10
25
2013
14

php.net 被攻破,Google Chrome 浏览器竟浑然不知

本文来自依云's Blog,转载请注明。

人们都说 Google Chrome 浏览器安全,可是——

昨日,有网友告诉我 php.net 被挂马了。于是我在火狐浏览器中访问,果然得到了警告:

php.net blocked by Firefox

再去 Google 搜索一下,果然也被标记上了:

php.net blocked by Google Search

直接点击搜索结果会得到 Google 的警告:

php.net blocked by Google

但是,Google Chrome 浏览器访问竟然没有任何提示

今天,这个警告已经移除了。php.net 官方发布了一些消息,证实它确实被攻破了。为了以防万一,他们吊销了 php.net 所使用的 SSL 证书。我于是尝试使用火狐访问使用了 SSL 的子站,比如这个 https://wiki.php.net/,火狐很明确地告诉我,它的证书已经被废弃了:

php.net SSL certificate revoked error

但是,Google Chrome 浏览器访问依然没有任何提示,表示安全的小绿锁依然鲜亮。

难道是 Google 认为 Google Chrome 浏览器本身已经足够安全,不仅能抵御任何它能检测出来的恶意网页,而且能在证书已被吊销的情况下判断出网页是否被篡改?

php.net with revoked certificate accepted by Google Chrome

注:以上均为浏览器默认安全配置,我没有手动修改任何安全相关的选项。

更新:在 Google Chrome 的「设置」中,点击「显示高级设置…」,往后滚,找到「HTTPS/SSL」,把「检查服务器证书吊销状态」前边的框勾上,Google Chrome 就也会报告证书不可信了。

再次更新:通过 GoAgent 访问,没有收到任何关于服务器证书已经失效的提示。证实了我之前关于通过 GoAgent 访问 HTTPS 站点会降低安全性的猜测。


感谢 Eleven.i386 提供了部分截图。

Category: 火狐 | Tags: 网络 火狐 安全 Google Chrome | Read Count: 6567
eleven.i386 说:
Oct 25, 2013 05:04:10 PM

人家chromium 以为自己有了沙盘 ,不怕这些东西呢?

Avatar_small
Wayne 说:
Oct 25, 2013 05:05:00 PM

你自己打开方式不对,我这里就是报警的。

Avatar_small
Wayne 说:
Oct 25, 2013 05:06:09 PM

http://img.vim-cn.com/6e/01c652afc35904db725beb1b345af178ae6680.jpe

看截图

Avatar_small
Wayne 说:
Oct 25, 2013 05:10:54 PM

你更新了…… 把我的评论删了吧

Avatar_small
依云 说:
Oct 25, 2013 05:15:33 PM

不删。你的截图可以作为补充 =w=
PS: 你是怎么让评论里的链接可以点击的?

Avatar_small
Wayne 说:
Oct 25, 2013 05:15:44 PM

我的 爱番茄 也是通过GoAgent的,就是收到提示了。不信你试试。

Avatar_small
Wayne 说:
Oct 25, 2013 05:17:05 PM

我也不知道。你看我贴了两个链接,一个就不能点击

Avatar_small
依云 说:
Oct 25, 2013 05:23:18 PM

我试过了,通过 GoAgent 的话用户只需要信任 GoAgent 生成的证书就可以了(大部分用户,特别是不能「添加例外」的 Chrome 用户,应该安装了 GoAgent 的根证书)。

你确实它访问 wiki.php.net 是走的 GoAgent?

Avatar_small
Wayne 说:
Oct 25, 2013 05:46:21 PM

好吧,这点你是对的。爱番茄 使用的 pac文件里, php.net是直连的

muzuiget 说:
Oct 26, 2013 01:05:54 PM

GoAgent 这种明显是中间人攻击啊,没警告太正常了。

Avatar_small
依云 说:
Oct 26, 2013 02:23:12 PM

GAE 是有可能检查对方服务器证书的状态的。

zbinlin 说:
Oct 27, 2013 03:47:45 PM

汗,我把这个功能给取消了呢


登录 *


loading captcha image...
(输入验证码)
or Ctrl+Enter

部分静态文件存储由又拍云存储提供。 | Theme: Aeros 2.0 by TheBuckmaker.com