我以为这种金融机构网站都是强制使用 HTTPS 的，没想到平安银行 web 端竟然没有强制使用

有 ssl ，只是普通页面没有强制跳转 ssl 而已，网银页面就强制 ssl 了

我试了一下，登录页面那里就强制使用 https 了

登陆页面开始强制。我以前某一分钟和你有一样的疑惑

大部分银行都没做

中国银行需要 https 吗？不都是要安装插件。

现在四大行只剩建行那么逆天在主站禁用 HTTPS 了，用了也给你跳转回去的那种。
然后建行的手机银行也是最反人类的风控。

@jim9606 招行和交行 it 不见得比四大差

这不就体现出了“弱势”群体的弱了么

居然不是全站 HTTPS ？银行这种单位居然不用 HSTS ？

正常网站都应该强制 HTTPS 了，这种还用着 HTTP 的银行完全没有安全意识可言

人家直接把你首页中间人了，把登录按钮劫持去钓鱼网站，你在真正的登录页面搞 HTTPS 有啥用

@Biggoldfish #10

确实。。

似乎嗅到一股商机。

试想，我在星巴克开着 WiFi 热点（名称和星巴克的一模一样），我的信号强度高，别人会自动连上我的热点，这很容易办法。

然后，我的电脑里什么行都有，DNS 我也就给你指向我开的银行，尽管来登录吧。

@x77 太刑了

@x77 教唆罪，是指以劝说、利诱、授意、怂恿、收买、威胁等方法，将自己的犯罪意图灌输给本来没有犯罪意图的人，致使其按教唆人的犯罪意图实施犯罪，教唆人，即构成教唆犯罪。

@x77 《商机》

等个大佬实操

这年头还用电脑浏览器处理银行业务的个人用户已经基本没有了，而且银行系统基本上都是不出问题就不会轻易去动的，要不是智能手机普及带来的移动端浪潮，各家银行好歹都新做了手机 APP ，不然用老古董的网银，弄不好还得在电脑装上各家银行的网银助手，只能用 IE 浏览器来转账呢

@findme #14 这不更像 “传授犯罪方法罪”

登录页面就有 https 了，但之前建行还在用 RSA 这种没有前向保密的密钥交换方式我也是服了，刚刚去看了一下终于用上了 ECDHE 这个安全密钥交换方式了，但就是不用 X25519 椭圆曲线还在用 P256 ，不知道这条曲线疑似有 NSA 后门？

@x77 这都老生常谈了。