V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
sutking
V2EX  ›  全球工单系统

网易严选!接单!

  •  
  •   sutking · 2018-10-09 11:07:43 +08:00 · 6297 次点击
    这是一个创建于 2216 天前的主题,其中的信息可能已经有所发展或是发生改变。
    you.163.comyan.163.com ,所有页面都是 80 端口 HTTP 协议,甚至连需要提交用户名和密码登录的页面都是,还有修改支付密码的页面也是……
    你是一个有着资金交易和涉及用户个人隐私信息的大型电商啊!
    你是买不起 CA 还是怎么回事?
    在这个连个人 blog 都争相转用 HTTPS 的时代,你们为什么逆流而行呢?
    小老弟,你怎么了?
    41 条回复    2018-10-10 11:19:16 +08:00
    luanluan
        1
    luanluan  
       2018-10-09 11:09:43 +08:00
    肯定有人家的战略,不然呢。。。。。。。。。
    sobigfish
        2
    sobigfish  
       2018-10-09 11:11:08 +08:00
    CA 是证书颁发机构-。-
    https://en.wikipedia.org/wiki/Certificate_authority

    应该只是没跳转,自己加 https 试试?
    jhdxr
        3
    jhdxr  
       2018-10-09 11:17:06 +08:00   ❤️ 1
    CA 还。。。真未必买得起。。。
    yukiww233
        4
    yukiww233  
       2018-10-09 11:19:14 +08:00
    确实是没加跳转
    bp0
        5
    bp0  
       2018-10-09 11:21:25 +08:00
    CA 确实买不起,还是买个证书实际点。他家的 mail 也才上 https 不久,估计严选还要等等了。
    zacharyjia
        6
    zacharyjia  
       2018-10-09 11:22:28 +08:00
    我这都是自动跳转到 https 的呀?这么快就改了?
    sutking
        7
    sutking  
    OP
       2018-10-09 11:31:53 +08:00
    @sobigfish
    @jhdxr
    @bp0 代词,不是指公司😂,我应该说 CA 证书是吧😅
    sutking
        8
    sutking  
    OP
       2018-10-09 11:32:21 +08:00
    @zacharyjia #6 我这并没有……
    zoffy
        9
    zoffy  
       2018-10-09 11:46:05 +08:00
    把那些技术跟不上时代的 tech lead 们炒掉就好了
    zacharyjia
        10
    zacharyjia  
       2018-10-09 12:06:07 +08:00
    @sutking 不好意思,刚试了一下,好像是我的 https everywhere 开着的原因。。。
    opengps
        11
    opengps  
       2018-10-09 12:19:43 +08:00
    很多网站为了照顾老用户,http 没有 301 指向到 https,刚试了第一个网址是这个情况
    CCNemo
        12
    CCNemo  
       2018-10-09 12:32:13 +08:00 via Android
    能省点,就省电
    tailf
        13
    tailf  
       2018-10-09 12:36:44 +08:00   ❤️ 1
    you 使用邮箱登录,POST 的 URL 是 https://dl.reg.163.com/dl/l 没有任何问题。

    大家可以散了,纯属楼主学艺不精。
    XGHeaven
        14
    XGHeaven  
       2018-10-09 12:37:40 +08:00
    毕竟网易么......传统保守一些。
    torchmu
        15
    torchmu  
       2018-10-09 12:54:10 +08:00
    登录组件、接口调用都是 https 的,问题在哪儿?
    sutking
        16
    sutking  
    OP
       2018-10-09 14:08:06 +08:00
    @tailf #13 这个怎么说?
    liwl
        17
    liwl  
       2018-10-09 14:48:25 +08:00
    https://you.163.com/ 没强制跳转而已
    tailf
        18
    tailf  
       2018-10-09 15:01:05 +08:00
    @sutking 哥,这就是 Chrome 抛出的警告而已,你在问啥,你想说啥。。。。。。
    lichao
        19
    lichao  
       2018-10-09 15:10:40 +08:00
    @sobigfish
    @liwl
    @torchmu

    难道不应该强制跳转吗?主页面是 http,表单 POST 的 URL 是可能被篡改的。。。,这不是问题么?
    lichao
        20
    lichao  
       2018-10-09 15:12:09 +08:00
    @torchmu 接口调用都是 https 有毛用,页面是 http,接口调用的 url 是可能被篡改的
    sobigfish
        21
    sobigfish  
       2018-10-09 15:13:27 +08:00
    @lichao #18 可能是要兼容 IE 老用户(说实话可能根本没几个这样的用户同时还上网购物——)
    lichao
        22
    lichao  
       2018-10-09 15:17:53 +08:00
    @sobigfish

    IE 老用户不能跳转吗?

    没有强制跳转,甚至登录页面也是 HTTP,这个锅就是网易的,甩不掉
    lichao
        23
    lichao  
       2018-10-09 15:22:14 +08:00
    @tailf

    POST 的 URL 是 https 当然有问题,这个 URL 是可能被篡改的
    tailf
        24
    tailf  
       2018-10-09 15:23:01 +08:00   ❤️ 1
    @lichao 那又怎么样,你都中间人了,什么信息拿不到,https 也能剥离出来
    lichao
        25
    lichao  
       2018-10-09 15:25:35 +08:00
    @tailf 问题在于 http 这样被中间人了,用户确实无感知的。 https 是没办法中间人的,Airbnb 就这个安全水准?
    tailf
        26
    tailf  
       2018-10-09 15:29:59 +08:00
    @lichao 攻击我就职的公司并不能让你更有理。这个行为反而显得你很那啥。
    sobigfish
        27
    sobigfish  
       2018-10-09 15:31:33 +08:00
    @lichao 自然是他们的锅,我也只是猜而已,做这个决定的肯定不是运维那个级别的...
    lichao
        28
    lichao  
       2018-10-09 15:34:17 +08:00
    @tailf

    Your login form posts to HTTPS, but you blew it when you loaded it over HTTP

    https://www.troyhunt.com/your-login-form-posts-to-https-but-you/

    没有攻击你或你的公司,仅仅是好奇!
    artandlol
        29
    artandlol  
       2018-10-09 15:34:19 +08:00
    关我什么事 又不用
    crab
        30
    crab  
       2018-10-09 15:34:53 +08:00
    @lichao https 不能中间人?
    lichao
        31
    lichao  
       2018-10-09 15:39:23 +08:00
    @crab 可以么?你教我一下?
    crab
        32
    crab  
       2018-10-09 15:40:25 +08:00
    @lichao 12306.cn 这种算吗?
    lichao
        33
    lichao  
       2018-10-09 15:42:01 +08:00
    @crab 你说呢
    Exin
        34
    Exin  
       2018-10-09 16:21:50 +08:00 via iPhone
    好好的技术帖,又涌起一股戾气,大家的生活都很苦闷嘛
    Actrace
        35
    Actrace  
       2018-10-09 16:26:40 +08:00
    自从上次在严选买的酒快递了两周还没送到之后,我就再也没有用它买任何东西了。
    山寨贴牌就算了,商品损坏送不到还要自己查物流找客服申请退款,完全没有体验可言。
    vncntd
        36
    vncntd  
       2018-10-09 16:43:49 +08:00
    可以做个 WIFI 热点,劫持 yan.163.com 修改 post url 改成自己的 proxy url,返回结果和原 url 一样,用户是无感知的。然后把 SSID 改成 CMCC-FREE,呵呵以上场景纯属瞎猜:)
    hash
        37
    hash  
       2018-10-09 17:03:23 +08:00
    晃眼这个标题还以为楼主要给网易严选团队发外包...
    yujiain2008
        38
    yujiain2008  
       2018-10-09 17:58:44 +08:00
    人家没有强制 https
    rolexman
        39
    rolexman  
       2018-10-10 05:27:59 +08:00
    @Exin 总有那么一些需要赶紧去 4 的人..真希望有个灭霸出现,随机干死 6e 中国人
    yzkcy
        40
    yzkcy  
       2018-10-10 10:40:20 +08:00
    @rolexman 那你的家人。。。
    datou
        41
    datou  
       2018-10-10 11:19:16 +08:00
    猪场邮箱的裤子网上到处都是

    可能就此放飞自我了吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1107 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:31 · PVG 03:31 · LAX 12:31 · JFK 15:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.