为什么国内网站不用 https?

2013-11-05 18:40:51 +08:00
 octopus_new
国外网站基本上从注册到登录都把链接做成 https, 为什么国内从门户网站,到小型 online store 都很少使用 https? 一直都想不通啊
20951 次点击
所在节点    信息安全
61 条回复
webflier
2013-11-05 21:19:07 +08:00
@octopus_new
豁然开朗
原来你以为https://mail.163.com不能访问,就说明在http://mail.163.com/上的登陆动作是不安全的,不走https的?
我错了。。。。真的。。。。真不该插一脚的。。。。
hzlzh
2013-11-05 21:28:14 +08:00
我的两个域名都用了 https/SSL ,还是可以的。
https://zlz.im/
https://mthost.org/
octopus_new
2013-11-05 21:29:14 +08:00
@webflier 显式的在浏览器里使用 https 至少能让用户放心, 在登录框下面写个正使用 ssl 登录, 对用户来讲可信度有多少, 难道还要用户去看代码来确定? 为什么 Gmail 没在登录框下面写一个"正使用 ssl 登录"? 国内网站的设计本身就问题多多. 还有就是难道 weibo.com 也是"正使用 ssl 登录"? 或者国内很多网站都是 http 正使用 ssl 登录?
coagent
2013-11-05 21:41:04 +08:00
在登录框搞个要用户去勾的SSL登录选项,本身就是用户体验的问题。
tension
2013-11-05 21:45:10 +08:00
@octopus_new 已经强制到HTTPS了!
octopus_new
2013-11-05 21:50:23 +08:00
@tension 你这服务真心给力啊, 土豪, 说干就干啊, 哈哈 :)
octopus_new
2013-11-05 21:54:22 +08:00
@coagent 是的, 感觉国内网站的体验不那么好, 这么多年好像改变也很缓慢. 可能公司大了一点点变动都变得很困难吧.
tension
2013-11-05 21:54:32 +08:00
@octopus_new 说道这个...

我可以炫耀下 我自己注册了 elinkhost.coelinkvps.co 吗?

为了客户加入少输入一个m 也能自动访问我们网站
046569
2013-11-05 22:01:31 +08:00
抠字眼的话LZ这个是伪命题,当然意思大家都明白.
不要管别人用不用,自己搞的一定要用,还能顺道解决某些无良运营商污染HTTP的问题.
liuhang0077
2013-11-05 22:10:33 +08:00
octopus_new
2013-11-05 22:12:45 +08:00
@046569 是啊, 我觉得 https 这个事情看上去无关紧要, 但是对于用户来讲, 至少让人感觉放心. 我之前做过两个同一领域不同公司(都是老外的公司)的online sales网站(A公司没有使用 ssl, B 公司用 ssl), A 公司 Google 排名靠前但是 online sales 每年会比 B 公司少大概300 - 500个 orders. 所以我觉得其实用户应该是在乎自己的信息的.
icyalala
2013-11-06 00:13:41 +08:00
正面的说一下。

SSL的作用是在浏览器和服务器之间建立一条加密的通道,防的是能接触到你和服务器之间通信的第三者,捕获到私密信息。这样说来,内容、新闻类的网站,本身没有什么私密信息,那走https毫无作用。https是作用于那些包含了私密信息通信业务的网站,比如SNS、电商、邮件、包含登陆功能的站点等。

国外的用户(注意这里是用户)非常重视个人隐私,莫不如说西方社会对隐私和安全等非常重视。我在google搜索东西,不想让别人知道,防的是谁呢?我和google肯定是相互信任的,防的就是运营商、乃至政府(政府即使想嗅探,也要偷偷滴干,不然也会惹大麻烦)。 至于说购物、登陆密码等东西,更是需要注意安全了。 这些场景下,https很有必要,用户需要,网站为了服务用户自然也是需要的。

换到国内,“隐私”这种东西变得很微妙。用户和网站之间的通信内容,需要接受政府的审查和监管。用户和网站必须舍弃一些东西才能继续生存(CNNIC证书可信吗?如果不可信https有用吗?)。 不论哪一方面,大众对于"隐私"和"安全"的认知还不够。知道https作用的用户份额非常少,以至于即使163邮箱开通了整站https,也不会产生什么影响(geek们该不用的照样不用,普通用户不会注意这种改变)。 https这种东西在国内的作用,也只限于了保证登陆的密码安全,防黑客攻击。

最后,全站https提升了开发和部署难度、提升了运维成本,最终却难以给用户带来太多好处,绝大部分用户也不会领情。。嗯,真的没必要。
Moker
2013-11-06 00:38:35 +08:00
@tension 我记得这个还是源自我的灵感。。。
octopus_new
2013-11-06 00:39:41 +08:00
@icyalala 其实感觉这是个态度问题, alipay不就整站的 ssl 么. 就跟说:"反正给你自由你就一定比现在过得好么, 不一定的话..., 嗯, 真的没必要"一样. 是个姿态问题.
breeswish
2013-11-06 08:27:36 +08:00
安全意识薄弱,配套网站不支持,……

DNSPod创始人不是在另一个帖子里说过么,DNSPod是很有安全意识的,从最初就是以很高安全标准来做的。所以DNSPod用https在意料之内。

另外,我记得百度不会收录https
以及,新浪微博组件 不支持https方式访问,等等

现在域名证书一点也不贵 wildcard都只要$8/yr
breeswish
2013-11-06 08:30:24 +08:00
补充

国内几乎找不到一个支持https的CDN,无论免费付费的(貌似前几个月才刚刚出现一个号称支持https的,但是好像很少有人用)
也找不到一个支持https的图床/云存储(难得七牛云下有个qbox是有https的,上个月证书过期了也没人管)

[所以配套服务不支持https也是制约https在国内发展的因素之一]
est
2013-11-06 08:34:44 +08:00
小站懒得搞,大站搞了国安要来找~~~~~~~~
Eson
2013-11-06 15:26:02 +08:00
之前看163还是哪个门户,登录名和密码居然是明文传输的!
v2ex登录后还停留在登录页面,搞得我以为密码错了,试了好多遍。。
huafang
2013-11-06 19:34:55 +08:00
@sweethotdog 正解
bitweaver
2014-11-02 13:58:03 +08:00
@est 说得好!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/88149

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX