小弟最近看到某财金资讯公司
出了一个台湾pay
但看他们首页居然没用HTTPS
而且他们还好意思在行政院资安周摆摊???
做这么多金融相关的案子
居然不知道什么是HTTPS
是很有自信不会被打
还是早就被打习惯 所以干脆不管了呢?
作者:
femlro (母猪教谋神异端审问官1.5)
2017-12-18 13:21:00Cost down凭证不用钱喔XD
作者:
MIM23 (HAWK)
2017-12-18 13:40:00要不是靠财政部施压各银行配合参与有谁想玩这个 Taiwan Pay
作者:
lichai (雷迪咖)
2017-12-18 13:46:00要回到用https的目的吧…首页有什么特别要加密的吗?
没,但趋势是全面HTTPS,甚至把HTTP标上不安全
作者: edward13 (-_-) 2017-12-18 13:51:00
肥猫与他们的产地现在google爬虫对没https的网页都会鄙视 先降rank
作者:
elements (Helianthus annuns)
2017-12-18 13:54:00要不是你讲还真的没听过,我看也没人用
防mitm啊 怎会没https需求? 任何官方网站都应该做
这你就错了 有关系就不用HTTPS 懂吗?你全站HTTPS 人家都HTTP 但他有关系 还是会选他
作者:
senjor (哞哞)
2017-12-18 15:46:00话说钓鱼网站就不能申请https了吗?
作者:
bobju (枯藤老树昏鸦)
2017-12-18 16:16:00可能是借此表达对政府的不满吧? XD
作者:
mathrew (Joey)
2017-12-18 16:40:00凭证要钱啊....
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 17:32:00我觉得台湾厂家对Https的敏感度没有中国强台湾的ISP比较正派经营不搞劫持在这边没上https分分钟劫持你放广告
作者:
Chikei ( )
2017-12-18 17:40:00免费的LE没有做EV,钓鱼网站一样能模仿,LE是让人免于MITM
作者:
senjor (哞哞)
2017-12-18 17:45:00不过使用者怎么知道这个网站本来有没有做EV?
作者:
robler (章鱼丸)
2017-12-18 18:14:00我们公司在中国的域名被劫持到受不了只能改全站https
作者:
Chikei ( )
2017-12-18 18:25:00主流浏览器遇到有EV的凭证除了绿锁以外会显示EV的entity
作者:
senjor (哞哞)
2017-12-18 18:32:00我的问题比较像是,使用者连上了一个没有EV的网站,那他怎么知道这个网站本来是该有还是没有?
作者: pttuser (pttuser) 2017-12-18 18:35:00
首页在没login之前是要啥凭证
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 18:37:00连上的网站如果是非认证的证书,浏览器会警告你如果证书是认证的,不过只是DV之类的不带公司信息的,你无法100%保证该证书由该公司注册DV以上的证书,一般CA机构都会卡住有风险的申请,像是申请apple-support.com这类的大概都会被打回票当然也有无节操的CA,像WoSign,就会被各个浏览器巨头联手除名
什么没login不用凭证? 凭证本身就可以防止MITM不然没登入的使用者看到的资讯都是钓鱼资讯????这里是软件工作版吧? 我还以为我走错版推回
作者: pttuser (pttuser) 2017-12-18 18:59:00
转到login页面再https就好,首页用静态mvc才会省流量
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 19:01:00https的确有加解密会造成速度慢于http,不过跟中间人攻击带来的风险比起来根本小事
作者: pttuser (pttuser) 2017-12-18 19:02:00
什么都https 那有那么搞工
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 19:03:00中美的ISP劫持网站安插广告是家常便饭,谷歌更放话要调降http网页的权重,不懂为什么不上https嫌麻烦就去弄个有证书的CDN,cloudflare跟种花电信都有提供
作者: pttuser (pttuser) 2017-12-18 19:06:00
因为我们前端静态mvc部份就有scenario可能detect mitm,流量与安全并重
作者:
gpctv (gpctv)
2017-12-18 19:09:00是那个银行都会经过的那个财金公司吗
作者: pttuser (pttuser) 2017-12-18 19:12:00
又不是作的portal都没人用,只看security就好,流量也很重要地真要只看security,我们的做法就直接建tunnel来搞,security level搞不清楚,什么都https,以为https是无敌星星腻?
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 19:19:00请继续你的表演
作者:
spjay1 (Josh)
2017-12-18 19:32:00就 host 在外包公司
作者:
chocopie (好吃的巧克力派 :))
2017-12-18 19:35:00自己家省事的做法不代表国际趋势,懂?
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 19:42:00钩直饵咸,从前端代码是无法对抗中间人的。一个30x就去了
作者: pttuser (pttuser) 2017-12-18 19:55:00
一看讲前端代码就知道是十年经验两三年功力,哈哈
嘻,都网站被挟持了还期望骇客把流量给你侦测MITM?你新发明的侦测方法?专利号码贴出来让大家瞧瞧?建tunnel哩,你是要训练客户?任何要训练客户才能让用户懂得设计都不是好设计不然你以为大公司不会用tunnel? 只有你懂?呵呵,你是十年经验五十年功力,可惜是旧时代的功力挂个https不用训练客户也不用那么搞刚,搞那么麻烦原话还你 嘻嘻,用你自己的话骂自己吧
Chrome好像未来会针对非https祭出不可视技能
作者: pttuser (pttuser) 2017-12-19 07:18:00
哈哈,只是首页有没有https却不知道别人的整体架构怎么写只会嘴设计,笑死我了还是又要把架构画给你看,让你评(偷)论(学)不是高手吗?简单兼顾效能和安全的架构想不出来只会什么都套https,笑到肚子痛了我,哈哈哈哈晚点要拿这篇笑话给同事看,大家一起笑一笑唉,可能连怎么加速NAPI都不知道,阿抱歉,是连NAPI都不知道哈哈哈哈
作者:
maxqq (max)
2017-12-19 07:31:00凭证 ... 也是有分等级的 尽管免费原来该网站是 pttuser 建立的啊 ...不过我有个问题,如果我监听你登入那端时的资讯?原来是要登入时,转跳到别的位置
作者:
angusyu (〒△〒)
2017-12-19 09:54:00崩溃得太严重了吧
作者:
loxyz (loxyz)
2017-12-19 11:39:00也没多安全 有兴趣的可以查 sslstrip
你被dns污染 网站被侠持 还需要问怎么写? 根本就没有traffic到你的网站了。还是你根本不知道什么叫dns污染? 哈哈哈哈 跟你说啦,这篇昨天我们同事就在笑了。不用traffic就能侦测MITM?你还不得诺贝尔奖啊?
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-19 12:08:00浏览器已经有HSTS方案,只要与配置了HSTS表头的站点建立过正常的https,后面再被降级攻击也没用会刷一排307顺便,如果是DNS污染来挟持网站,与https是不同层面问题,https只保证了传送的内容未遭修改,DNS污染可以直接解析到恶意站甚至不解析,国内GFW早期基本也都是基于DNS污染,这几年才升级到流量清洗
https的网站被dns解析到恶意站,证书就会失败。 除非你的浏览器是恶意浏览器内部有存恶意证书。所以防范这类攻击的最简单也最有效的方法就是首页https。pttuser搞一堆搞工的东西,上述攻击全都不能防范,还要对user做教育训练?
作者: doublescn (Grey) 2017-12-19 13:27:00
挂https若用let's encrypt大概2小时就弄完了吧
作者:
robler (章鱼丸)
2017-12-19 18:36:00某人根本就不懂一直秀下限
作者:
mathrew (Joey)
2017-12-19 21:40:00做资安这么久了 倒是第一次听到首页要login才需要凭证
作者:
Shauter ( )
2017-12-19 22:17:00现在都在HTTPS Everywhere惹 还有人十年前的逻辑 XD
pttuser真的很菜,什么都不会也可以发言哈哈哈
作者:
Knudsen (true me)
2017-12-20 21:43:00app写的像几年前的东西
刚刚上去看已经是https啊!版主也是满厉害连这个也会发现!
刚刚看台湾PAY不是已经有https 话说是早就有了还是??凭证申请有这么快吗
作者:
bndan (seed)
2017-12-21 16:14:00没https 很容易被人洗脸 = = 所以大概是该公司人看到马上弄