京东通信实名认证页面未加密

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 2887 天前的主题，其中的信息可能已经有所发展或是发生改变。

http://imgur.com/0cq4x8l

实际上登录页面也没有加密，是 http 。反应给京东，京东说是安全的？

京东

加密

页面

实名

13 条回复 • 2017-01-10 16:40:11 +08:00

honeycomb

2016-12-23 16:00:54 +08:00 via Android

那就不应该使用，直到它上了 HTTPS 为止。

athanos

2016-12-23 16:16:48 +08:00 via Android

@honeycomb 我反映给了京东，但是他们后来打电话说后台核实了，是安全的。

athanos

2016-12-23 16:20:08 +08:00 via Android

http://imgur.com/CUMV6EN

实际上京东通信登录的页面就没有加密。

imn1

2016-12-23 16:22:17 +08:00

@athanos
他们说的“安全”和你想的不是同一个概念，他们只是说你的帐号“还”没被入侵而已
传送过程中间被截留“跟他们无关”，理由是数据还没到他们那里，是你自己的事

alex321

2016-12-23 16:27:05 +08:00

京东金融、钱包下面都有没上 https 的，二手奶茶黑东自个儿觉得自己很安全啊，前两天才爆 2013 年的老漏洞，估计最近的新漏洞还有不少，或者黑产早已入京东如反掌。。。。

honeycomb

2016-12-23 16:38:58 +08:00 via Android

@athanos

所以说不应该使用，直到它上了 HTTPS 为止。

换句话说如果它就是不用 HTTPS ，则不应用这个接口提交身份信息。

linbiaye

2016-12-23 17:23:31 +08:00

这图只有界面，具体有没有 https 得看怎么通信的

athanos

2016-12-23 19:53:28 +08:00 via Android

@linbiaye https 页面 chrome 会显示证书信息。

t6attack

2016-12-23 20:03:41 +08:00

不加密也不等于明文传密码。虽然也会被中间人作梗，但不算漏洞级的“安全缺陷”了。

AbrahamGreyson

2016-12-23 22:08:09 +08:00

手动加 https 试试。
我记得狗东有一次被劫持，我手动加上了，发现好使。

Aspx

2016-12-24 11:13:32 +08:00

狗东不实名认证一样可以购物啊，这也是我中意用狗东的理由之一

linbiaye

2016-12-25 15:27:55 +08:00

@athanos 我想说的是，页面是明文， ajax 请求不一定。

wuxiao2522

2017-01-10 16:40:11 +08:00

@Aspx 对哒，同样没实名，不敢开通白条之类的，货到付款。