全球主机交流论坛

标题: 看到一个讨论https比http安全强大得多，我只想说 [打印本页]

作者: kailiboy 时间: 2025-6-15 13:44
标题: 看到一个讨论https比http安全强大得多，我只想说
本帖最后由 kailiboy 于 2025-6-15 18:27 编辑

道理是这么个道理，但换个软件换个协议，我看根本就没人在意加密安全了！比如FTP，一个早被淘汰的明文传输工具，居然各大主流服务器和从业者还在使用！根本理解不了中间人攻击的原理！你站点倒是对用户负责加密传输，但你服务器文件走FTP，数据库开启远程访问，密码直接明文储存！注意，以上说的是已经存在的客观事实，而且是所谓大厂被脱裤的真实案例

我只是基于讨论https的文章,想提醒大家,放弃明文传输的FTP,比如采用https下的webdav代替FTP就很不错

openssl s_client -connect server_ip:21 -starttls ftp
你试试你21端口有证书吗

作者: 种植业生产人员 时间: 2025-6-15 13:48
我网站https就是跟风，完全不理解安全在哪

作者: kailiboy 时间: 2025-6-15 13:49
https://mp.weixin.qq.com/s/8EwrUXPbwCQ1vdlDh38jxg

作者: kailiboy 时间: 2025-6-15 14:20

种植业生产人员发表于 2025-6-15 13:48
我网站https就是跟风，完全不理解安全在哪

如果你在用宝塔，就赶紧关闭FTP，并且要用sftp就是ssh协议之下的文件传输协议，意思就是要走22端口，绝对不要再走21端口！不然24小时弹出一次广告，人家不想破坏你程序，就是想赚点外快，而且不想影响用户体验，24小时只有手机端弹一次已经很爽了！要听劝

作者: heibudong 时间: 2025-6-15 14:32
这东西，最早就是为了防抓包的。
后来大家都会https抓包了。
哈哈哈哈哈

作者: hxhx 时间: 2025-6-15 14:41

heibudong 发表于 2025-6-15 14:32
这东西，最早就是为了防抓包的。
后来大家都会https抓包了。
哈哈哈哈哈

确实，我一开始设置就是因为可以防抓包的

作者: kailiboy 时间: 2025-6-15 14:58
本帖最后由 kailiboy 于 2025-6-15 15:03 编辑

heibudong 发表于 2025-6-15 14:32
这东西，最早就是为了防抓包的。
后来大家都会https抓包了。
哈哈哈哈哈

你提到抓包,那我就给你普及一下什么是中间人攻击吧.
我们先谈https协议下的抓包,如果是你本人需要抓包,也就是你需要在你的浏览器客户端到服务器之间拦截数据,就是典型的中间人身份.我们都知道https的s含义就是ssl或tls证书.所有数据都是经过对称加密后传输的,按道理任何中间人都不可能看得到.但是....你自己要抓包,是不是要自签证书?并且有一个导入到浏览器或者手机system目录的过程?目的就是希望浏览器或者手机系统认可你的自签证书.意思就是你这个中间人身份,是得到你作为客户端用户自己认可的身份了......并且andorid高级版本已经很难把自签证书写入system目录.当然你一定要抓包,也是可以做到的,只是难度更高.那么如果你任何数据传输,只要加密后,并且中间人没办法让你的终端设备认可他伪造的证书,那么理论上就是安全的.当然不要提国家层面的超级计算机.任何加密在超级计算机面前只是时间问题.只是你那点破数据不值得国家层面这么去做.

然后我们再谈什么是明文传输....就拿FTP协议来说,你每次传输你的数据到服务器.按你希望的理解是任何中间人都看不到数据.但实际情况不好意思.你的FTP账号和密码,每次传输文件都是明文附带在数据后面的.你不是会抓包吗?你可以自己去实践一次看看.这就好玩了.意思就是你可以抓包,不需要自签证书的步骤..那么中间人同样是可以的.

重点来了.什么是中间人?很多不理解原理的人,总觉得,我网页上输入的input账号密码,用F12的控制面板,居然能看得到密码明文,其实这个是理解错误了.你作为第一次握手的浏览器跟服务器之间是通过第三方权威机构的ssl根证书验证过的.所以之后你浏览器跟服务器之间的数据传输是指在传输过程中加密...但传输到你浏览器或者说没有传输出去的浏览器调试工具看到的input密码,都是正常的.因为你接收的加密数据,浏览器要解密给你啊,你才能看得到网页,包括你输入的.或者就是你根本就没有传输出去而已..所以真正的中间人,不是你这台设备的浏览器.最起码是你自己安装的抓包软件才算一个中间人...

那么...真正的中间人到底是谁?那就太多了.你的电脑,到服务器之间其实是经过很多节点的.每个节点都可以看到你的明文数据.比如免费wifi,县级机房,市级机房,省级机房,国家级机房.以及包括你自己放在家里面的路由器,任何中间的设备都叫中间人.

那么加密传输我们已经理解了.那明文传输你密码就是字符串形式显示在人家面前的,人家同样可以安装抓包软件.不是只有你会安装抓包软件,懂了吗?

那你就说,根本没人看得上我的数据,而且这些人都是机房从业者,最起码的职业操守是肯定有的.这就仁者见仁了......我举一个例子..百度已经是很大的公司了,隔段时间就莫名其妙多一个百度域名,各种采集数据,各种擦边内容,关键UI排版还特别垃圾特别low,他排名还非常高,你一个站点3个月只收录一个首页..人家二级或者三级域名直接几百万收录.但过段时间,这些垃圾站又不存在了..那你就去思考,为什么百度官方会做这么恶心的事情?

那么事实就是,即使是在百度这么专业的IT公司,你都没办法保证手下的从业者为了自己的私人利益悄悄开设百度二级,三级域名来做垃圾站....那你能保证你浏览器到机房服务器之间的任何节点维护从业者就有职业操守???

更恐怖的事实还在后面...为什么大家都不喜欢国人开设的服务器?因为但凡你买人家的服务,不论是独立主机,云主机,vps,你真的觉得只有你有最高权限?一切都是基于人家的职业操守而已.

要么你无所谓,反正都是开源程序,值钱的是你的域名罢了.要么你就要考虑防止源代码被拷贝泄露的方案.当然,直接买国际大厂理论上安全得多..因为人家真心不敢.法律比中国建全得多了.

作者: hostvps 时间: 2025-6-15 15:00
sftp ftps 替代 ftp

作者: 种植业生产人员 时间: 2025-6-15 16:34

kailiboy 发表于 2025-6-15 14:20
如果你在用宝塔，就赶紧关闭FTP，并且要用sftp就是ssh协议之下的文件传输协议，意思就是要走22端口，绝对 ...

真遗憾不用宝塔，手搓环境

作者: doruison 时间: 2025-6-15 17:11

种植业生产人员发表于 2025-6-15 13:48
我网站https就是跟风，完全不理解安全在哪

https不一定安全，http肯定不安全……
链路上任何一个环节都是明文，其他手段都没意义了

作者: yoite 时间: 2025-6-15 17:13
https是最安全的协议，用这一个干什么都够了

作者: 1121744186 时间: 2025-6-15 17:19
提示你一下，FTP 不是明文的，可选 FTP over TLS 传输（默认），当然你强行要明文传输也可以。

作者: imok 时间: 2025-6-15 17:25

1121744186 发表于 2025-6-15 17:19
提示你一下，FTP 不是明文的，可选 FTP over TLS 传输（默认），当然你强行要明文传输也可以。 ...

就是啊 ftp现在都是tls了第一次都要传输密钥的啊

作者: kailiboy 时间: 2025-6-15 18:11

1121744186 发表于 2025-6-15 17:19
提示你一下，FTP 不是明文的，可选 FTP over TLS 传输（默认），当然你强行要明文传输也可以。 ...

openssl s_client -connect server_ip:21 -starttls ftp
你试试你21端口有证书吗

作者: kailiboy 时间: 2025-6-15 18:21

yoite 发表于 2025-6-15 17:13
https是最安全的协议，用这一个干什么都够了

同样https之下的扩展协议webdav非常适合文件传输协议

作者: 天吓弟壹仁 时间: 2025-6-15 18:22
但是有比https更好的选择么

作者: kailiboy 时间: 2025-6-15 18:26

天吓弟壹仁发表于 2025-6-15 18:22
但是有比https更好的选择么

我只是基于讨论https的文章,想提醒大家,放弃明文传输的FTP,比如采用https下的webdav代替FTP就很不错

作者: 盖茨 时间: 2025-6-15 18:42

种植业生产人员发表于 2025-6-15 13:48
我网站https就是跟风，完全不理解安全在哪

不理解只能说明你自己菜，N年前到处都是劫持、网页挂马。
我自己浏览网页，开着卡巴斯基都被搞过。
甚至正规的宽带，都会给你网页投广告，譬如长城宽带，你浏览着正规网页，都给你植入弹窗、浮动广告、菠菜等等。

作者: 1121744186 时间: 2025-6-15 19:22

kailiboy 发表于 2025-6-15 18:11
openssl s_client -connect server_ip:21 -starttls ftp
你试试你21端口有证书吗

Pure-Ftpd  Config

# This option can accept three values :
# 0 : disable SSL/TLS encryption layer (default).
# 1 : accept both traditional and encrypted sessions.
# 2 : refuse connections that don't use SSL/TLS security mechanisms,
#    including anonymous sessions.
# Do _not_ uncomment this blindly. Be sure that :
# 1) Your server has been compiled with SSL/TLS support (--with-tls),
# 2) A valid certificate is in place,
# 3) Only compatible clients will log in.

TLS                   1

你随便装个主流FTP服务端就能看到类似的配置参数，证书会使用生成的CA证书。

作者: 种植业生产人员 时间: 2025-6-16 08:34

盖茨发表于 2025-6-15 18:42
不理解只能说明你自己菜，N年前到处都是劫持、网页挂马。
我自己浏览网页，开着卡巴斯基都被搞过 ...

你倒是说说其中的原理啊

作者: Crownsecular 时间: 2025-6-16 08:40
现在还有用ftp的？不都是ftps吗

作者: acm 时间: 2025-6-16 09:36
ftp本来就不适合加密,连接多端口有状态,会话还要传IP端口
现在想快就选SCP,想稳就SFTP,谁还用FTP/FTPS

作者: zzr 时间: 2025-6-16 10:09

有没有可能人家用的是scp，而不是你说的ftp。。。。

能用ftp的基本都是些买虚拟主机的小企业。。。也无所谓有没有中间人了。

欢迎光临全球主机交流论坛 (https://hostloc.gdisk.cf/)