此案例的关键是
用户访问的网址是http的,http可以劫持,一般安全部分会在代码里跳转到https,但是因为http是可以劫持,于是修改掉https的链接,于是依然是http,懂了么?根本就无关https半毛钱关系。因为劫持的关系,根本就不会往https跳转
也就好像是,如果你去支付宝,你打入www.alipay.com访问的是http://
www.alipay.com,这时候是可以劫持的。没被劫持的话为了安全会跳转去https
但是如果你直接输入https://www.alipay.com那么就无法被劫持。
换个说法就是,你的QQ密码很安全,QQ本身也很安全,但是你每次输入之前都把每个密码念出来,于是被盗了。在安全的环境里这样干不会有问题,但是在有坏人的情况下,是不安全的。
以上情形不包含3件事情。
1.你的电脑被导入了劫持方的证书颁发机构到信任列表里。
2.你电脑信任的证书颁发机构使坏,自己去生成对应域名的证书
3.证书颁发机构被黑,于是结果同第二条
养成一个好习惯,每次支付的时候,关键动作的时候,抬起头来看看地址栏是不是https开头的