小弟最近看到某財金資訊公司
出了一個台灣pay
但看他們首頁居然沒用HTTPS
而且他們還好意思在行政院資安周擺攤???
做這麼多金融相關的案子
居然不知道什麼是HTTPS
是很有自信不會被打
還是早就被打習慣 所以乾脆不管了呢?
作者:
femlro (母豬教謀神異端審問官1.5)
2017-12-18 13:21:00Cost down憑證不用錢喔XD
作者:
MIM23 (HAWK)
2017-12-18 13:40:00要不是靠財政部施壓各銀行配合參與有誰想玩這個 Taiwan Pay
作者:
lichai (雷迪咖)
2017-12-18 13:46:00要回到用https的目的吧…首頁有什麼特別要加密的嗎?
沒,但趨勢是全面HTTPS,甚至把HTTP標上不安全
作者: edward13 (-_-) 2017-12-18 13:51:00
肥貓與他們的產地現在google爬蟲對沒https的網頁都會鄙視 先降rank
作者:
elements (Helianthus annuns)
2017-12-18 13:54:00要不是你講還真的沒聽過,我看也沒人用
防mitm啊 怎會沒https需求? 任何官方網站都應該做
這你就錯了 有關係就不用HTTPS 懂嗎?你全站HTTPS 人家都HTTP 但他有關係 還是會選他
作者:
senjor (哞哞)
2017-12-18 15:46:00話說釣魚網站就不能申請https了嗎?
作者:
bobju (枯藤老樹昏鴉)
2017-12-18 16:16:00可能是藉此表達對政府的不滿吧? XD
作者:
mathrew (Joey)
2017-12-18 16:40:00憑證要錢啊....
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 17:32:00我覺得臺灣厂家對Https的敏感度沒有中國強臺灣的ISP比較正派經營不搞劫持在這邊沒上https分分鐘劫持你放廣告
作者:
Chikei ( )
2017-12-18 17:40:00免費的LE沒有做EV,釣魚網站一樣能模仿,LE是讓人免於MITM
作者:
senjor (哞哞)
2017-12-18 17:45:00不過使用者怎麼知道這個網站本來有沒有做EV?
作者:
robler (章魚丸)
2017-12-18 18:14:00我們公司在中國的域名被劫持到受不了只能改全站https
作者:
Chikei ( )
2017-12-18 18:25:00主流瀏覽器遇到有EV的憑證除了綠鎖以外會顯示EV的entity
作者:
senjor (哞哞)
2017-12-18 18:32:00我的問題比較像是,使用者連上了一個沒有EV的網站,那他怎麼知道這個網站本來是該有還是沒有?
作者: pttuser (pttuser) 2017-12-18 18:35:00
首頁在沒login之前是要啥憑證
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 18:37:00連上的網站如果是非認證的證書,瀏覽器會警告你如果證書是認證的,不過只是DV之類的不帶公司信息的,你無法100%保證該證書由該公司註冊DV以上的證書,一般CA機構都會卡住有風險的申請,像是申請apple-support.com這類的大概都會被打回票當然也有無節操的CA,像WoSign,就會被各個瀏覽器巨頭聯手除名
什麼沒login不用憑證? 憑證本身就可以防止MITM不然沒登入的使用者看到的資訊都是釣魚資訊????這裡是軟體工作版吧? 我還以為我走錯版推回
作者: pttuser (pttuser) 2017-12-18 18:59:00
轉到login頁面再https就好,首頁用靜態mvc才會省流量
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 19:01:00https的確有加解密會造成速度慢於http,不過跟中間人攻擊帶來的風險比起來根本小事
作者: pttuser (pttuser) 2017-12-18 19:02:00
什麼都https 那有那麼搞工
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 19:03:00中美的ISP劫持網站安插廣告是家常便飯,谷歌更放話要調降http網頁的權重,不懂為什麼不上https嫌麻煩就去弄個有證書的CDN,cloudflare跟種花電信都有提供
作者: pttuser (pttuser) 2017-12-18 19:06:00
因為我們前端靜態mvc部份就有scenario可能detect mitm,流量與安全並重
作者:
gpctv (gpctv)
2017-12-18 19:09:00是那個銀行都會經過的那個財金公司嗎
作者: pttuser (pttuser) 2017-12-18 19:12:00
又不是作的portal都沒人用,只看security就好,流量也很重要地真要只看security,我們的做法就直接建tunnel來搞,security level搞不清楚,什麼都https,以為https是無敵星星膩?
