都 2020 年了,CCB 的官网首页居然没有默认强制 https.....

2020-01-13 10:53:35 +08:00
 datou
作为国内第二大银行,很不专业呀
9393 次点击
所在节点    分享发现
115 条回复
alalida
2020-01-13 17:13:40 +08:00
@mercury233 没错,CA 签名机制加上证书链可以保证中间人攻击无效。除非客户端信任非系统自带的根证书,否则 https 无解的。 @fancy111 推荐看一下整个 https 的鉴权过程。
lshero
2020-01-13 18:26:56 +08:00
网上银行十几年前就双向 SSL 证书了
为啥后来还搞动态口令卡,浏览器安全组件,硬件数字证书,浏览器安全插件?
dremy
2020-01-13 19:10:53 +08:00
@fancy111 私钥签名,公钥验证 了解一下
在证书私钥不泄漏的前提下,假证书一眼就能看出来了,做不了假的
dremy
2020-01-13 19:12:46 +08:00
@lshero 怕不是觉得用户电脑上可能会装各种病毒木马和恶意软件,信不过信不过
bing1178
2020-01-13 19:23:30 +08:00
只要我访问的是 https 我连谁的 wifi 都不怕
然后 没有人吐槽 好多银行都需要安装控件才登陆吗?
snw
2020-01-13 19:56:16 +08:00
@bing1178
更应该吐槽的是,有些银行的控件下载链接是 http 的。虽然配合网盾可以做到安全(意味着大额操作不了),但劫持下载假软件然后显示个假页面骗几个密码还是妥妥的。
no1xsyzy
2020-01-13 21:01:59 +08:00
@mxT52CRuqR6o5 #35 你说的这个是指安卓默认浏览器吧,实际上是否支持 HSTS 是浏览器说了算而不是设备。似乎目前存在一些 “云浏览器”,因为没有本地记录所以根本无法保留 HSTS。

@mercury233 #40 还有恶意 CA 或者 CA 错误签发,虽然有黑名单但总归是慢半拍的,金融相关稍微注意一下问题也不大( App 可以用 SSL pinning )。除此以外还有引导到假域名( IDN homograph attack )

@manami #27 首先,别拿 0day 说事。其次,过层 Wi-Fi 和过层代理在易受攻击性上有什么区别?
然后,黑客与骇客分分清楚?你说的到底是哪个论坛能这么异想天开?
只要没有数据交互,还能主动渗透?是随便哪个人会在自己手机上留 sshd 或 TCP adb ?
manami
2020-01-13 21:22:19 +08:00
@no1xsyzy Quara 上的一个讨论:Are HTTPS websites safe when accessed through open WIFI networks?
链接: https://www.quora.com/Are-HTTPS-websites-safe-when-accessed-through-open-WIFI-networks#
截图(为了方便其他 v 友看页面用了谷歌翻译): https://i.loli.net/2020/01/13/xsWNQhoryLeiHwg.png

这个问题的答案大部分都认为不是安全地
manami
2020-01-13 21:26:42 +08:00
@manami 打错,Quora、安全的
mxT52CRuqR6o5
2020-01-13 22:02:04 +08:00
@manami 我咋看到的和你是相反的,大部分都认为是安全的
manami
2020-01-13 22:16:06 +08:00
@mxT52CRuqR6o5 老哥你确定?洗个脸后再看看。里面大多数都建议使用的 vpn 跟 https 可不是一个东西
baobao1270
2020-01-13 22:44:12 +08:00
没毛病,国内国企事业单位都这个样子,我们学校第三方弄的校园网认证系统都上 HTTPS 了,学校官网都没上 HTTPS……
主要是没动力升级,再加上老企业一堆 IE6,升了 HTTPS 导致部分浏览器打不开,谁负责?

这也就是为啥中国很多银行喜欢用“安全控件”的原因
mxT52CRuqR6o5
2020-01-13 23:04:43 +08:00
@manami 我是看了票高的几个回答,没往下翻,往下翻确实是都在卖 vpn
mxT52CRuqR6o5
2020-01-13 23:12:17 +08:00
@manami
https://www.zhihu.com/question/20091637
找了个知乎的类似问答,回答数量和赞的数量都比 quora 那个问题高,你看看这个
jhdxr
2020-01-13 23:23:08 +08:00
@fancy111 感觉不懂的是你才对。你想表达的是通过劫持 DNS 将域名解析到攻击者控制的主机上去。但是攻击者是无法伪造出一个受信任的证书的。不信你可以自己试试,你能在你搭的服务器上,弄出一个 https://v2ex.com 么?

至于初次访问降级的问题,上面也有人已经提到 HSTS 了。


@manami quora 上问这种。。。和知乎上问这种。。。感觉都不靠谱。你选择的这个回答就是一个很好的例子。沦为了卖 VPN 的人的广告。
snw
2020-01-13 23:31:45 +08:00
@manami
所有那些说 https 不够安全的回答都是假设 ssl 存在一些 vulnerability 没有 patch,或者服务器 /客户端配置问题导致可以被攻击。但这些并不否定 HTTPS 设计上是安全的。
实际上 VPN 也基于类似的加密套件,如果你看 VPN 更新日志的话,也经常 patch 一些 vulnerability。而且 VPN 也同样可能存在配置问题(例如 Windows 默认 VPN 的加密是可选而非强制)。

所以更准确地概括那些回答的说法是,HTTPS 可能存在配置问题导致不安全,建议在 HTTPS 外再套一层 VPN。
snw
2020-01-13 23:34:52 +08:00
@manami
另外真的不建议看 Quora,各种广告、答非所问、垃圾排序算法,连知乎都不如。当然知乎也不咋地。
kraymond
2020-01-13 23:37:12 +08:00
@manami #48 Quara 里的降级攻击就没啥好说了吧,更何况里面的高票答案只有 3 个 up。stackexchange 里有更专业的讨论。在这里,更多的人认为是相对安全的,事实上使用 vpn 并不会提升安全性,其 mitm 攻击的难度不会高于 https。
我很好奇在哪个“国内外黑客论坛”发 https 在 open wifi 上的安全性是个笑话。据我所知,https 尽管有各种各样的问题,但是在开放信道上的相对安全性在 security community 应该是一个被广泛接受的认知。
love
2020-01-14 00:11:40 +08:00
@fancy111 啥?在 wifi 里设置个证书就能看明文 https 了?那搞爬虫的只能在本机上装证书看 https 的岂不是弱爆了
AES256GCM
2020-01-14 01:59:00 +08:00
@fancy111 随便弄个非正式 CA 签发的假证书,怎么可能过得了浏览器的检验。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/637415

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX