快捷导航
3 7047

全站SSL才是最安全的

Winnie 于 2014-10-29 16:46 发表 [复制链接]
事实上,在 PC 端上网很少有直接进入 HTTPS 网站的。例如支付宝网站,大多是从淘宝跳转过来,而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS,屏蔽对 HTTPS 的页面访问,用 HTTP 取而代之,那么用户也就永远无法进入安全站点了。
尽管地址栏里没有出现 HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。
因此,只要入口页是不安全的,那么之后的页面再安全也无济于事。
当然也有一些用户通过输网址访问的,他们输入了 www.alipaly.com 就敲回车进入了。然而,浏览器并不知道这是一个 HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在,其唯一功能就是重定向到自己 HTTPS 站点上。
劫持流量的中间人一旦发现有重定向到 HTTPS 站点的,显然不愿意让用户走这条不受自己控制的路。于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在 HTTP 站点上访问,自然就可以无限劫持了。
https://buy.wosign.com/
人生短短几十年,想笑就笑,想哭就哭,不要给自己留下什么遗憾。
举报 使用道具
| 回复

共 3 个关于全站SSL才是最安全的的回复 最后回复于 2014-10-30 11:09

Winnie 版主 发表于 2014-10-29 16:48:29 | 显示全部楼层
劫持无处不在,所以服务商一定要全站部署SSL证书,网民自己要格外小心
https://buy.wosign.com/
人生短短几十年,想笑就笑,想哭就哭,不要给自己留下什么遗憾。
举报 使用道具
Jacky6100 中级会员 发表于 2014-10-30 08:55:25 | 显示全部楼层
恩恩恩恩,支持全站加密的是不是只有通配SSl才可以啊
举报 使用道具
Regan 金牌会员 发表于 2014-10-30 11:09:09 | 显示全部楼层
Jacky6100 发表于 2014-10-30 08:55
恩恩恩恩,支持全站加密的是不是只有通配SSl才可以啊

如果站点是在一个域名下的子页的话,用单域名证书;如果是一个域名下的二级子域名,可以用通配;如果还有其它不同的域名,可以用多域名证书或者万能证书。
举报 使用道具
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表