V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dogfood
V2EX  ›  信息安全

火绒 SSL 流量嗅探?

  •  
  •   dogfood · 129 天前 · 4587 次点击
    这是一个创建于 129 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这两天正好有一个网站证书到期了在没装火绒的机器上告警了。

    但在装了火绒的机器没告警,就很神奇 排查一看发现时 证书被替换为火绒发的证书了。

    为啥要替换猜测是为了防止 web 挂马?但这样是不是为了安全太过头了。

    然后把根证书删了火绒就会报错。

    目前是直接吧火绒卸了。

    不知道大家怎么看

    34 条回复    2024-12-02 08:34:23 +08:00
    iyiluo
        1
    iyiluo  
       129 天前
    证书都换了,怎么和服务器成功握手的?
    AkaGhost
        2
    AkaGhost  
       129 天前
    其实卡巴斯基也有同款操作,还会往页面里插 JS
    dogfood
        3
    dogfood  
    OP
       129 天前
    @iyiluo 猜测是流量先发送到火绒本地那边,然后再转发到原始服务器。
    blankmiss
        4
    blankmiss  
       129 天前
    有个选项可以关闭
    chaselen
        5
    chaselen  
       129 天前
    设置-病毒防护-Web 扫描:关闭 [加密连接扫描]
    JensenQian
        6
    JensenQian  
       129 天前
    win 自带的足够用了
    smileawei
        7
    smileawei  
       129 天前
    @iyiluo 火绒直接写自己的根证书到系统的信任列表。
    frencis107
        8
    frencis107  
       129 天前
    ESET 、卡巴斯基也都是有 HTTPS 防护的,如果不使用这个功能,关了就行。

    ellermister
        9
    ellermister  
       129 天前
    这个 colorOS 手机系统也疑似会直接把 google.com 搜索页面的证书替换掉或者直接劫持;访问 Google 时提示是不安全的证书,是否继续访问。
    dogfood
        10
    dogfood  
    OP
       129 天前
    @frencis107 原来如此看来各家都有这个操作
    frencis107
        11
    frencis107  
       129 天前
    新版本火绒( 6.0 )才有这个功能,设置里把 “加密连接扫描” 关了就不会替换证书了。
    liuidetmks
        12
    liuidetmks  
       129 天前   ❤️ 6
    这些软件,越界了
    和现在层层加码的安检,实名一样, 都是“为了你好”
    尽量少用吧
    kneo
        13
    kneo  
       129 天前 via Android
    兄弟你警觉性很高啊,我辈楷模。
    billccn
        14
    billccn  
       129 天前 via Android
    这其实是个安全漏洞,因为遇到失效证书浏览器不会警告了。正规的加密扫描遇到失效证书的时候会把它透传到客户端,让你能看到怎么回事。如果你后面选择无视证书错误,它会 connect reset
    DefoliationM
        15
    DefoliationM  
       129 天前 via Android
    换成他自己的我感觉更不安全,他这个估计是要解密 ssl 流量。
    sunnysab
        16
    sunnysab  
       129 天前
    12 楼不会是机器人吧…

    ---

    @ellermister 可以看到证书是什么吗?如果它劫持的话,应该会把自己的证书加到信任列表?
    liuzimin
        17
    liuzimin  
       129 天前 via Android
    @JensenQian win 自带的虽然很强,但是太卡了,疯狂吃资源。
    mztwfed
        18
    mztwfed  
       129 天前
    正如楼上所说,开关留给了用户,不喜欢关了就好了,补个卡巴的图:


    不过卡巴在遇到证书问题会二次提示,这点还是和火绒不同:
    lcy630409
        19
    lcy630409  
       129 天前
    网页下载个病毒或者网页病毒 没拦住 你又得说了
    hefish
        20
    hefish  
       129 天前
    删了好,这样才安全那。 其他安全都比不上隐私安全。
    GeekGao
        21
    GeekGao  
       129 天前
    免费的才是最贵的。
    ChineseTeacher
        22
    ChineseTeacher  
       129 天前   ❤️ 1
    杀毒软件直接安装系统根证书,当中间人,拆开 HTTPS 的做法早十几年就有了。0 几年的时候 SSL 证书一个几百块钱还必须固定 IP ,所以只用在登录页面和密码的页面,恶意网站也犯不上这么高的成本。现在到处都是 HTTPS ,杀毒软件不当中间人还扫个毛线木马?也就是这几年挂马之类的东西少了。不中间人的话,那就装浏览器扩展,植入 js 或者直接把 URL 跟黑名单对比。我记得卡巴斯基还有一个自己的根证书库和白名单,还可以调整哪些网站需要中间人扫描,那些网站不需要。

    安装根证书当中间人的功能所有杀毒软件都有。按理说如果证书出错,普遍做法是杀毒软件自己生成一个页面来警告用户(替代浏览器的警告)。这个功能火绒没做是火绒的锅。

    就这还能炸出来 12 楼这种人,服了。
    kindjeff
        23
    kindjeff  
       129 天前
    这玩意以前用 eset 的时候遇到过,其实可以理解他们可能是要看 HTTPS 里面的内容是不是钓鱼,很多信息可能也只在本地。

    但默认开启这玩意真的不应该,起码要提示一下,之前给我排查证书问题带来了很大的困扰。
    Yosomi
        24
    Yosomi  
       129 天前
    这真有点恐怖了
    jack778
        25
    jack778  
       129 天前
    这个功能是怎么实现的, 杀毒软件只能单向替换客户端的证书吧, 服务端的证书都过期了他还能怎么防护?
    kokutou
        26
    kokutou  
       129 天前 via Android
    你自己打开了 ssl 扫描 自己忘记了吧。。。

    这选项哪家都是默认不开的
    wm5d8b
        27
    wm5d8b  
       129 天前 via Android
    这楼的讨论氛围很和谐呀,大伙儿都理性讨论,得出了“杀毒软件当中间人是正常操作,但火绒没有提示证书无效属于缺陷”。
    12 楼这种说国外的月亮圆的被喷挺好的
    dyllen
        28
    dyllen  
       129 天前
    @jack778 杀毒软件做中间人,浏览器是通过杀毒软件访问网站的,浏览器看到的是杀软的 ssl 证书,网站的证书杀软不验证过期。
    arfaWong
        29
    arfaWong  
       129 天前
    @frencis107 #11 我这个选项是开着的,但是没有被替换证书
    frencis107
        30
    frencis107  
       128 天前
    @arfaWong #29 扫描范围默认是 “仅扫描可能存在风险的加密连接” 吧;而且火绒会默认跳过一些网站,上面有个网站列表的按钮
    cool8
        31
    cool8  
       128 天前
    已经卸载 6.0 装回 5.0 版本了
    gbadge
        32
    gbadge  
       128 天前
    我的问题是信不过火绒那为什么要用?
    j8sec
        33
    j8sec  
       124 天前
    杀毒软件这样操作是没问题的;因为他要保护你不网页浏览时被挂马。

    他如果不植入根证书就得要入侵你浏览器才能实现;
    植入根证书总比侵入浏览器要说得过去吧?
    yqs112358
        34
    yqs112358  
       20 天前
    @kokutou 火绒就是默认开的。。。关了还会提示实时防护功能未完全开启
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2529 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 04:19 · PVG 12:19 · LAX 20:19 · JFK 23:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.