宝，UC、opera浏览器等主流可支付的app都不会验证ca证书吗？

那个奥卡姆剃刀最后被打脸了还在那嘴硬，最反感的是他的行为，首先是骂人，然后王思聪回复就开始彬彬有礼的称别人王xx先生～～还有对自己不熟悉的领域妄加评论～～

看到很多人坚称https密不可破，其实是不对的
https的安全性取决于证书，和证书链，但现在问题是你能保证所有的证书颁发都是通过合法的证书链？谷歌已经不是第一次发现一些流氓证书颁发机构发不合法证书了，而且你能保证所有证书颁发机构密钥都没泄露过？我随便颁发一个银行域名的证书，一些浏览器照样会以为是合法证书，不过好像firefox29已经开始处理这类问题了
证书链这一环破了，https安全性从何谈起？

https只是保证传输安全而已。想获得密码方法多得是，不一定就要和https死嗑。
加密的只是一个通道，进通道前，出通道后，都不是https能管得了的。
不过现在在外面达WiFi坑人的我觉得还是小毛贼居多。对付这种小毛贼，保证本机基本安全，认准https，拒绝带http资源的https页面，应当是足够的。
挂l2tp当然更好，前提是备好CA证书。pptp就没啥意思了。
剃刀这样和yuange死嗑，最后无非就是被证明技术上可以被坑罢了。其实也不意味着公共wifi今后就不能用了，毕竟还有成本受益摆着。

@ctexlive 当然会

@mornlight

如果未来都采用Hotspot 2.0技术免费WIFI会更安全。只是目前设备厂商（主要）、运营商不乐意推广。 因为WiFi作为和LTE竞争的技术，WIFI漫游问题一旦解决那运营商真的坐不住了。 WIFI从室内走向室外，LTE从室外走向室内，这条技术路线WIFI明显有优势，美国执意WiFi全频率开放的目的就是为了从内往外攻。 ---------------Wi-Fi CERTIFIED Passpoint于2012年作为一项行业范围的解决方案推出，它优化了热点中的网络接入流程，无需用户在每次连接网络时都进行网络查找和身份识别。通常来说，用户在每次连接网络时均须查找并选择一个网络，然后再请求连接到访问点，而且在多数情况下，用户需要重新输入他们的身份识别凭据。然而Passpoint能自动完成以上整个程序，实现热点网络和移动设备之间的无缝连接，与此同时还能提供最高级别的WPA2安全防护。

已经支持iOS7终端设备（iPhone5/5s/5c/6/6Plus、iPad3、iPadMini、iPadAir、iPadMiniRetina，iPodTouch第五代）以及运行OSXMavericks的苹果笔记本电脑。

@revival83 IKE或者IKEv2或者L2TP over IPSec三种vpn

@ctexlive 连接公共wifi毫无疑问在任何环境下都是危险行为，SSL加密当然应该认为可信，但危险性并不仅仅来自https本身。我现在不想聊这个问题了，某刀新的几条微博简直是不要脸，不值得为这种人扯。

@shen2014
802.1x 早就不是什么新鲜事情，公共场合除了 CMCC-AUTO 我还没见过哪个 WiFi 这么干。

@ctexlive 支付宝，UC、opera浏览器这几个我不清楚，我反正知道半年前很多银行的app是存在上面的那个漏洞。

@hjc4869 请问前辈购买vpn的时候如何判断是哪种？

redrain的demo已经很明确了.
虽然不严谨但是redrain爷爷也没必要弄个假的来骗人.

@Bakemono redrain那个视频怎么涉及https的我表示没看懂。那就是个opera上的网页，没怎么用过这个浏览器也看不清url，但是上面没有任何表示ssl链接的icon还是能看清的。

@revival83 我从未购买过VPN，都是购买VPS后自己建。如果不求速度，有些美国VPS比VPN要便宜得多。

@mornlight 这里不谈剃刀的问题，而是谈具体的技术分析。危险性当然有。但现在谈的是https 证书验证这关。如果客户端没设计好有漏洞，那是人为错误，应该向客户端提交bug，而不是wifi本身的漏洞。如果客户端按照规范设计了，那么获取银行帐号密码有那么容易？当然可以回避https，但这需要中木马等方式。

@Bakemono 这个视频有问题，看不清如何验证ca证书的情况。太模糊了。我问了他三遍，都没有得到回答

@virusdefender 银行app有这种漏洞，只能说是设计的屎尿一样了

=。= 只有我一个人觉得免费的wifi速度超慢，在外都是跑流量的么。

@ctexlive 有什么问题我帮你问一下？
实际上redrain已经一天没在qq上出现了（GG

@Bakemono 他演示的是一个浏览器访问招行，输入卡号和登录密码，别截获。按照正常情况，浏览器访问招行必定会验证招行的证书是否合法。所以，他手机输入卡号之前应该能看到验证的结果，也就是一个安全锁的标志。但视频中看不到。

@palxex 没有加锁的话可能就是使用ssl strip

@ctexlive 这个世界远比你想象的危险 哈哈～

@virusdefender 安全本来就是不是一个绝对的概念。而是基于成本效益的综合妥协。只要在接受的风险之内享受便利和快捷即可。

@hjc4869 可惜我不懂技术，否则我也一定自己建一个

@revival83 不需要什么技术吧，按照教程一步步来就可。。我也是看教程搞得。。

@hjc4869 兄弟能赏脸给个Q么。我按教程搞遇到疑问咨询下你^^

@hjc4869 您用的哪家的VPS？

@hljjhb DNS 控制在自己手里面，所以连接哪个IP是可控制的。
另外先不说ssl证书乱发的问题，很少有用户手工输入 https 的。所以浏览器一开始访问的是 http 版本的，然后在跳转到https版本。但是如果连到伪造的网银页面还会让你跳转到 https 吗？

还有 uc 浏览器在 https 下默认并不显示网址，而是显示锁标志和网页标题。如果自己申请一个域名(不需要和icbc有关系)然后申请一个证书(也不需要和icbc有关系)。让 http 版本的 icbc.com.cn 跳转到自己的这个域名上，界面能达到和icbc的完全一样，甚至绿色的锁标记都一样。除非用户去点击地址栏然后看网址，不然根本看不出来跑到钓鱼站上面去了。

网址问题也可以解决， uc 默认也显示网址的后半部分，至少在我的手机上面网址的前半部分 "https://mybank1." 都不显示，也就是说我如果弄一个 http://aaa.com/mybank1.icbc.com.cn/xxx 的网页，只要根据分辨率计算好了xxx的长度 即使点了地址栏uc显示的也只是icbc.com.cn/xxx，用户只能自己往前拉才能看到完整的地址。

没必要盯着ssl/https，xss就可以了。转账的时候以为输得自己的帐号，其实request的时候变成了别人的...