京东通信实名认证页面未加密

2016-12-23 15:55:26 +08:00
 athanos
http://imgur.com/0cq4x8l

实际上登录页面也没有加密,是 http 。反应给京东,京东说是安全的?
3972 次点击
所在节点    信息安全
13 条回复
honeycomb
2016-12-23 16:00:54 +08:00
那就不应该使用,直到它上了 HTTPS 为止。
athanos
2016-12-23 16:16:48 +08:00
@honeycomb 我反映给了京东,但是他们后来打电话说后台核实了,是安全的。
athanos
2016-12-23 16:20:08 +08:00
http://imgur.com/CUMV6EN

实际上京东通信登录的页面就没有加密。
imn1
2016-12-23 16:22:17 +08:00
@athanos
他们说的“安全”和你想的不是同一个概念,他们只是说你的帐号“还”没被入侵而已
传送过程中间被截留“跟他们无关”,理由是数据还没到他们那里,是你自己的事
alex321
2016-12-23 16:27:05 +08:00
京东金融、钱包下面都有没上 https 的,二手奶茶黑东自个儿觉得自己很安全啊,前两天才爆 2013 年的老漏洞,估计最近的新漏洞还有不少,或者黑产早已入京东如反掌。。。。
honeycomb
2016-12-23 16:38:58 +08:00
@athanos

所以说不应该使用,直到它上了 HTTPS 为止。

换句话说如果它就是不用 HTTPS ,则不应用这个接口提交身份信息。
linbiaye
2016-12-23 17:23:31 +08:00
这图只有界面,具体有没有 https 得看怎么通信的
athanos
2016-12-23 19:53:28 +08:00
@linbiaye https 页面 chrome 会显示证书信息。
t6attack
2016-12-23 20:03:41 +08:00
不加密也不等于明文传密码。虽然也会被中间人作梗,但不算漏洞级的“安全缺陷”了。
AbrahamGreyson
2016-12-23 22:08:09 +08:00
手动加 https 试试。
我记得狗东有一次被劫持,我手动加上了,发现好使。
Aspx
2016-12-24 11:13:32 +08:00
狗东不实名认证一样可以购物啊,这也是我中意用狗东的理由之一
linbiaye
2016-12-25 15:27:55 +08:00
@athanos 我想说的是,页面是明文, ajax 请求不一定。
wuxiao2522
2017-01-10 16:40:11 +08:00
@Aspx 对哒,同样没实名,不敢开通白条之类的,货到付款。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/329695

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX