都 2020 年了,CCB 的官网首页居然没有默认强制 https.....

2020-01-13 10:53:35 +08:00
 datou
作为国内第二大银行,很不专业呀
9391 次点击
所在节点    分享发现
115 条回复
manami
2020-01-13 15:09:13 +08:00
@mxT52CRuqR6o5 有消息来源链接请给一个。“随便连 wifi 也能保证安全”我认为做不到。
mxT52CRuqR6o5
2020-01-13 15:20:12 +08:00
manami
2020-01-13 15:30:21 +08:00
@mxT52CRuqR6o5 就个人觉得这回应更大是宣传成分,绝对安全是不存在的。链接黑客的 wifi 手机内的信息都被看了,等于裤子都被脱了你说 jj 还能安全?不知大家怎么看
no1xsyzy
2020-01-13 15:32:51 +08:00
@fancy111 sslstrip 了解一下?都是现成工具箱了
mxT52CRuqR6o5
2020-01-13 15:36:49 +08:00
@no1xsyzy hsts 了解一下
no1xsyzy
2020-01-13 15:37:47 +08:00
@manami 你连恶意 Wifi 被获取和篡改的是且仅是全部的外部数据交互
在不安全信道上建立安全信道:迪菲-赫尔曼密钥交换
manami
2020-01-13 15:46:55 +08:00
@no1xsyzy 不懂你说的这个什么交换。针对“随便连 wifi 也能保证安全”这点发到任何国内外的一个黑客论坛都会被认为是个笑话。
mercury233
2020-01-13 15:52:10 +08:00
@no1xsyzy 说到底还是降级 http,用户有安全意识或者网站有 hsts 就没事了
otakustay
2020-01-13 15:53:28 +08:00
@fancy111 把首页整个劫持了,里面登录表单做个一模一样的,但数据提交到其它地方去,或者用 JS 监听输入送到其它地方,方法多着去了
HTTPS 必须是一个完整的东西,一个站点有任何一个小地方不是 HTTPS 的就会变成突破口,整个完蛋
no1xsyzy
2020-01-13 15:54:05 +08:00
@mxT52CRuqR6o5 我 #24 是补充 #8 的
no1xsyzy
2020-01-13 15:56:20 +08:00
@mxT52CRuqR6o5
@mercury233
时至今日,依然有用户使用不支持 HSTS 的浏览器
也不是每个网站都进了 Preload List。
mxT52CRuqR6o5
2020-01-13 15:58:26 +08:00
@otakustay 你说的这个 hsts 可解决,另外 chrome 访问自家网站证书都验的可严了,根证书随你装,压根不认的
mxT52CRuqR6o5
2020-01-13 16:00:41 +08:00
@no1xsyzy 这就是另一个层面的问题了,现有技术还是可以保证安全的
Tink
2020-01-13 16:05:03 +08:00
@fancy111 #12 首页没 https 没用啊,首页完全一样,然后提交表单到其他的 url,这不是被坑了吗
mxT52CRuqR6o5
2020-01-13 16:06:53 +08:00
@no1xsyzy caniuse 上说安卓从 4.4 支持 hsts,不支持 hsts 的设备现在这个时间点应该是非常少的,至于网站不使用最新的安全技术正是楼主所说的问题
otakustay
2020-01-13 16:07:45 +08:00
@mxT52CRuqR6o5 HSTS 了就没有“只要登录是 HTTPS”这回事了,HSTS 的前提就是全面 HTTPS
mxT52CRuqR6o5
2020-01-13 16:08:00 +08:00
@mxT52CRuqR6o5 是指移动设备
mercury233
2020-01-13 16:11:18 +08:00
所以说还是没人能解释 @fancy111 说的“把 HTTPS 网页的内容改掉”除了假证书有什么办法,以及有 https 加密时中间人怎么获取 cookie
fancy111
2020-01-13 16:17:40 +08:00
@mercury233 我来给你解释吧,连上 wifi 相当于做了一层转发,想要改客户端看到的信息很简单,最可行的方式是直接劫持 DNS,给你看到的银行网站是假的而域名是真的。另外加假证书后客户端是无法知道的,他根本没理解,以为是在手机上装。
mercury233
2020-01-13 16:21:49 +08:00
@fancy111 那都是 HTTP 时代的手段,ip 没能提供有效的对应域名的证书浏览器不会认的,然后这年头找个无视假证书的客户端挺难的吧,程序员得多没有安全意识又多钻牛角尖才既不验证证书又不用现成的 https 库

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/637415

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX