直到现在,居然仍有不少人(甚至包括做 Web 开发以及安全的),以为只有涉及隐私的网页用 HTTPS 才有意义。随便浏览一个从搜索引擎里点出来的 HTTP 垃圾站对自己并没什么影响。。。
殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)
而且国内大部分网站隐私 Cookie 都没加 secure,也极少有网站同时开启 HSTS+includeSubDomains,导致用户 cookie 大片大片的泄露。
真正了解这个风险并禁用三方 Cookie 的寥寥无几,最悲催的是不少国内大网站都依赖这个,禁用后正常功能都会受影响。。。
101
zhaohao 2018-09-27 11:06:58 +08:00
// Google 安全博客早些时候宣布,2018 年 7 月发布的 Chrome 68 将标记 HTTP 网站为不安全。搜索巨人还计划在搜索结果里降低 HTTP 网站的排名。
// 资深软件开发者 Dave Winer 批评了 Google 的这一计划,他指出互联网上有很大一部分内容是存档,文件放在那里是没人维护的,没人会去做 Google 想要所有网站去做的事情。这些能正常访问就已经足够了,潜在的好处并不能证明启用 HTTPS 是合理的。 // 如果 Google 的计划付诸实施并成功了,那么许多存档性的网站将会逐渐无人问津,这就像是数字时代的大规模焚书。大多数存档网站不收集用户数据或者根本没有用户互动,启用不启用 HTTPS 无关紧要。 // 互联网是一个开放平台,不是一个企业平台,它的定义是其稳定性。Google 和我们一样都是互联网的客人,而客人不能去制定规则。 |
102
houbaron 2018-09-27 15:03:56 +08:00 via Android 1
你以为你在上互联网?其实数据都是路由器编的。
你以为你在过日子?其实这是楚门的世界,我们都是拿工资陪你聊天的。 你以为你还活着?其实都是缸中之脑。 |
104
no1xsyzy 2018-10-26 15:28:33 +08:00
|
105
iwtbauh 2018-10-26 16:11:54 +08:00 via Android
@no1xsyzy
是这样的,我的操作系统根证书由 ca-certification 包提供,debian.org 提供此包时,使用 gpg 为其签名,我的计算机上包含公钥,可以通过 gpg 验证。gpg 公钥就是这个体系的 Trust Anchor quine 和这个有什么关系我还真不知道,请指教。 硬件后门就没办法了,所以我们要推进自由硬件技术。期待未来有一天个人有便宜的技术把它们制造出来。 |
106
no1xsyzy 2018-10-30 14:08:47 +08:00
@iwtbauh
但你没有找 Debian 项目组的人线下验证该 GPG 公钥。信任网没有建立。你也没法保证你下载的 Debian 镜像不是被调包的。 quine 是可以做到任何进程读取 ELF/.exe 的时候读取不到恶意代码,但只要接触到就在文件内插入该恶意代码。所有的文件 IO 接口都被这样污染了以后就变成任何一个程序都具有该恶意代码,但没有任何程序能够发现该恶意代码,除非用物理方式手工分析。可能我们碰上的所有程序都有这个恶意代码,因此你根本就不知道这个恶意代码存在。 说不定全球的电脑都已经被感染了。现在之所以 IO 如此地慢都是因为每次要通过这个恶意代码。你的硬盘空间莫名其妙地占满是因为里面都是这个恶意代码。 自由硬件你也不能保证制造那个硬件的设备没有这个问题。 “计算机没有中招”本来就是不可证伪的问题。 |
107
iwtbauh 2018-10-30 14:19:27 +08:00 via Android
@no1xsyzy
我回答的是“你怎么知道你的操作系统不是 ISP 注入了隐藏根证书的?”:因为我可以通过多种来源获取 Debian 的公钥(多家运营商、tor 网络),而不是来源单一运营商,因此可以基本上认为该公钥是没有被“运营商”修改的。 因为现实非常复杂,单一运营商根本不可能完全把自己的行为隐藏起来。 |
109
no1xsyzy 2018-10-30 14:43:20 +08:00
@iwtbauh 忽略 ISP,任何人都可以用“通用可执行污染代码”污染全世界的电脑。在此基础上这个代码就能够任意篡改下载的内容——在此基础上,ISP 如果有心篡改网络内容,也是可以的。
不完备性已经证明了,“计算机中招了”本来就是不可证伪的问题。 ---- 实际上,全球的 ISP 已经组成全球 ISP 光明会了呢(包括 Tor 出口节点所在的 ISP ),只是所有人都不知道罢了。我也只能装作在讨论微乎其微的可能性时才能把这个信息发出来,不然就直接被 ISP 删除了呢。其实依赖于网络的垄断,全球 ISP 光明会已经做出天网,只是所有人都不知道罢了。你知道的,几乎所有人都只能靠网络来和他人取得联系。在网络被光明会垄断的当下,即使有人发现这一事实也无法警告别人。 |
110
no1xsyzy 2018-10-30 14:56:25 +08:00
|
111
7VO54YYGvw3LOF9U 242 天前 via iPhone
@houbaron 有趣
|