文章
技术

其实cloudflare是可以看到你登陆新品葱的明文密码的【已更正】

thphd
thphd  ·  2021年9月12日 2047前站长

因为cloudflare本质上是http代理,为了根据header实现缓存加速等各种功能,只能在cloudflare上做https解密,明文流量经过cf的处理后再送到后端,所以cloudflare可以看到明文流量

而品葱登录密码也是明文,所以cloudflare可以看到你的品葱登录密码,如果它想的话。

2047的解决办法:

  1. GPG登陆
  2. 你的密码在浏览器里hash过一遍才往2047发的,所以cloudflare只能看到一个hash,看不到明文密码。
679 次浏览
菜单
  1. 钢铁雄心 (^_^)?
    钢铁雄心   (钓鱼网站已屏蔽)

    如果腾讯收购cloudflare,匿名用户(特殊匿名用帐号,超400声望权贵可使用)就变成第一大五毛了

  2. 邹韬奋 外逃贪官CA
    邹韬奋   虽然韬光养晦,亦当奋起而争(拜登永不为奴:h.2047.one)

    这个是http的情况而不是https的情况吧?https的情况下,你连接品葱,你发给品葱的信息,是用品葱的公钥和你的私钥加密的。cloudflare没有品葱的私钥,所以没法解密你发给品葱的信息,就不能MITM Attack了。

  3. thphd
    thphd   2047前站长

    @消极 #156803

    1. 你先看一下本站和品葱的https证书是谁发的。对,就是cf发的,所以实际上你只加密你到cf的连接,cf可以解密出明文。
    2. cf为什么要这么做?因为不然的话它就没办法做它的本职工作(比如缓存加速,anti-ddos等等)。而且还有附加好处,例如我不需要为2047获取证书。
    3. 为什么我明知cf这么做,还坚持用cf?because life is about tradeoffs,就好比这域名也可能会被FBI take down,总不能全世界的服务器都搬到爱沙尼亚或者冰岛吧
  4. thphd
    thphd   2047前站长

    发一个更正:品葱现在的密码,是在浏览器端先用bcrypt hash一遍,再发到服务器端的,所以cloudflare是看不到密码明文的。