本文来自依云's Blog,转载请注明。
人们都说 Google Chrome 浏览器安全,可是——
昨日,有网友告诉我 php.net 被挂马了。于是我在火狐浏览器中访问,果然得到了警告:
再去 Google 搜索一下,果然也被标记上了:
直接点击搜索结果会得到 Google 的警告:
但是,Google Chrome 浏览器访问竟然没有任何提示。
今天,这个警告已经移除了。php.net 官方发布了一些消息,证实它确实被攻破了。为了以防万一,他们吊销了 php.net 所使用的 SSL 证书。我于是尝试使用火狐访问使用了 SSL 的子站,比如这个 https://wiki.php.net/,火狐很明确地告诉我,它的证书已经被废弃了:
但是,Google Chrome 浏览器访问依然没有任何提示,表示安全的小绿锁依然鲜亮。
难道是 Google 认为 Google Chrome 浏览器本身已经足够安全,不仅能抵御任何它能检测出来的恶意网页,而且能在证书已被吊销的情况下判断出网页是否被篡改?
注:以上均为浏览器默认安全配置,我没有手动修改任何安全相关的选项。
更新:在 Google Chrome 的「设置」中,点击「显示高级设置…」,往后滚,找到「HTTPS/SSL」,把「检查服务器证书吊销状态」前边的框勾上,Google Chrome 就也会报告证书不可信了。
再次更新:通过 GoAgent 访问,没有收到任何关于服务器证书已经失效的提示。证实了我之前关于通过 GoAgent 访问 HTTPS 站点会降低安全性的猜测。
感谢 Eleven.i386 提供了部分截图。
Oct 25, 2013 05:04:10 PM
人家chromium 以为自己有了沙盘 ,不怕这些东西呢?
Oct 25, 2013 05:05:00 PM
你自己打开方式不对,我这里就是报警的。
Oct 25, 2013 05:06:09 PM
http://img.vim-cn.com/6e/01c652afc35904db725beb1b345af178ae6680.jpe
看截图
Oct 25, 2013 05:08:07 PM
http://img.vim-cn.com/eb/db0b7b8470615de001a3bf790465978a213bac.jpe
这个地方你勾上没
Oct 25, 2013 05:10:54 PM
你更新了…… 把我的评论删了吧
Oct 25, 2013 05:15:33 PM
不删。你的截图可以作为补充 =w=
PS: 你是怎么让评论里的链接可以点击的?
Oct 25, 2013 05:15:44 PM
我的 爱番茄 也是通过GoAgent的,就是收到提示了。不信你试试。
Oct 25, 2013 05:17:05 PM
我也不知道。你看我贴了两个链接,一个就不能点击
Oct 25, 2013 05:23:18 PM
我试过了,通过 GoAgent 的话用户只需要信任 GoAgent 生成的证书就可以了(大部分用户,特别是不能「添加例外」的 Chrome 用户,应该安装了 GoAgent 的根证书)。
你确实它访问 wiki.php.net 是走的 GoAgent?
Oct 25, 2013 05:46:21 PM
好吧,这点你是对的。爱番茄 使用的 pac文件里, php.net是直连的
Oct 26, 2013 01:05:54 PM
GoAgent 这种明显是中间人攻击啊,没警告太正常了。
Oct 26, 2013 02:23:12 PM
GAE 是有可能检查对方服务器证书的状态的。
Oct 27, 2013 01:00:55 AM
FF 用户路过
Oct 27, 2013 03:47:45 PM
汗,我把这个功能给取消了呢