都 2020 年了,CCB 的官网首页居然没有默认强制 https.....

2020-01-13 10:53:35 +08:00
 datou
作为国内第二大银行,很不专业呀
9373 次点击
所在节点    分享发现
115 条回复
fancy111
2020-01-13 10:59:48 +08:00
登录是 https 就行了。 谁要你公开的信息?
wangkun025
2020-01-13 11:01:30 +08:00
感觉天朝的银行都很庞杂,能养不少人。
Elietio
2020-01-13 14:01:21 +08:00
我记得电信联通也是的
mxT52CRuqR6o5
2020-01-13 14:10:08 +08:00
@fancy111 光登录页面 https 不够安全的,之前微博就是这么做的,电视里表演的公共 wifi 劫持账号都是用微博做例子的
Raymon111111
2020-01-13 14:17:41 +08:00
现在任何网页用 http 都是不负责的表现

和公开信息有啥关系
darmau
2020-01-13 14:21:52 +08:00
@fancy111 所有备案网站都要链接到的工信部页面至今还是 http,你当然可以说 s 不 s 无所谓。但作为一个国家的互联网主管部门,这个水平,呵呵

想起了那个不会用电脑的日本高官。总能说明一些问题的。
namek
2020-01-13 14:28:29 +08:00
贵公司没有做等保吗 美其名曰安全 其实就是抢劫
mercury233
2020-01-13 14:35:22 +08:00
@fancy111 可以在 http 的网页上把登录页的链接改成假的
fancy111
2020-01-13 14:41:21 +08:00
@mxT52CRuqR6o5 劫持账号不在登录界面怎么劫持,你告诉我一下。

@darmau 本来国家部门水平就没私企高,这很正常,但是跟 HTTPS 没关系。


@mercury233 你真逗,好像我不能把 HTTPS 网页的内容改掉一样。
mxT52CRuqR6o5
2020-01-13 14:46:27 +08:00
@fancy111 劫持登陆态啊,我不是说了吗,之前一直在电视上表演的公共 wifi 劫持微博就是这么做的
manami
2020-01-13 14:51:39 +08:00
谁敢动银行,牢饭香?😂
fancy111
2020-01-13 14:53:18 +08:00
@mxT52CRuqR6o5 劫持登录状态跟 https 有个毛线关系,wifi 路由里面设置个假证书,做中间人,你看到的都是 HTTPS,后台直接获取解密信息。另外我都不需要用这个方式,只要你连接的是我的 wifi,不管有没有加密,COOKIE TOKEN 都是能获取的,这就是登录状态信息,然后可直接提取做重放。
mxT52CRuqR6o5
2020-01-13 14:54:13 +08:00
@fancy111 给自己手机安个根证书就叫 https 内容可修改了?
manami
2020-01-13 14:56:45 +08:00
比较大的就是孟加拉央行被黑过 8100 万美元了吧,不过它那个主要是被骗
fancy111
2020-01-13 14:57:46 +08:00
@mxT52CRuqR6o5 看懂我说的再来杠吧。 没空解释
mxT52CRuqR6o5
2020-01-13 15:00:44 +08:00
@fancy111 我看是你没看懂我说的,你 wifi 设置个假证书,用户手机根本不会信任,也就能劫持你自己手机里的内容,不然你以为微博全面切 https 是为了什么
manami
2020-01-13 15:01:07 +08:00
@fancy111 你怕是误解 @fancy111 的意思。“只要你连接的是我的 wifi”这跟银行有半毛钱关系,完全是用户的问题
manami
2020-01-13 15:01:35 +08:00
@mxT52CRuqR6o5 @错……
mxT52CRuqR6o5
2020-01-13 15:05:44 +08:00
@manami 支付宝号称随便连 wifi 也能保证安全,你觉得是怎么做到的,支付宝可以在手机网页端提供用户名和支付密码进行支付,既然 httpa 劫持这么简单,难道支付宝不怕 https 劫持
mercury233
2020-01-13 15:07:20 +08:00
@fancy111 我怀疑安全专家们搞了个假 https,假证书说做就做? COOKIE TOKEN 不走 https ?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/637415

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX