看板 Soft_Job作者 soheadsome (師大狗鼻哥)標題 [討論] 台灣pay為什麼首頁不用https?時間 Mon Dec 18 13:20:00 2017
小弟最近看到某財金資訊公司
出了一個台灣pay
但看他們首頁居然沒用HTTPS
而且他們還好意思在行政院資安周擺攤???
做這麼多金融相關的案子
居然不知道什麼是HTTPS
是很有自信不會被打
還是早就被打習慣 所以乾脆不管了呢?
-----
Sent from JPTT on my Xiaomi Redmi Note 4.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.181.224
※ 文章代碼(AID): #1QDr04Yd (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1513574404.A.8A7.html
推 femlro: Cost down
憑證不用錢喔XD1F 12/18 13:21
推 MIM23: 要不是靠財政部施壓各銀行配合參與
有誰想玩這個 Taiwan Pay5F 12/18 13:40
→ lichai: 要回到用https的目的吧…首頁有什麼特別要加密的嗎?7F 12/18 13:46
你首頁總是會有重大公告資訊吧
如果沒憑證 有人做釣魚網站
誰知道那個才是正確資訊?
※ 編輯: soheadsome (114.136.181.224), 12/18/2017 13:48:44
推 abccbaandy: 沒,但趨勢是全面HTTPS,甚至把HTTP標上不安全8F 12/18 13:49
推 edward13: 肥貓與他們的產地
現在google爬蟲對沒https的網頁都會鄙視 先降rank9F 12/18 13:51
→ elements: 要不是你講還真的沒聽過,我看也沒人用11F 12/18 13:54
推 Darkautism: 防mitm啊 怎會沒https需求? 任何官方網站都應該做13F 12/18 14:49
推 crossdunk: 這你就錯了 有關係就不用HTTPS 懂嗎?
你全站HTTPS 人家都HTTP 但他有關係 還是會選他15F 12/18 15:28
推 senjor: 話說釣魚網站就不能申請https了嗎?17F 12/18 15:46
可以吧
但至少你能有機會去看憑證是不是該單位的
※ 編輯: soheadsome (114.136.181.224), 12/18/2017 15:50:38
→ bobju: 可能是藉此表達對政府的不滿吧? XD18F 12/18 16:16
→ mathrew: 憑證要錢啊....19F 12/18 16:40
→ jimmy689: 我覺得臺灣厂家對Https的敏感度沒有中國強
臺灣的ISP比較正派經營不搞劫持
在這邊沒上https分分鐘劫持你放廣告22F 12/18 17:32
→ Chikei: 免費的LE沒有做EV,釣魚網站一樣能模仿,LE是讓人免於MITM25F 12/18 17:40
推 senjor: 不過使用者怎麼知道這個網站本來有沒有做EV?26F 12/18 17:45
→ robler: 我們公司在中國的域名被劫持到受不了只能改全站https27F 12/18 18:14
→ Chikei: 主流瀏覽器遇到有EV的憑證除了綠鎖以外會顯示EV的entity28F 12/18 18:25
推 senjor: 我的問題比較像是,使用者連上了一個沒有EV的網站,那他怎麼知道這個網站本來是該有還是沒有?29F 12/18 18:32
噓 pttuser: 首頁在沒login之前是要啥憑證31F 12/18 18:35
→ jimmy689: 連上的網站如果是非認證的證書,瀏覽器會警告你
如果證書是認證的,不過只是DV之類的不帶公司信息的,你無法100%保證該證書由該公司註冊
DV以上的證書,一般CA機構都會卡住有風險的申請,像是申請apple-support.com這類的大概都會被打回票
當然也有無節操的CA,像WoSign,就會被各個瀏覽器巨頭聯手除名32F 12/18 18:37
噓 Darkautism: 什麼沒login不用憑證? 憑證本身就可以防止MITM
不然沒登入的使用者看到的資訊都是釣魚資訊????這裡是軟體工作版吧? 我還以為我走錯版
推回39F 12/18 18:43
噓 pttuser: 轉到login頁面再https就好,首頁用靜態mvc才會省流量43F 12/18 18:59
→ jimmy689: https的確有加解密會造成速度慢於http,不過跟中間人攻擊帶來的風險比起來根本小事44F 12/18 19:01
我們都在討論釣魚 沒想到你卻被某id釣到
噓 pttuser: 什麼都https 那有那麼搞工46F 12/18 19:02
※ 編輯: soheadsome (114.136.181.224), 12/18/2017 19:04:31
→ jimmy689: 中美的ISP劫持網站安插廣告是家常便飯,谷歌更放話要調降http網頁的權重,不懂為什麼不上https
嫌麻煩就去弄個有證書的CDN,cloudflare跟種花電信都有提供47F 12/18 19:03
噓 pttuser: 因為我們前端靜態mvc部份就有scenario可能detect mitm,流量與安全並重51F 12/18 19:06
推 gpctv: 是那個銀行都會經過的那個財金公司嗎53F 12/18 19:09
噓 pttuser: 又不是作的portal都沒人用,只看security就好,流量也很重要地
真要只看security,我們的做法就直接建tunnel來搞,security level搞不清楚,什麼都https,以為https是無敵星星膩?54F 12/18 19:12
推 spjay1: 就 host 在外包公司61F 12/18 19:32
→ chocopie: 自己家省事的做法不代表國際趨勢,懂?62F 12/18 19:35
→ jimmy689: 鉤直餌鹹,從前端代碼是無法對抗中間人的。一個30x就去了63F 12/18 19:42
噓 pttuser: 一看講前端代碼就知道是十年經驗兩三年功力,哈哈65F 12/18 19:55
推 Darkautism: 嘻,都網站被挾持了還期望駭客把流量給你偵測MITM?你新發明的偵測方法?專利號碼貼出來讓大家瞧瞧?
建tunnel哩,你是要訓練客戶?
任何要訓練客戶才能讓用戶懂得設計都不是好設計
不然你以為大公司不會用tunnel? 只有你懂?
呵呵,你是十年經驗五十年功力,可惜是舊時代的功力掛個https不用訓練客戶也不用那麼搞剛,搞那麼麻煩
原話還你 嘻嘻,用你自己的話罵自己吧66F 12/18 20:45
推 mnbhjk123: Chrome好像未來會針對非https祭出不可視技能74F 12/19 00:47
噓 pttuser: 哈哈,只是首頁有沒有https卻不知道別人的整體架構怎麼寫只會嘴設計,笑死我了
還是又要把架構畫給你看,讓你評(偷)論(學)
不是高手嗎?簡單兼顧效能和安全的架構想不出來77F 12/19 07:18
我也只有想知道你家的網站是哪個?
也沒叫你貼架構圖
貼一下網站讓大家聞香一下
→ pttuser: 只會什麼都套https,笑到肚子痛了我,哈哈哈哈
晚點要拿這篇笑話給同事看,大家一起笑一笑
唉,可能連怎麼加速NAPI都不知道,阿抱歉,是連NAPI都不知道哈哈哈哈81F 12/19 07:24
推 maxqq: 憑證 ... 也是有分等級的 儘管免費
原來該網站是 pttuser 建立的啊 ...
不過我有個問題,如果我監聽你登入那端時的資訊?
原來是要登入時,轉跳到別的位置85F 12/19 07:31
※ 編輯: soheadsome (114.136.181.224), 12/19/2017 08:19:16
推 benson1212: 崩潰標準行為 被打臉就顧左右而言他XDDD91F 12/19 10:19
感覺是反串 人家在講中間人攻擊
他在說他家裡面的服務多安全
※ 編輯: soheadsome (114.136.181.224), 12/19/2017 10:38:40
推 loxyz: 也沒多安全 有興趣的可以查 sslstrip92F 12/19 11:39
推 Darkautism: 你被dns汙染 網站被俠持 還需要問怎麼寫? 根本就沒有traffic到你的網站了。還是你根本不知道什麼叫dns汙染? 哈哈哈哈 跟你說啦,這篇昨天我們同事就在笑了。不用traffic就能偵測MITM?你還不得諾貝爾獎啊?93F 12/19 11:42
→ jimmy689: 瀏覽器已經有HSTS方案,只要與配置了HSTS表頭的站點建立過正常的https,後面再被降級攻擊也沒用
會刷一排307
順便,如果是DNS污染來挾持網站,與https是不同層面問題,https只保證了傳送的內容未遭修改,DNS污染可以直接解析到惡意站甚至不解析,國內GFW早期基本也都是基於DNS污染,這幾年才升級到流量清洗97F 12/19 12:08
推 Darkautism: https的網站被dns解析到惡意站,證書就會失敗。 除非你的瀏覽器是惡意瀏覽器內部有存惡意證書。所以防範這類攻擊的最簡單也最有效的方法就是首頁https。pttuser搞一堆搞工的東西,上述攻擊全都不能防範,還要對user做教育訓練?104F 12/19 12:48
→ alan3100: wiki都轉https拉 版上水準令人擔憂呀109F 12/19 13:21
→ doublescn: 掛https若用let's encrypt大概2小時就弄完了吧110F 12/19 13:27
推 robler: 某人根本就不懂一直秀下限111F 12/19 18:36
推 mathrew: 做資安這麼久了 倒是第一次聽到首頁要login才需要憑證112F 12/19 21:40
→ Shauter: 現在都在HTTPS Everywhere惹 還有人十年前的邏輯 XD113F 12/19 22:17
推 gundamdx: pttuser真的很菜,什麼都不會也可以發言哈哈哈115F 12/20 17:02
推 Knudsen: app寫的像幾年前的東西116F 12/20 21:43
推 fzalcman: 剛剛上去看已經是https啊!版主也是滿厲害
連這個也會發現!117F 12/21 11:10
推 power5703: 剛剛看台灣PAY不是已經有https 話說是早就有了還是??憑證申請有這麼快嗎119F 12/21 11:47
→ bndan: 沒https 很容易被人洗臉 = = 所以大概是該公司人看到馬上弄121F 12/21 16:14
真的欸 被抓出來鞭才知道要用
※ 編輯: soheadsome (114.136.153.214), 12/21/2017 18:30:25
--