V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
datou
V2EX  ›  分享发现

都 2020 年了,CCB 的官网首页居然没有默认强制 https.....

  •  
  •   datou · 2020-01-13 10:53:35 +08:00 · 9360 次点击
    这是一个创建于 1775 天前的主题,其中的信息可能已经有所发展或是发生改变。
    作为国内第二大银行,很不专业呀
    115 条回复    2020-01-15 11:19:00 +08:00
    1  2  
    no1xsyzy
        101
    no1xsyzy  
       2020-01-14 14:38:55 +08:00
    @swiftg 不要黑 CNNIC 和 WoSign,Symantec 也错误签发过不少(一说 127,一说 3 万),前几年被各大浏览器群封了,这个是实锤,不是 CNNIC 和 WoSign 的 zz 背景问题。
    no1xsyzy
        102
    no1xsyzy  
       2020-01-14 14:41:23 +08:00
    @manami 所以说你分不清 risk 是什么意思吗?拿成绩谈水平是不是还要我掏出 pg/lesson 及该文在 yc 的评论跟你讲讲?
    no1xsyzy
        103
    no1xsyzy  
       2020-01-14 14:46:03 +08:00
    @manami risk 是 “风险”,即没有实际证据表明其存在或不存在。
    指不定现在已经有人做出量子计算机能够一秒破解 HTTPS,那 HTTPS 确实是不安全的。就宽泛而言的安全来说,拒绝连公共 Wi-Fi 减少攻击面也无可厚非,但拿一般情况(浏览器)套特例(支付宝)和拿特例套一般情况不都是错的?相比之下,前者更可能自认为聪明,所以也更脆弱。
    manami
        104
    manami  
       2020-01-14 14:48:16 +08:00 via Android   ❤️ 1
    @no1xsyzy 你再回头看看自己的逻辑和我的观点,我列举的东西都是在质疑“随便连 wifi 也能保证安全”这个论调,然后连 wifi 有“risk”你跟我说还符合“随便连 wifi 也能保证安全”?什么叫做“保证”?我怎么发现你开始自我逻辑混乱然后在替我说话(笑
    monkeyWie
        105
    monkeyWie  
       2020-01-14 15:20:28 +08:00
    @zeocax #12 家里可能开了 CA 机构吧
    no1xsyzy
        106
    no1xsyzy  
       2020-01-14 15:44:01 +08:00
    @manami
    1、 @mxT52CRuqR6o5 #19 提出:支付宝号称随便连 wifi 也能保证安全
    2、 @manami #21 提出: “随便连 wifi 也能保证安全” 不可行,并请求来源
    3、 @no1xsyzy #26 提出:数据交互即一切,保证安全是可行的
    4、 @manami #27 提出:《任何国内外的一个黑客论坛》认为 “随便连 wifi 也能保证安全” 错误(注意此处已抛弃主体该句主体),并且视同 “笑话”(嘲讽)
    5、 @no1xsyzy #47 回应:“Wi-Fi” 和 “代理” 没有差异,都是将自己的网络出口交给第三方
    6、 @manami #48 突然论坛降级成 Quora (神奇吧),不过至少给出了链接和截图,其中指出「
    “there is always a risk” —— “所困”,翻译错误;提出方法《 POODLE 》
    “Maybe not Snowden safe as Tony mentions but good enough for most.” —— “也许斯诺登并不安全”,翻译错误,应为 “也许没有 ‘斯诺登级’ 安全”
    “Short answer: Yes.”
    “In general, yes. ”
    “(In contrast to the paid version of VPN,) The free versions may be slower, with more users and have more advertising.” —— 这不就证明了免费 VPN 更不安全吗?
    “Most of the modern proxy servers now comes with dedicated SSL inspection engine. This can de-crypt and re-encrypt the page with its own SSL certificate. So, its always advisable to check the padlock sign details on the browser address bar for any discrepancies.” —— 假证书前面说过不可行了。
    “Yes, you should use HTTPS everywhere ” —— 这是 sslstrip 的防御方案。
    “MITM is one the example of this” —— 笼统地使用 “中间人” 一词,可以想见能力。
    下一个卖 VPN 的就算了
    还有一个卖 VPN 的
    一个充满广告的视频
    」总结全部 11 个回答,基本是 yes,接着来点 risk,然后是大量的学术不精学词就用型,最后几个广告机。我难以想象这怎么叫视同 “笑话”,反而这些回答更像是笑话。
    7、 @no1xsyzy #98 嘲笑 @manami 的英语水平,指出 risk 的词义理解错误,并对《 POODLE 》攻击进行反驳,回归主体《支付宝》,指出支付宝可以很容易地使用 SSL pinning 来杜绝 POODLE 攻击。并指出翻译软件只会简单的和错的。
    8、 @manami #100 提出:其自己六级分数 583 (我不知道这是高是低)以此来想要证明自己英语不差。
    9、 @no1xsyzy #102 提出 pg/lesson 进行反驳;
    10、 @no1xsyzy #103 提出 risk 的正确含义,并再引一种极端例证 “非对称加密本身已被破解”。此外提出 “随便连 wifi 也能保证安全” 的主体应是支付宝,而不是一般安全含义,并以 “黑天鹅” 相关原理为证(脆弱性)。

    看不懂对方的隐喻就说对方逻辑混乱,你,学到了吗?
    no1xsyzy
        107
    no1xsyzy  
       2020-01-14 15:57:37 +08:00
    @manami 我 #102 #103 说得太绕了,大概是不适合脑筋转不过弯的人。分论点表述:
    1、分数不代表能力:
    http://www.paulgraham.com/lesson.html
    https://news.ycombinator.com/item?id=21729619
    “For example, it's long been known in the physics education research community that students come away from introductory courses with very little physical understanding, even if they can do the plug and chug problems on typical tests just fine. Students can all recite Newton's third law, but immediately afterward claim that when a truck hits a car, the truck exerts a bigger force.”
    “Goodhart's Law (Popular formulation): When a measure becomes a target, it ceases to be a good measure.”
    2、risk 表示的是潜在风险,但风险这个词在中文太强了,risk 更中性,并且是在一定程度上 “必定存在” 且 “必要接受” 的,“投资有风险” 的意思不是 “应当没有人参与任何投资”;
    3、就 risk 来说,你连接一个未知 Wi-Fi 可能增加攻击面,但同样,甚至你只是把 Wi-Fi 开关打开而不连上任何网络,你依然也有增加攻击面,你在不进行任何数据交互时保持连接到自家 Wi-Fi 同样是攻击面,这一风险等于废话;
    // 另外回应下 #104
    4、什么叫 实体 A 对 行为α 作出保证?即是指 实体 A 对 行为α 的风险有认知,且认为承担此风险和相应的收益比较下来可以为此收益承担该风险,并承诺承担此风险。它并不要求 “绝对安全”,而只要求 “足够安全”。
    manami
        108
    manami  
       2020-01-14 16:04:35 +08:00 via Android
    @no1xsyzy 其它不必多说,中文的“保证”就是等同于万无一失
    helloworld000
        109
    helloworld000  
       2020-01-14 17:53:59 +08:00
    @cuixiao603 www.分割 gov.cn 也是 http


    这个可真是让人无语啊
    no1xsyzy
        110
    no1xsyzy  
       2020-01-14 18:16:53 +08:00
    @manami
    一来保证的含义还包括 “作为担保的事物” http://www.hydcd.com/cidian/1098.htm
    二来法律含义上 http://www.npc.gov.cn/npc/c2418/flsyywd_flwd_list.shtml http://www.npc.gov.cn/npc/c2418/200204/e4dc95222d71403a87c2f661085dd408.shtml
    三来现在的 SSL+CA 机制确实是万中无一失的,甚至可以说是百万无一失的。你连一百万次免费 Wi-Fi 都不会产生一次渗透,因为这除了极低成功率的广撒网(会被 SSL pinning 轻松防住)就是 APT (一般人根本接触不到,我有幸被预警邮件发到过;并且支付宝通常不是 APT 的目标)了
    arraysnow
        111
    arraysnow  
       2020-01-14 18:57:15 +08:00
    @fancy111 不好意思啊,你还真的是不懂,而且还愚昧无知,自己去搭一个 https://v2ex.com 的 helloworld 空白页,绑定 host,试试去,你试过再来截图 bb。你真是搞笑~
    terrytw
        112
    terrytw  
       2020-01-15 09:23:28 +08:00
    @fancy111 你才真是逗啊
    吹牛逼被打脸了还硬撑,“早就有人做了”,代码我看看?给个链接?
    如何在无法对客户端进行任何操作的情况下,伪造一下受信任的 https 证书我看看?
    terrytw
        113
    terrytw  
       2020-01-15 09:26:09 +08:00
    @fancy111 你自己不愿意做,但是号称“早就有人做了”,给个链接证明一下你自己,花不了几分钟吧?

    “我明天就能登上太阳,但是我懒得做给你看,另外早就有人做过了”
    wooyuntest
        114
    wooyuntest  
       2020-01-15 11:18:44 +08:00
    CVE-2020-0601 能在 Windows 上实现监听 https 无视了 (手动狗头)
    wooyuntest
        115
    wooyuntest  
       2020-01-15 11:19:00 +08:00
    @wooyuntest CVE-2020-0601 能在 Windows 上实现监听 https 无视证书了 (手动狗头)
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   979 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:02 · PVG 04:02 · LAX 12:02 · JFK 15:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.