顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-12-29 01:22:06
看板 Soft_Job
作者 soheadsome (師大狗鼻哥)
標題 [討論] 台灣pay為什麼首頁不用https?
時間 Mon Dec 18 13:20:00 2017



小弟最近看到某財金資訊公司

出了一個台灣pay

但看他們首頁居然沒用HTTPS

而且他們還好意思在行政院資安周擺攤???

做這麼多金融相關的案子

居然不知道什麼是HTTPS

是很有自信不會被打

還是早就被打習慣 所以乾脆不管了呢?


-----
Sent from JPTT on my Xiaomi Redmi Note 4.

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.181.224
※ 文章代碼(AID): #1QDr04Yd (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1513574404.A.8A7.html
femlro: Cost down1F 12/18 13:21
femlro: 憑證不用錢喔XD
vswillie: 有免錢的…xd3F 12/18 13:24
nova06091: XD  幹4F 12/18 13:33
MIM23: 要不是靠財政部施壓各銀行配合參與5F 12/18 13:40
MIM23: 有誰想玩這個 Taiwan Pay
lichai: 要回到用https的目的吧…首頁有什麼特別要加密的嗎?7F 12/18 13:46
你首頁總是會有重大公告資訊吧

如果沒憑證 有人做釣魚網站

誰知道那個才是正確資訊?
※ 編輯: soheadsome (114.136.181.224), 12/18/2017 13:48:44
abccbaandy: 沒,但趨勢是全面HTTPS,甚至把HTTP標上不安全8F 12/18 13:49
edward13: 肥貓與他們的產地9F 12/18 13:51
edward13: 現在google爬蟲對沒https的網頁都會鄙視 先降rank
elements: 要不是你講還真的沒聽過,我看也沒人用11F 12/18 13:54
LinuxKernel: 台灣有台灣的玩法嘛12F 12/18 14:46
Darkautism: 防mitm啊 怎會沒https需求? 任何官方網站都應該做13F 12/18 14:49
THEWORLDS: 你就知道軟體頁差距有多大了14F 12/18 15:16
crossdunk: 這你就錯了 有關係就不用HTTPS 懂嗎?15F 12/18 15:28
crossdunk: 你全站HTTPS 人家都HTTP 但他有關係 還是會選他
senjor: 話說釣魚網站就不能申請https了嗎?17F 12/18 15:46
可以吧

