部分 HTTPS 无任何意义

2014-06-16 09:44:28 +08:00
 heiher
就像 WebQQ 登录认证用 HTTPS,其它使用 HTTP (包含JS),只要劫持篡改了其中一个关键的 JS,就可以获取到页面上用户输入的QQ号和密码了(甚至还能知道用户先输入号码还是密码),之后至于向哪发送完全随意。
6541 次点击
所在节点    信息安全
28 条回复
heiher
2014-06-16 20:50:07 +08:00
@20150517 说的是页面主要是 HTTP 的,而有部分被认为是重要的传输是 HTTPS 的。
alexapollo
2014-06-16 20:53:28 +08:00
很早之前有碰到过这个报警,原来是这个意思
dorentus
2014-06-16 21:18:14 +08:00
其实中间人攻击有些情况下还是比较容易出现的。

ISP 自己搞的插广告的就不说了,比如公共 wifi 热点,没有隔离措施,同网络里的人搞个 arp 欺骗,应该就可以把使用 http 的关键的 js 劫持到自己那里了,然后不管是捕获用户在当前页面的输入、还是模拟用户行为发点内容,都随意了……

对用户来说,只是浏览器有提示页面上有没加密的资源(但是只是警告,又不会像证书不对那样直接阻止),基本没啥意义。是,警觉的用户可能会选择不登录,但是你这站点又没有提供其它安全的登录方式……于是就只能回家才敢登录了么?……
lightening
2014-06-16 22:10:57 +08:00
Web QQ 不是全站 HTTP 嘛,哪有什么 HTTPS?
20150517
2014-06-16 22:46:45 +08:00
@heiher 不是吧?webqq页面是http然后部分https?那也无语了
xierch
2014-06-17 00:12:34 +08:00
登录页整页 HTTPS 还好些,只是每次登录时需要用户注意一下,密码不会泄漏的不过 cookies 还是保护不了..
支付宝全站 HTTPS。不过 HTTP 转 HTTPS 用 301 可能更好一些,301 浏览器会缓存。
淘宝就很随便了,只有(部分?)登录页面是 HTTPS..

支付宝绑定淘宝 Considered Harmful(
jakwings
2014-06-17 07:03:01 +08:00
至少可以防止 ISP 偷偷插广告。
julyclyde
2014-06-18 17:04:02 +08:00
页面https、元素http,浏览器会报警的吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/117714

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX