浏览 957 次
锁定老帖子 主题:很无聊,八一八国内的互联网安全(1) 证书
精华帖 (0) :: 良好帖 (0) :: 灌水帖 (0) :: 隐藏帖 (0)
|
|
---|---|
作者 | 正文 |
发表时间:2017-01-13
最后修改:2017-01-17
我不知道国内的互联网安全该咋评论,在我看来,到处是坑,没一处坚固防线,除了那堵那个啥我实在不了解。 安全隐患排名: 第一名:国内那个最大的人肉运输票据网站 第二名:国内那个最大的金融证书。。。 第三名:A家(B,T,J三家不做评论,B的金融=0,T的金融感觉~=0,虽然WX很火,J在我眼里就是个小朋友在玩火) 传统行业别笑,各大网银别以为你们安全,来来来看我咋搞! 第一名: 当之无愧啊,攻击从这里开始,冒充这个,甚至都不冒充直接mod_proxy代理这个网站,只替换根证书下载路径。。。 好了,当你用的时候,下载的是哥做的自签名证书,当然签发者我可以做的和那个SinoXXX一模一样的,没法冒充的是指纹,但是,你咋告诉客户你证书指纹是啥?您的网站不是https,so...你发布的指纹信息可以被我过滤成我的,SO....,各大网银注意:我可以用这个根证书签发一堆你们网银域名的证书,谁从我这里下载过根证书,你个人电脑的安全全部完蛋咯。 第二名: 这个安全漏洞比较隐蔽,原理同上,未使用HTTPS,下载链接可以被替换成恶意的,但用户群体小,影响不了几个,之所以放在第二,是因为他是为金融机构服务的啊。 第三名: 好久没用他家软件,现在不知道有没这个问题,我说的是他家的那个C-C通讯软件,当年电脑上安装个WW,居然受信任根证书颁发机构里出现了他家的自签名证书(说实话这个我很佩服,当年windows装根证书都是要弹出一个N大的对话框要你确认的,不知道他们咋绕过去的,不了解win,不做多余评论)。这里别人的利用价值没有,但是:你家没有CA资质,您的根证书私钥咋保管的?同1,您可以用您的根证书签发一堆网银地址的根证书,然后冒充他们。。。,我不以恶意揣摩别人,但您保证能接触到私钥的都能恪守职业操守吗? 跟着,各大银行来了: 不管什么原因,各大网银都喜欢把手机银行apk文件放在自己服务器上,但您用https会死吗?因为你没https,我可以用域名欺骗/Ip欺骗等把你下载地址指到我的,and so on ... 三流架构师说: 个人是个数学白痴,之所以坐在架构师这个位置,不是靠我能作出什么东西。我对程序有严重的强迫证(其实是打垃圾产品经理的脸),我讨厌任何在我代码中出现的无用的东西,讨厌做一大堆全是BUG的功能,我做东西唯一的要求是稳定。 另:一流二流的别笑,我从不用国产框架,原因吗,功能多,BUG.size = 功能.size * 功能.size * 功能.size, DOC.size = sqrt(功能.size), tests.size = 0 我唯一会追求的,不让我的小弟干重复的活,我是特别讨厌同样的代码出现在各种地方,别跟我说copy,paste,抱歉我基本是cut-pastle,delete JAVAEYE BUG出现,哈哈(我积分0),不能在海阔天空发帖,那这个谁猜猜咋来的? 声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
|
返回顶楼 | |