但至少你能有機會去看憑證是不是該單位的
※ 編輯: soheadsome (114.136.181.224), 12/18/2017 15:50:38
bobju: 可能是藉此表達對政府的不滿吧? XD18F 12/18 16:16
mathrew: 憑證要錢啊....19F 12/18 16:40
f496328mm: 憑證有免費的.....20F 12/18 16:43
crossdunk: SSLFORFREE 簡單又好記21F 12/18 16:57
jimmy689: 我覺得臺灣厂家對Https的敏感度沒有中國強22F 12/18 17:32
jimmy689: 臺灣的ISP比較正派經營不搞劫持
jimmy689: 在這邊沒上https分分鐘劫持你放廣告
Chikei: 免費的LE沒有做EV,釣魚網站一樣能模仿,LE是讓人免於MITM25F 12/18 17:40
senjor: 不過使用者怎麼知道這個網站本來有沒有做EV?26F 12/18 17:45
robler: 我們公司在中國的域名被劫持到受不了只能改全站https27F 12/18 18:14
Chikei: 主流瀏覽器遇到有EV的憑證除了綠鎖以外會顯示EV的entity28F 12/18 18:25
senjor: 我的問題比較像是,使用者連上了一個沒有EV的網站,那他怎29F 12/18 18:32
senjor: 麼知道這個網站本來是該有還是沒有?
pttuser: 首頁在沒login之前是要啥憑證31F 12/18 18:35
jimmy689: 連上的網站如果是非認證的證書,瀏覽器會警告你32F 12/18 18:37
jimmy689: 如果證書是認證的,不過只是DV之類的不帶公司信息的,
jimmy689: 你無法100%保證該證書由該公司註冊
jimmy689: DV以上的證書,一般CA機構都會卡住有風險的申請,像是
jimmy689: 申請apple-support.com這類的大概都會被打回票
jimmy689: 當然也有無節操的CA,像WoSign,就會被各個瀏覽器巨頭
jimmy689: 聯手除名
Darkautism: 什麼沒login不用憑證? 憑證本身就可以防止MITM39F 12/18 18:43
Darkautism: 不然沒登入的使用者看到的資訊都是釣魚資訊????
Darkautism: 這裡是軟體工作版吧? 我還以為我走錯版
Darkautism: 推回
pttuser: 轉到login頁面再https就好,首頁用靜態mvc才會省流量43F 12/18 18:59
jimmy689: https的確有加解密會造成速度慢於http,不過跟中間人攻44F 12/18 19:01
jimmy689: 擊帶來的風險比起來根本小事
我們都在討論釣魚 沒想到你卻被某id釣到
pttuser: 什麼都https 那有那麼搞工46F 12/18 19:02
※ 編輯: soheadsome (114.136.181.224), 12/18/2017 19:04:31
jimmy689: 中美的ISP劫持網站安插廣告是家常便飯,谷歌更放話要調47F 12/18 19:03
jimmy689: 降http網頁的權重,不懂為什麼不上https
jimmy689: 嫌麻煩就去弄個有證書的CDN,cloudflare跟種花電信都有
jimmy689: 提供
pttuser: 因為我們前端靜態mvc部份就有scenario可能detect mitm,51F 12/18 19:06
pttuser: 流量與安全並重
gpctv: 是那個銀行都會經過的那個財金公司嗎53F 12/18 19:09
pttuser: 又不是作的portal都沒人用,只看security就好,流量也很54F 12/18 19:12
pttuser: 重要地
pttuser: 真要只看security,我們的做法就直接建tunnel來搞,secur
pttuser: ity level搞不清楚,什麼都https,以為https是無敵星星
pttuser: 膩?
jimmy689: 請繼續你的表演59F 12/18 19:19
newversion: 某人噓不膩耶^^60F 12/18 19:19
spjay1: 就 host 在外包公司61F 12/18 19:32
chocopie: 自己家省事的做法不代表國際趨勢,懂?62F 12/18 19:35
jimmy689: 鉤直餌鹹,從前端代碼是無法對抗中間人的。一個30x就去63F 12/18 19:42
jimmy689: 了
pttuser: 一看講前端代碼就知道是十年經驗兩三年功力,哈哈65F 12/18 19:55
Darkautism: 嘻,都網站被挾持了還期望駭客把流量給你偵測MITM?66F 12/18 20:45
Darkautism: 你新發明的偵測方法?專利號碼貼出來讓大家瞧瞧?
Darkautism: 建tunnel哩,你是要訓練客戶?
Darkautism: 任何要訓練客戶才能讓用戶懂得設計都不是好設計
Darkautism: 不然你以為大公司不會用tunnel? 只有你懂?
Darkautism: 呵呵,你是十年經驗五十年功力,可惜是舊時代的功力
Darkautism: 掛個https不用訓練客戶也不用那麼搞剛,搞那麼麻煩
Darkautism: 原話還你 嘻嘻,用你自己的話罵自己吧
mnbhjk123: Chrome好像未來會針對非https祭出不可視技能74F 12/19 00:47
tonytonyjan: 因為給工程師錢太少,就這麼簡單75F 12/19 00:50
shortoneal: 糟糕,我分辨不出是不是反串76F 12/19 01:23
pttuser: 哈哈,只是首頁有沒有https卻不知道別人的整體架構怎麼寫77F 12/19 07:18
pttuser: 只會嘴設計,笑死我了
pttuser: 還是又要把架構畫給你看,讓你評(偷)論(學)
pttuser: 不是高手嗎?簡單兼顧效能和安全的架構想不出來
我也只有想知道你家的網站是哪個?

也沒叫你貼架構圖

貼一下網站讓大家聞香一下
pttuser: 只會什麼都套https,笑到肚子痛了我,哈哈哈哈81F 12/19 07:24
pttuser: 晚點要拿這篇笑話給同事看,大家一起笑一笑
pttuser: 唉,可能連怎麼加速NAPI都不知道,阿抱歉,是連NAPI都不
pttuser: 知道哈哈哈哈
maxqq: 憑證 ... 也是有分等級的  儘管免費85F 12/19 07:31
maxqq: 原來該網站是 pttuser 建立的啊 ...
maxqq: 不過我有個問題,如果我監聽你登入那端時的資訊?
maxqq: 原來是要登入時,轉跳到別的位置
x000032001: 怎麼崩潰成這樣阿89F 12/19 07:40
※ 編輯: soheadsome (114.136.181.224), 12/19/2017 08:19:16
angusyu: 崩潰得太嚴重了吧90F 12/19 09:54
benson1212: 崩潰標準行為 被打臉就顧左右而言他XDDD91F 12/19 10:19
感覺是反串 人家在講中間人攻擊

他在說他家裡面的服務多安全
※ 編輯: soheadsome (114.136.181.224), 12/19/2017 10:38:40
loxyz: 也沒多安全 有興趣的可以查 sslstrip92F 12/19 11:39
Darkautism: 你被dns汙染 網站被俠持 還需要問怎麼寫? 根本就沒有93F 12/19 11:42
Darkautism: traffic到你的網站了。還是你根本不知道什麼叫dns汙染
Darkautism: ? 哈哈哈哈 跟你說啦,這篇昨天我們同事就在笑了。不
Darkautism: 用traffic就能偵測MITM?你還不得諾貝爾獎啊?
jimmy689: 瀏覽器已經有HSTS方案,只要與配置了HSTS表頭的站點建97F 12/19 12:08
jimmy689: 立過正常的https,後面再被降級攻擊也沒用
jimmy689: 會刷一排307
jimmy689: 順便,如果是DNS污染來挾持網站,與https是不同層面問
jimmy689: 題,https只保證了傳送的內容未遭修改,DNS污染可以直
jimmy689: 接解析到惡意站甚至不解析,國內GFW早期基本也都是基於
jimmy689: DNS污染,這幾年才升級到流量清洗
Darkautism: https的網站被dns解析到惡意站,證書就會失敗。 除非104F 12/19 12:48
Darkautism: 你的瀏覽器是惡意瀏覽器內部有存惡意證書。所以防範這
Darkautism: 類攻擊的最簡單也最有效的方法就是首頁https。pttuser
Darkautism: 搞一堆搞工的東西,上述攻擊全都不能防範,還要對user
Darkautism: 做教育訓練?
alan3100: wiki都轉https拉 版上水準令人擔憂呀109F 12/19 13:21
doublescn: 掛https若用let's encrypt大概2小時就弄完了吧110F 12/19 13:27
robler: 某人根本就不懂一直秀下限111F 12/19 18:36
mathrew: 做資安這麼久了  倒是第一次聽到首頁要login才需要憑證112F 12/19 21:40
Shauter: 現在都在HTTPS Everywhere惹 還有人十年前的邏輯 XD113F 12/19 22:17
ChungLi5566: 就...憑證要錢啊 財金應該都跟中華電信買憑證114F 12/20 09:00
gundamdx: pttuser真的很菜,什麼都不會也可以發言哈哈哈115F 12/20 17:02
Knudsen: app寫的像幾年前的東西116F 12/20 21:43
fzalcman: 剛剛上去看已經是https啊!版主也是滿厲害117F 12/21 11:10
fzalcman: 連這個也會發現!
power5703: 剛剛看台灣PAY不是已經有https 話說是早就有了還是??119F 12/21 11:47
power5703: 憑證申請有這麼快嗎
bndan: 沒https 很容易被人洗臉 = = 所以大概是該公司人看到馬上弄121F 12/21 16:14
jimmy689: Steam其實就沒上https122F 12/21 18:07
jimmy689: 告訴你steam在國內是怎樣的體驗
jimmy689: https://i.imgur.com/B5fWLbh.png
[圖]
 
真的欸 被抓出來鞭才知道要用
※ 編輯: soheadsome (114.136.153.214), 12/21/2017 18:30:25

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 151 
作者 soheadsome 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