京东 App 里的修改密码页面是被劫持了吗?

2016-07-18 15:32:38 +08:00
 ichanne

联通 4G 用户,京东 App 修改密码页面,这是被劫持了吗?这个广告弹窗的风格和内容明显不是大厂风格啊。

2022 次点击
所在节点    分享发现
10 条回复
paradoxs
2016-07-18 15:37:05 +08:00
这是最新版的 JD 客户端吗?
ichanne
2016-07-18 16:01:50 +08:00
@paradoxs 必须啊,我的 App Store 开了自动更新
yyyle
2016-07-18 16:10:30 +08:00
paw
2016-07-18 16:17:49 +08:00
不要惊讶,京东除了需要输入密码的页面其他全站 HTTP ,包括 APP 也是直接走 http ,也就是运行商想劫持就劫持,你在京东买了什么、有多少钱包括你的 cookie 都能拿到的,。

如果京东再没使用 htst ,甚至可以直接对输入密码的页面降级攻击,直接你密码都能拿到,,,,

京东整天给我推理财广告,打开看其中有一条还是“强加密,保证你的安全”什么的 , 马丹 我都快笑喷了

估计京东是国内一二线厂商最不注意安全的了,这理财 不敢用

给他们提过 N 次意见,没见改进....
paw
2016-07-18 16:21:48 +08:00
哈,刚看了下 ,京东没有使用 htst ,也就是你输入密码的页面可能也是运营商 /黑客劫持过的.....
yexm0
2016-07-18 16:24:09 +08:00
额,苹果不是要求 https 的吗?
ichanne
2016-07-18 16:44:44 +08:00
@paw 是啊,这个修改页面谁敢用啊,修改的密码肯定能被劫持啊
@yexm0 明年才强制
@yyyle 应该是运营商劫持的
CloudnuY
2016-07-19 15:09:31 +08:00
好多 APP 里面的部分页面都是直接用的 Webview ,而且没上 https ,被运营商劫持的严重到代码冲突,页面无法显示 -。-
ichanne
2016-07-19 17:14:20 +08:00
@CloudnuY 一个好的 iOS 面试题来了,如何避免 WebView 劫持😂
20150517
2016-07-19 19:51:19 +08:00
@paw 啥叫 htst 能解释下么?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/293220

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX