网易登录是在自欺欺人吗?

2017-08-27 16:19:44 +08:00
 FrankFang128
  1. https://mail.163.com/ 会强行跳转到 http
  2. 页面上显示「正使用 SSL 登录」,然而只是在 http 页面里面用了一个 https 的 iframe
  3. 攻击者只要篡改 http 页面,即可轻易伪造登录框

所以,网易的同学为什么不在 mail.163.com 开启 https 访问?

4222 次点击
所在节点    信息安全
8 条回复
zrt
2017-08-27 17:22:44 +08:00
好像 https://mail.163.com/ 可以用,就是广告加载不出来?
FrankFang128
2017-08-27 17:29:40 +08:00
我打开直接变成 http
@zrt
zsj950618
2017-08-27 22:17:47 +08:00
所以为什么还要用网易邮箱?
solidsnake
2017-08-27 22:25:39 +08:00
网易用的老流氓的证书
FrankFang128
2017-08-27 23:52:42 +08:00
@zsj950618 只是想嘲讽一下网易的开发。我用 Gmail + QQ
Hardrain
2017-08-28 20:08:26 +08:00
网易邮箱登录时的 POST 包似乎走了 SSL

但是这种页面本身用 http 且还有走 http 的 JS 的
一被注入岂不完蛋
明文的凭据都能获取到吧
benjix
2017-10-09 16:57:50 +08:00
FrankFang128
2017-10-09 23:39:26 +08:00
@benjix 有不安全的脚本

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/386144

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX