首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
tony1016
V2EX  ›  问与答

所有网站人们都是习惯用 http 方式进入,那岂不是都存在被钓鱼的风险?尤其是银行网站

  •  
  •   tony1016 · 2015-11-24 17:52:05 +08:00 · 1235 次点击
    这是一个创建于 1519 天前的主题,其中的信息可能已经有所发展或是发生改变。
    用户一般都是地址栏输入网址,浏览器先访问到 http 站点,然后重定向到 https 。那岂不是都可以在重定向之前做钓鱼??
    7 回复  |  直到 2016-10-15 22:27:15 +08:00
    ixiaozhi
        1
    ixiaozhi   2015-11-24 17:58:25 +08:00
    要钓什么呢,被定向到 https://jiade.com 大家也就发现了
    processzzp
        2
    processzzp   2015-11-24 19:25:25 +08:00
    楼主你不知道有个东西叫 HSTS 吗

    你说的这个问题有解决方案,浏览器自己自带了一份 HSTS 列表,如果是列表里的网站,就会拒绝用 HTTP 协议加载

    其他的不在列表里的站就把 HTTP 页面做个 302 ,然后发 HSTS 头给浏览器,这样以后浏览器也会强制 HTTPS 访问。不过第一次也还是有被截胡的可能

    总之有办法,不过不完美
    tony1016
        3
    tony1016   2015-11-25 10:08:08 +08:00
    @ixiaozhi 比如交通银行主页 www.bankcomm.com ,是明文的,那么我可以把里面某些菜单的 url 替换了,比如网银登录,然后弹出的页面是个像极了网银的页面,然后就可以获得用户名密码了
    tony1016
        4
    tony1016   2015-11-25 10:09:37 +08:00
    @processzzp HSTS 只在首次访问有效网站后才生效,假如第一次就被钓鱼了呢?假如用户使用的浏览器不支持 HSTS 呢?
    processzzp
        5
    processzzp   2015-11-25 10:19:51 +08:00 via Android
    @tony1016
    1. 不支持 HSTS 的浏览器(如果有的话)已经是老古董了吧。这个牛角尖没必要钻,不然万一有个浏览器不支持 TLS 呢(笑
    2. 确实存在你说的问题,然而这套系统也不是我设计的,要完美的解决这个问题,臣妾做不到啊😆😆😆我只不过是解释一下这是怎么工作的

    而且,我上面也说过了,楼主的问题。是有解决方案的,但是这个方案不完美,有被截胡的可能
    就酱
    tony1016
        6
    tony1016   2015-11-25 10:33:22 +08:00
    @processzzp well ,看起来浏览器支持真心不全
    Browser
    Support Introduced
    Internet Explorer
    Internet Explorer 11 on Windows 8.1 and Windows 7[2]
    Firefox
    4
    Opera
    12
    Safari
    Mavericks (Mac OS X 10.9)
    Chrome
    4.0.211.0

    我是银行做安全的,连 IE 6 都是不抛弃不放弃
    woyaojizhu8
        7
    woyaojizhu8   2016-10-15 22:27:15 +08:00
    所以我装了 https everywhere
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2352 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 30ms · UTC 10:47 · PVG 18:47 · LAX 02:47 · JFK 05:47
    ♥ Do have faith in what you're doing.