这年头 Apple ID 钓鱼网站都用上 https 了

2017-09-30 23:15:14 +08:00
 seers
查了下是 let's encrypt 的证书,话说这种无审核的滥发机制真的好吗?
钓鱼网站:www.payment-cancellation-subscription.ml
8822 次点击
所在节点    Apple
85 条回复
yongyuhi
2017-10-01 13:46:57 +08:00
@woshixiaohao1982 不懂就翻翻历史,万维网最初用于军事目的。
woshixiaohao1982
2017-10-01 13:48:31 +08:00
@yongyuhi 那是 Internet 谢谢 不是万维网 www
yongyuhi
2017-10-01 13:50:48 +08:00
@woshixiaohao1982 万维网是 Internet 的前身,根域名服务器也是在政府手中啊。
choury
2017-10-01 13:51:18 +08:00
看来很多人弄不明白 security 和 safety 的区别
nousername2030
2017-10-01 13:53:01 +08:00
@yongyuhi 为什么最基本的安全通信也要变成成本比较高的一件事。钓鱼网站内容鉴别完全可以由浏览器完成,也完全可以通过提高网民的安全意识来防范。
choury
2017-10-01 13:58:19 +08:00
@yongyuhi #45 苹果的消息也是加密的,也被称为宣称为安全,照你这么说你被苹果的 imessage 诈骗了就要怪苹果没审核,给坏人用了吗?说白了它们这里宣称的安全是 security,其实中文和加密更相近,而不是你认为的 safety,只是用中文没法区分罢了
also24
2017-10-01 14:00:18 +08:00
也许和许多浏览器将 https 标定为 “安全” 有关,许多人错误理解了 https 的作用。

also24
2017-10-01 14:01:24 +08:00
hjc4869
2017-10-01 14:04:13 +08:00
@woshixiaohao1982 如果它多写两个字,把话说完,显示“安全连接”,会上当的人估计要少一半。但是“安全”二字后面紧跟网址,这个安全谁也不知道到底是在修饰什么,你把自己放在普通人的角度看看,就会发现问题很大。
byuc
2017-10-01 14:05:47 +08:00
@yongyuhi

哦,那就是去公安局开无犯罪证明了?
美国买手机号还要社保号,依旧有人用于诈骗。
买武器还要背景审查,依旧枪击案频发。

事实上,这种审查没有解决“只能卖给好人,不能卖给坏人”的问题。而且也说不是唯一的贩卖渠道。别人还要去别处卖。解决了你提出“只能卖给好人”的问题了吗?

要解决这个问题,你怕不是活在梦里。

另外 HTTPS 是为使用者服务的,而不是为访问者服务的。它保证的是通讯过程的安全保密,不被劫持,也保证了忠实显示内容。
nousername2030
2017-10-01 14:07:32 +08:00
@hjc4869 Secure 在英文里问题不大,中文的歧义比较明显,其实改成“加密”会好很多。
xrui
2017-10-01 14:13:21 +08:00
令人想到 food safety 和 food security
一个是真的是食品安全问题,一个是食品供应保障问题
usernametoolong
2017-10-01 14:47:30 +08:00
想要一劳永逸解决的这事情,只能把人类全部崩掉。
sobigfish
2017-10-01 14:59:42 +08:00
@also24 是的,chrome 在这个提示上有误导无知群众的风险,上次在证书相关的 issue 里给他们提过不要写密码和信用卡,结果
被删了!
https://bugs.chromium.org/p/chromium/issues/detail?id=663971
UnknownR
2017-10-01 15:55:22 +08:00
@lzhr 大部分 apple 用户都不会看
yongyuhi
2017-10-01 16:49:05 +08:00
@byuc
你这么扯半天,美国既没有废除社保号,也没有取消购买武器背景审查。
美国现在还要审查入美人员的社交网络信息。
HTTPS 是维护通信安全,但不维护恐怖分子的通信安全。
这就是事实,大量的 HTTPS 用于诈骗,各国政府政府更有理由推进实名制。
实际上美德现在都在推进,包括跟随中国一样部署大规模人脸识别系统。
woshinide300yuan
2017-10-01 17:38:54 +08:00
我理解的是,证书只是保证网站传输安全,并不保证网站的内容是安全的。
Quaintjade
2017-10-01 17:45:43 +08:00
@yongyuhi
DV 本来就只保障域名正确性和通讯不被中间人截获,诈骗关 DV 毛事。DV 不作更多验证并不会导致诈骗情况更糟,有问题的是浏览器的标识。

社会上什么事就该由对应的什么人去处理。
你卖根网线难道还要查验对方是不是企图用网线勒死他人?
你卖个安全门锁结果别人搭到电源上电死了,所以是你的门锁不安全?
你卖根安全挂绳结果别人拿去玩蹦极摔死了,所以也是你的绳索不安全?
stebest
2017-10-01 17:55:46 +08:00
@all 我觉得,在 let's 封掉钓鱼网站之前,V2 应该先封了某些蠢货。楼主发布引战话题,蠢货发布引战言论,各位还有必要争辩不休么?
i730
2017-10-01 21:00:46 +08:00
@a87150 #1 博客意义很好好,为什么个人博客,钓鱼网站就不能 https 了?又不是 OV/EV 的企业认证

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/394960

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX