火绒 SSL 流量嗅探?

2024-08-14 15:57:51 +08:00
 dogfood

这两天正好有一个网站证书到期了在没装火绒的机器上告警了。

但在装了火绒的机器没告警,就很神奇 排查一看发现时 证书被替换为火绒发的证书了。

为啥要替换猜测是为了防止 web 挂马?但这样是不是为了安全太过头了。

然后把根证书删了火绒就会报错。

目前是直接吧火绒卸了。

不知道大家怎么看

5517 次点击
所在节点    信息安全
34 条回复
iyiluo
2024-08-14 15:59:41 +08:00
证书都换了,怎么和服务器成功握手的?
AkaGhost
2024-08-14 16:04:32 +08:00
其实卡巴斯基也有同款操作,还会往页面里插 JS
dogfood
2024-08-14 16:05:05 +08:00
@iyiluo 猜测是流量先发送到火绒本地那边,然后再转发到原始服务器。
blankmiss
2024-08-14 16:07:17 +08:00
有个选项可以关闭
chaselen
2024-08-14 16:09:13 +08:00
设置-病毒防护-Web 扫描:关闭 [加密连接扫描]
JensenQian
2024-08-14 16:09:48 +08:00
win 自带的足够用了
smileawei
2024-08-14 16:16:36 +08:00
@iyiluo 火绒直接写自己的根证书到系统的信任列表。
qwertooo
2024-08-14 16:41:21 +08:00
ESET 、卡巴斯基也都是有 HTTPS 防护的,如果不使用这个功能,关了就行。

ellermister
2024-08-14 16:46:53 +08:00
这个 colorOS 手机系统也疑似会直接把 google.com 搜索页面的证书替换掉或者直接劫持;访问 Google 时提示是不安全的证书,是否继续访问。
dogfood
2024-08-14 16:51:35 +08:00
@frencis107 原来如此看来各家都有这个操作
qwertooo
2024-08-14 16:52:40 +08:00
新版本火绒( 6.0 )才有这个功能,设置里把 “加密连接扫描” 关了就不会替换证书了。
liuidetmks
2024-08-14 17:34:10 +08:00
这些软件,越界了
和现在层层加码的安检,实名一样, 都是“为了你好”
尽量少用吧
kneo
2024-08-14 17:54:59 +08:00
兄弟你警觉性很高啊,我辈楷模。
billccn
2024-08-14 17:58:29 +08:00
这其实是个安全漏洞,因为遇到失效证书浏览器不会警告了。正规的加密扫描遇到失效证书的时候会把它透传到客户端,让你能看到怎么回事。如果你后面选择无视证书错误,它会 connect reset
DefoliationM
2024-08-14 18:14:03 +08:00
换成他自己的我感觉更不安全,他这个估计是要解密 ssl 流量。
sunnysab
2024-08-14 19:59:32 +08:00
12 楼不会是机器人吧…

---

@ellermister 可以看到证书是什么吗?如果它劫持的话,应该会把自己的证书加到信任列表?
liuzimin
2024-08-14 20:01:04 +08:00
@JensenQian win 自带的虽然很强,但是太卡了,疯狂吃资源。
mztwfed
2024-08-14 22:22:08 +08:00
正如楼上所说,开关留给了用户,不喜欢关了就好了,补个卡巴的图:


不过卡巴在遇到证书问题会二次提示,这点还是和火绒不同:
lcy630409
2024-08-14 22:30:20 +08:00
网页下载个病毒或者网页病毒 没拦住 你又得说了
hefish
2024-08-14 22:38:36 +08:00
删了好,这样才安全那。 其他安全都比不上隐私安全。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1064948

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX