This topic created in 4084 days ago, the information mentioned may be changed or developed.
http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
Chrome已经在讨论在直接revoke这个CA了
关于破解密码的那部分,可以不用暴力破解而是memory dump的方法去看。。不过谁想到竟然是简单单词,哎简直就是猪队友。
 |
1
vzch Feb 20, 2015
|
|
2
vzch Feb 20, 2015
默默的看了下时间,都是夜行生物
|
 |
3
9hills OP 恩,这个CA是Superfish插进系统的ROOT CA,可签发一切网站的证书
|
|
4
9hills OP 补充下,看帖没认真。这个博客的作者很机智,他想到这个密码应该也在Memory Dump出来的文件中,然后用Dump出来的文件做字典破解的字典,10s就破了。佩服
|
 |
5
qsun Feb 20, 2015
关键问题是所有的装机都共享同一个证书,而没有每次安装生成不同的证书。
所有Antivirus软件如果要做HTTPS扫描的话,必须要MITM。但是靠谱的软件会每次安装的时候生成不同的证书,这样没有办法MITM别的机器,比如AVG,每个安装都会生成不同的证书。 |
 |
6
9999999999999999 Feb 20, 2015 via Android
还好都重装
|
 |
7
kxmp Feb 20, 2015
ca里面放私钥真是个大笑话..
|
 |
8
kcworms Feb 20, 2015
所以是广告软件(联想自家制?)用了komodia公司的烂技术让这家公司自爆了?
|
 |
9
benjiam Feb 22, 2015 via iPad
关于这个ca 理论我不太懂,我想问普通电脑里没有预先植入这个ca 公钥吧,所以对于其他人是没有安全问题的。但是装了这个软件的人,则可能被中间人攻击! 任何网站都可能被攻击,是这个意思吧。
|
Select Language