关于 360,其实去年还有个故事

2016-10-09 01:23:02 +08:00
 lhbc
CAB Forum 有人问,为什么 360 SE 浏览器在证书错误的情况下,依然加载页面并且发送 cookies
360 的解析是因为中国有很多自签证书和过期证书,这是提升用户体验
最后 360 的做法是弄个更显眼点的提示条……这事就不了了之
详细过程可以看 mailing list
https://cabforum.org/pipermail/public/2015-April/005441.html

现在 360 SE 浏览器依然会直接加载证书错误的网站并且发送 cookies
6383 次点击
所在节点    信息安全
37 条回复
fclql
2016-10-09 07:28:28 +08:00
本来就臭,还有啥好追究的
coreki
2016-10-09 07:50:18 +08:00
符合国情,我爸他们工作需要进的网站(中国移动的),就总是提示证书过期, 360 就能直接进,他们就喜欢
7654
2016-10-09 08:31:45 +08:00
用 360 的真是作死啊
Vhc
2016-10-09 08:33:27 +08:00
终于明白了。
之前在一家金融公司工作,公司财务要登录很多金融机构给下面的代理商提供的后台,用什么浏览器都打不开,谷歌火狐好像提示网站被劫持,没有“信任证书”的选项, IE 提示证书不受信任。唯独 360 浏览器可以打开。然后全公司都认为 360 是全世界最好的浏览器。
ragnaroks
2016-10-09 09:02:05 +08:00
1/3 楼正解,事业单位不懂什么安全,但是 360 浏览器正好满足了这种畸形需求,下发的文件里面甚至都写明"请各部门用 360 浏览器打开指定链接进行填报"
Osk
2016-10-09 09:04:38 +08:00
还记得 outlook 被劫持那次吗?我先去取个快递。。
jhaohai
2016-10-09 09:11:08 +08:00
很多企事业单位都是自签名的证书,根本就没有买证书的概念
forestyuan
2016-10-09 09:16:58 +08:00
连 12306 都不花钱买证书,这安全意识实在令人无语。
clino
2016-10-09 09:21:30 +08:00
如果不明显提示并不让用户很容易地浏览自签或者过期网站的话,那 https 又有什么用呢?
360 到底是不是安全相关的公司?
感觉上它这么做和 wosign 是有类似的企业文化的,赚钱第一安全第二
scnace
2016-10-09 09:25:19 +08:00
吃枣出个大新闻。
0TSH60F7J2rVkg8t
2016-10-09 09:27:06 +08:00
吃枣在墙外出个大新闻(墙内继续一片祥和)。
horsley
2016-10-09 09:28:52 +08:00
有些是不买证书,有些是不好签证书,例如纯 ip 入口的一些系统,使用内网自定义域名的系统
murmur
2016-10-09 09:32:24 +08:00
安全和便捷本身是相对的 你打不开一些网站用户就会骂你 谁管是证书过期 你去跟老百姓解释这个问题?
lazyyz
2016-10-09 09:37:45 +08:00
用户体验第一,除了业内或者相关人士还有谁会那么注重安全呢?而且对于我身边很多人来说,都是能用的才是最好的
nicevar
2016-10-09 09:41:32 +08:00
https 现在看起来是有点蠢了,随着时代发展是时候该出现替代品了
传说中 https 在 NSA 面前不堪一击,有疑心不用这玩意很正常,再说这东西用起来也麻烦,不过在 v 站上影响不少人卖证书的收入了吧
clino
2016-10-09 09:54:20 +08:00
@nicevar 除了你说的传说中,哪个地方蠢? 有什么现成的替代品吗?
nicevar
2016-10-09 10:13:30 +08:00
@clino 看不懂中文?我说有替代品了?是没有地方蠢,使用 https 那是大幅提升访问速度,也没出现过漏洞,证书真是便宜,方案便捷易用对吧
ryd994
2016-10-09 10:40:35 +08:00
@horsley 好签的很,如果是公司内部电脑,完全可以预先部署自己的 CA 证书,然后想签什么都可以。这样的好处是可以防止被中间人,只要保护好私钥就行。
自签名证书, https 等于明文。
@nicevar https 有漏洞,所以直接用明文算了,这个逻辑我服的。就 Web 应用而言, https 就是最通用最容易部署的了,而且可靠性也是非常足够。用起来麻烦就……呵呵, let's encrypt 我看到网上还有人要教程简直想笑。除了运行脚本然后按提示操作,教程有什么用?要收什么费用?
至于替代品………看看有谁能超越一代代 CS 教授们。 TLS 的安全性是一篇篇学术论文堆出来的。修补升级一直有。全盘推翻?那恐怕就不是一两篇博士论文的问题了。
说 TLS 蠢……你这样看不起 CS 学界,你导师知道么?
est
2016-10-09 10:44:09 +08:00
其实这都是因为百度上一些中文教程「如何在 tomcat 配置 ssl 」,然后第一步就是自己签发证书什么的。。。
yxwzaxns
2016-10-09 11:21:30 +08:00
弱弱的问一句,自签名的证书 == 明文
为什么 @ryd994

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/311276

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX