关于“蹭免费 wifi 有没有风险”的争论，@奥卡姆剃刀 和@yuange1975 谁说的更有道理一些？

@revival83 我从未购买过VPN，都是购买VPS后自己建。如果不求速度，有些美国VPS比VPN要便宜得多。

@mornlight 这里不谈剃刀的问题，而是谈具体的技术分析。危险性当然有。但现在谈的是https 证书验证这关。如果客户端没设计好有漏洞，那是人为错误，应该向客户端提交bug，而不是wifi本身的漏洞。如果客户端按照规范设计了，那么获取银行帐号密码有那么容易？当然可以回避https，但这需要中木马等方式。

@Bakemono 这个视频有问题，看不清如何验证ca证书的情况。太模糊了。我问了他三遍，都没有得到回答

@virusdefender 银行app有这种漏洞，只能说是设计的屎尿一样了

=。= 只有我一个人觉得免费的wifi速度超慢，在外都是跑流量的么。

@ctexlive 有什么问题我帮你问一下？
实际上redrain已经一天没在qq上出现了（GG

@Bakemono 他演示的是一个浏览器访问招行，输入卡号和登录密码，别截获。按照正常情况，浏览器访问招行必定会验证招行的证书是否合法。所以，他手机输入卡号之前应该能看到验证的结果，也就是一个安全锁的标志。但视频中看不到。

@palxex 没有加锁的话可能就是使用ssl strip

@ctexlive 这个世界远比你想象的危险 哈哈～

@virusdefender 安全本来就是不是一个绝对的概念。而是基于成本效益的综合妥协。只要在接受的风险之内享受便利和快捷即可。

@hjc4869 可惜我不懂技术，否则我也一定自己建一个

@revival83 不需要什么技术吧，按照教程一步步来就可。。我也是看教程搞得。。

@hjc4869 兄弟能赏脸给个Q么。我按教程搞遇到疑问咨询下你^^

@hjc4869 您用的哪家的VPS？

@hljjhb DNS 控制在自己手里面，所以连接哪个IP是可控制的。
另外先不说ssl证书乱发的问题，很少有用户手工输入 https 的。所以浏览器一开始访问的是 http 版本的，然后在跳转到https版本。但是如果连到伪造的网银页面还会让你跳转到 https 吗？

还有 uc 浏览器在 https 下默认并不显示网址，而是显示锁标志和网页标题。如果自己申请一个域名(不需要和icbc有关系)然后申请一个证书(也不需要和icbc有关系)。让 http 版本的 icbc.com.cn 跳转到自己的这个域名上，界面能达到和icbc的完全一样，甚至绿色的锁标记都一样。除非用户去点击地址栏然后看网址，不然根本看不出来跑到钓鱼站上面去了。

网址问题也可以解决， uc 默认也显示网址的后半部分，至少在我的手机上面网址的前半部分 "https://mybank1." 都不显示，也就是说我如果弄一个 http://aaa.com/mybank1.icbc.com.cn/xxx 的网页，只要根据分辨率计算好了xxx的长度 即使点了地址栏uc显示的也只是icbc.com.cn/xxx，用户只能自己往前拉才能看到完整的地址。

没必要盯着ssl/https，xss就可以了。转账的时候以为输得自己的帐号，其实request的时候变成了别人的...