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 19:19:00請繼續你的表演
作者:
spjay1 (Josh)
2017-12-18 19:32:00就 host 在外包公司
作者:
chocopie (好吃的巧克力派 :))
2017-12-18 19:35:00自己家省事的做法不代表國際趨勢,懂?
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-18 19:42:00鉤直餌鹹,從前端代碼是無法對抗中間人的。一個30x就去了
作者: pttuser (pttuser) 2017-12-18 19:55:00
一看講前端代碼就知道是十年經驗兩三年功力,哈哈
嘻,都網站被挾持了還期望駭客把流量給你偵測MITM?你新發明的偵測方法?專利號碼貼出來讓大家瞧瞧?建tunnel哩,你是要訓練客戶?任何要訓練客戶才能讓用戶懂得設計都不是好設計不然你以為大公司不會用tunnel? 只有你懂?呵呵,你是十年經驗五十年功力,可惜是舊時代的功力掛個https不用訓練客戶也不用那麼搞剛,搞那麼麻煩原話還你 嘻嘻,用你自己的話罵自己吧
Chrome好像未來會針對非https祭出不可視技能
作者: pttuser (pttuser) 2017-12-19 07:18:00
哈哈,只是首頁有沒有https卻不知道別人的整體架構怎麼寫只會嘴設計,笑死我了還是又要把架構畫給你看,讓你評(偷)論(學)不是高手嗎?簡單兼顧效能和安全的架構想不出來只會什麼都套https,笑到肚子痛了我,哈哈哈哈晚點要拿這篇笑話給同事看,大家一起笑一笑唉,可能連怎麼加速NAPI都不知道,阿抱歉,是連NAPI都不知道哈哈哈哈
作者:
maxqq (max)
2017-12-19 07:31:00憑證 ... 也是有分等級的 儘管免費原來該網站是 pttuser 建立的啊 ...不過我有個問題,如果我監聽你登入那端時的資訊?原來是要登入時,轉跳到別的位置
作者:
angusyu (〒△〒)
2017-12-19 09:54:00崩潰得太嚴重了吧
作者:
loxyz (loxyz)
2017-12-19 11:39:00也沒多安全 有興趣的可以查 sslstrip
你被dns汙染 網站被俠持 還需要問怎麼寫? 根本就沒有traffic到你的網站了。還是你根本不知道什麼叫dns汙染? 哈哈哈哈 跟你說啦,這篇昨天我們同事就在笑了。不用traffic就能偵測MITM?你還不得諾貝爾獎啊?
作者:
jimmy689 (å‰ç±³è›†è›†)
2017-12-19 12:08:00瀏覽器已經有HSTS方案,只要與配置了HSTS表頭的站點建立過正常的https,後面再被降級攻擊也沒用會刷一排307順便,如果是DNS污染來挾持網站,與https是不同層面問題,https只保證了傳送的內容未遭修改,DNS污染可以直接解析到惡意站甚至不解析,國內GFW早期基本也都是基於DNS污染,這幾年才升級到流量清洗
https的網站被dns解析到惡意站,證書就會失敗。 除非你的瀏覽器是惡意瀏覽器內部有存惡意證書。所以防範這類攻擊的最簡單也最有效的方法就是首頁https。pttuser搞一堆搞工的東西,上述攻擊全都不能防範,還要對user做教育訓練?
作者: doublescn (Grey) 2017-12-19 13:27:00
掛https若用let's encrypt大概2小時就弄完了吧
作者:
robler (章魚丸)
2017-12-19 18:36:00某人根本就不懂一直秀下限
作者:
mathrew (Joey)
2017-12-19 21:40:00做資安這麼久了 倒是第一次聽到首頁要login才需要憑證
作者:
Shauter ( )
2017-12-19 22:17:00現在都在HTTPS Everywhere惹 還有人十年前的邏輯 XD
pttuser真的很菜,什麼都不會也可以發言哈哈哈
作者:
Knudsen (true me)
2017-12-20 21:43:00app寫的像幾年前的東西
剛剛上去看已經是https啊!版主也是滿厲害連這個也會發現!
剛剛看台灣PAY不是已經有https 話說是早就有了還是??憑證申請有這麼快嗎
作者:
bndan (seed)
2017-12-21 16:14:00沒https 很容易被人洗臉 = = 所以大概是該公司人看到馬上弄