Hosts: 有安全隐患吗?

Created on 13 Nov 2016  ·  17Comments  ·  Source: kelthuzadx/hosts

我一下载这个文件,Chrome就提示“这是恶意文件,chrome已将其拦截。”,换个浏览器下载,windows defender也提示有病毒,不给下载,请用过的朋友给点经验。

question

Most helpful comment

All 17 comments

@lr1d 你搞的有毒

应该是windows.zip吧

另外,我还担心hosts文件提供的ip会不会是假的,比如,我访问gmail,输入了我的密码,会不会把我的密码泄露了

@yxsongbo 从理论上讲只要保证一下几点就绝对不可能泄密。

  • 通过HTTPS访问hosts文件中的域名
  • Google服务器的私钥没有泄露
  • 服务器和浏览器的实现没有漏洞

可见我的另一个comment
当然这里不考虑TLS协议本身的漏洞,这个要是有漏洞影响的就不只是这个repo了,而是出大事情了。。。

674

您还需要知道什么

@yxsongbo 请问您是通过什么方式下载的?请详细说明!谢谢!

@Ir1d
用Chrome下载 https://github.com/racaljk/hosts/raw/master/hosts 是可以的,但是这个确实会报毒https://github.com/racaljk/hosts/archive/master.zip 。我知道这是误报,但是想不通Chrome为什么这么报,难道是检测到压缩包中有hosts文件一律报毒?

@yxsongbo
浏览器本身的安全机制会负责检测SSL证书,所以不用担心。如果是假的IP,访问网站的时候直接SSL证书校验不通过,出现那个“您的连接不是私密连接”的提示。所以既然没有这个提示,那么自然就是安全的。

@yjfvictor 不是很清楚QAQ

改系统的东西, 对一般用户来说肯定是危险的.

hosts一般是劫持的入口

很显然啊 如果你相信这个windows.zip 就用 不相信就别用 详情搜索hosts劫持
对于外国人来说 就算源代码摆在这里 但是bin文件他们也不会相信的嘛 毕竟编译出来的文件不可信
嗯 我还是那句话 相信就用 不相信就不要用 只是更方便而已 没有求你用

@yxsongbo
我用 chrome 下载这两个文件,没有任何提示。

chrome 版本:58.0.3004.3 dev (64-bit)

我也沒有任何提示

@paperbag 查询 blame发现https://github.com/racaljk/hosts/commit/3b5454c36b4978b189e67f2fdfe42e8a1f24140b
当时认为是Thailand GGC

以及如果继续讨论请新开issue,与本issue内容无关 谢谢

Was this page helpful?
0 / 5 - 0 ratings

Related issues

lishoujun picture lishoujun  ·  9Comments

outsinre picture outsinre  ·  8Comments

gameclamp picture gameclamp  ·  9Comments

MingqiHuang picture MingqiHuang  ·  5Comments

IssaTan1990 picture IssaTan1990  ·  9Comments