V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
find456789
V2EX  ›  问与答

免费 wifi,我访问 https 的网站,坏人可以获取到的是 ip 还是我访问的域名?

  •  
  •   find456789 · 2017-12-21 17:47:00 +08:00 · 3332 次点击
    这是一个创建于 2558 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如 现在 V2EX 已经 https 了

    当我访问 https://www.v2ex.com/go/programmer

    坏人能获取到我的什么信息

    19 条回复    2017-12-22 12:45:20 +08:00
    Shura
        1
    Shura  
       2017-12-21 17:53:30 +08:00
    ➜ ~ curl https://www.v2ex.com/go/programmer -v
    * Trying 162.221.6.251...
    * TCP_NODELAY set
    * Connected to www.v2ex.com (162.221.6.251) port 443 (#0)
    域名 ip 都可以获得,如果网站没开 HSTS 还可以通过 https 降级攻击钓鱼。
    noe132
        2
    noe132  
       2017-12-21 17:53:57 +08:00 via Android
    ip。当然通过 ip 反查(如果有)也能获取到你访问的域名其他的都是加密的
    find456789
        3
    find456789  
    OP
       2017-12-21 17:54:54 +08:00
    @Shura 这么可怕 还可以看到我访问的域名啊
    jasontse
        4
    jasontse  
       2017-12-21 17:58:02 +08:00 via iPad
    SNI 会泄漏域名
    Love4Taylor
        5
    Love4Taylor  
       2017-12-21 18:07:11 +08:00
    目标 IP 和 域名, 怕是只能上 TLS 1.3 的 CDN 了
    wsy2220
        6
    wsy2220  
       2017-12-21 18:27:14 +08:00
    SNI 直接暴露域名
    paradoxs
        7
    paradoxs  
       2017-12-21 18:31:03 +08:00
    能被看到的是域名,而不是具体的网址,例如你请求本贴,https://www.v2ex.com/t/416620, 只能看到你在访问 v2ex.com
    heiyutian
        8
    heiyutian  
       2017-12-21 18:49:32 +08:00 via Android
    @paradoxs https 和 http 看到的网址一样吗
    yingfengi
        9
    yingfengi  
       2017-12-21 19:16:56 +08:00 via Android
    可以看到域名
    oonnnoo
        10
    oonnnoo  
       2017-12-21 19:30:35 +08:00 via Android
    域名是可以看到的,要不然怎么路由。

    在连接 https 后,是看不到请求头,请求内容,响应头以及响应内容
    oonnnoo
        11
    oonnnoo  
       2017-12-21 19:39:32 +08:00 via Android
    个人观点是:免费 WiFi,有网就蹭,能被看到的信息,运营商也能看到,所经过网络设备都可以看到。

    数据在离开自己可控的网络之前不做加密处理,都是一样在裸奔
    paradoxs
        12
    paradoxs  
       2017-12-21 19:48:01 +08:00
    @heiyutian http 什么都能看到啊,详细的地址,全路径。
    morethansean
        13
    morethansean  
       2017-12-21 20:28:47 +08:00
    @heiyutian http 连内容都能看到啊,有什么不理解的吗……
    flynaj
        14
    flynaj  
       2017-12-21 22:33:49 +08:00 via Android
    https 的证书可以看到,就知道你是访问那个域名,还有你要查询 DNS,也知道你访问什么站但是内容看不到
    flyz
        15
    flyz  
       2017-12-21 22:36:10 +08:00 via Android
    蹭免费 wifi 挂一个 ss 加 obfs,自定义到 bilibili,就只能看到自定义的网址了,就是速度有点慢。
    t123yh
        16
    t123yh  
       2017-12-21 22:50:45 +08:00 via Android
    @Shura 请教 https 怎么降级攻击。我只知道在 http 重定向至 https 的过程中可以降级攻击,请问纯 https 怎么降级攻击?
    zingl
        17
    zingl  
       2017-12-21 23:02:32 +08:00
    看看运营商的上网明细就知道他们(至少)能看到什么了
    Shura
        18
    Shura  
       2017-12-21 23:46:34 +08:00 via Android
    xmcp
        19
    xmcp  
       2017-12-22 12:45:20 +08:00 via iPhone
    CONNECT 的头应该有 Host 吧?那就能获得域名。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3670 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:26 · PVG 12:26 · LAX 20:26 · JFK 23:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.