@
abelyao @
killva4624 @
8355 @
paradoxs 稍微了解一些 web 安全的人都知道,在现代浏览器的安全模型下,用户就是可以随便打开不信任的链接的,这并不是用户的问题。如果打开不信任的链接就可以对其他网站产生不好的副作用,那么要么是浏览器的 0day ,要么是其他网站的 0day 。
「不要点击陌生链接、不要打开陌生短信 /邮件」是一种一刀切的说法,基于的假设是很多用户完全没有鉴别 URL 中域名的能力,或者这些用户会被钓鱼从而自己主动输入其他网站的密码 /密钥、直接运行下载的可执行文件等等。
对于了解一些计算机安全知识的人来说,点开不信任的链接 /扫描不信任的二维码本身并不是一件应该批评的事情。
即使二维码指向的域名是可信的,打开之后也完全可能直接自动跳转到不可信的域名。web 的安全性从设计上就不是由用户自己确保别打开不信任的网站来保证的。
另外,各种安全措施如加密、签名校验也不是越多就越好、越少就越不安全。这完全取决于应用的安全模型,有经验的开发者会正确使用密码学来保证协议的安全性。