为什么V2EX login没有使用SSL

2013-02-01 03:51:36 +08:00
 dcoder
这两天在研究login的东西,发现很多著名的网站比如 StackOverflow, V2EX 等login时候输入的password都是没有用端到端加密的(没有用SSL), 那就是说中间router很容易看到这些明文password啦。没有这方面的担心吗。
4239 次点击
所在节点    问与答
11 条回复
Livid
2013-02-01 03:56:59 +08:00
你提到的这个,是我们接下来确实需要做的一件事情。
tokki
2013-02-01 03:57:30 +08:00
可能是没钱吧。。。
dcoder
2013-02-01 03:57:59 +08:00
@Livid 知道了 :)
tokki
2013-02-01 04:02:07 +08:00
以前的v2没有充值的功能 感觉对安全性没那莫高的要求
从现在的功能上来看 越来越有必要了 livid分享下ssl 那些东西现在都是怎么弄的 一个证书要多大的开销
Livid
2013-02-01 04:02:48 +08:00
@tokki 证书其实还好,ORCA.io 用的 GeoTrust Wildcard 也就差不多两年 800 美金而已。
Livid
2013-02-01 04:11:27 +08:00
@tokki 充值过程中,信用卡信息发送到 Stripe 的整个过程,是通过 SSL 的,而且没有任何信用卡相关的信息经过或者保存在 V2EX.com
dndx
2013-02-01 04:23:18 +08:00
@Livid 这里有一个隐患,在未启用 SSL 的情况下,假如中间人替换了充值页面里 Stripe JS 的 src ,那么用户就会不知不觉将信用卡信息发给钓鱼者。
wy315700
2013-02-01 08:29:05 +08:00
我现在感觉所有保存用户cookies 的网站都应该用ssl
防止被嗅探
fsw90628
2013-02-04 17:15:15 +08:00
rapidssl 更便宜
Livid
2013-02-15 16:40:15 +08:00
现在 V2EX 的登录页面上已经可以选择通过 https 登录:

https://www.v2ex.com/t/60391
xinhugo
2013-03-03 02:46:42 +08:00
@Livid

能否实现对用户来说透明的:登录部分HTTPS访问,其他部分HTTP访问?这可能需要一个用于登录的子域名。

另外,能否提供「感谢」的确认按钮,避免误点?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/59436

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX