※ 引述《lobida (lobida)》之銘言:
: 除了12個Q &A外,不知你所謂的文章是從哪裡來。
: WPA是wifi層的加密,HTTPS則是應用層,兩者不相干,WPA被hack了,如果上層有使用htt
: ps,資料還是安全的。
你說的基本上是對的,但是原文指的是攻擊者會破壞 HTTPS
其實這是結合另一種攻擊手法,稱為 SSLstrip
SSLstrip 的條件蠻嚴苛的,首先要能中間人攻擊
什麼是中間人?就是使用者與服務供應商網路中間的第三方
例如提供網路的房東、公司網管、中華電信等等
中間人攻擊即是惡意的第三方在你的網路中間監聽並竄改資料
比起有線,無線網路更容易達到中間人攻擊
因為你的訊號都裸奔在空氣中,只要攻擊者訊號強過 AP 就可以攻擊
但開啟 WPA2 加密的 WiFi 網路
因為無法取得未加密的原始資料,無法進行中間人攻擊
現在 WPA2 漏洞被發現後,中間人攻擊變得可能
事實上一直都有可能,只是花費時間長短問題而已
再來即使你被中間人攻擊,還要搭配腦殘服務供應商才行
不管你的網路有沒有 WPA2 加密
一般傳輸敏感資料通常會走 HTTPS (TLS) 協定傳送
但 SSLstrip 攻擊會破壞瀏覽器與伺服器的 TLS 協定交涉
什麼是 TLS 協定交涉?
因為加密的方法與協定版本要雙方使用同一種才能正常傳輸
所以兩方必須交涉出最高版本、最強加密的協定
但被中間人攻擊時,它會破壞你的瀏覽器與伺服器交涉過程
進而使雙方以為對方不支援 TLS 加密(或是降級為 SSL3 以下)
如果對方伺服器並沒有禁用無加密與弱加密協定的使用
那麼交涉到最後就會變成攻擊者可以輕鬆破解的協定
: 大型公眾wifi一般都不會使用WPA,例如 iTaiwan, hinet等,你看ssid旁有沒有鎖頭的標
: 誌就知道。只會做認證網頁使用https保護帳密傳遞的安全,其餘端看瀏覽器與遠端serve
: r間的協議。
問題是在 APP 中你不知道網路傳輸到底有沒有加密。