所有网站人们都是习惯用 http 方式进入,那岂不是都存在被钓鱼的风险?尤其是银行网站
tony1016 · 2015-11-24 17:52:05 +08:00 · 1793 次点击这是一个创建于 3287 天前的主题,其中的信息可能已经有所发展或是发生改变。
用户一般都是地址栏输入网址,浏览器先访问到 http 站点,然后重定向到 https 。那岂不是都可以在重定向之前做钓鱼??
 |
1
ixiaozhi 2015-11-24 17:58:25 +08:00
要钓什么呢,被定向到 https://jiade.com 大家也就发现了
|
 |
2
processzzp 2015-11-24 19:25:25 +08:00
楼主你不知道有个东西叫 HSTS 吗
你说的这个问题有解决方案,浏览器自己自带了一份 HSTS 列表,如果是列表里的网站,就会拒绝用 HTTP 协议加载 其他的不在列表里的站就把 HTTP 页面做个 302 ,然后发 HSTS 头给浏览器,这样以后浏览器也会强制 HTTPS 访问。不过第一次也还是有被截胡的可能 总之有办法,不过不完美 |
 |
3
tony1016 OP @ixiaozhi 比如交通银行主页 www.bankcomm.com ,是明文的,那么我可以把里面某些菜单的 url 替换了,比如网银登录,然后弹出的页面是个像极了网银的页面,然后就可以获得用户名密码了
|
|
4
tony1016 OP @processzzp HSTS 只在首次访问有效网站后才生效,假如第一次就被钓鱼了呢?假如用户使用的浏览器不支持 HSTS 呢?
|
|
5
processzzp 2015-11-25 10:19:51 +08:00 via Android
@tony1016
1. 不支持 HSTS 的浏览器(如果有的话)已经是老古董了吧。这个牛角尖没必要钻,不然万一有个浏览器不支持 TLS 呢(笑 2. 确实存在你说的问题,然而这套系统也不是我设计的,要完美的解决这个问题,臣妾做不到啊😆😆😆我只不过是解释一下这是怎么工作的 而且,我上面也说过了,楼主的问题。是有解决方案的,但是这个方案不完美,有被截胡的可能 就酱 |
|
6
tony1016 OP @processzzp well ,看起来浏览器支持真心不全
Browser Support Introduced Internet Explorer Internet Explorer 11 on Windows 8.1 and Windows 7[2] Firefox 4 Opera 12 Safari Mavericks (Mac OS X 10.9) Chrome 4.0.211.0 我是银行做安全的,连 IE 6 都是不抛弃不放弃 |
 |
7
woyaojizhu8 2016-10-15 22:27:15 +08:00
所以我装了 https everywhere
|
Select Language