→ Alica:身分無法認證的加密沒有任何意義 也沒有安全可言 09/06 19:19
→ Alica:你怎麼知道網站端是真的還是釣魚網站.. 09/06 19:20
→ Alica:不是封包不會被攔截解密就好 也要設想到主機被偽造的場合 09/06 19:21
→ kdjf:ssl是"身份認證",不單只是加密這樣 09/06 19:55
→ kdjf:要加密的東西應該在client就做好囉 09/06 19:55
→ kdjf:要不然真的傳重要的東西又不想買cert, 就要求手動import cert 09/06 19:56
→ newversion:很多學校的webmail也用免錢的ssl,用心酸的嗎? 09/06 20:15
→ newversion:A,B互相信任對方, 傳輸過程只是單純不想讓C知道 09/06 20:15
→ newversion:總比 plain-text 傳強多了吧? 09/06 20:16
→ Alica:學校的話其實應該由moecc開個CA 各校就都有免錢憑證用 09/06 20:17
→ Alica:moecc自己拿去給中華民國根憑證簽就好 09/06 20:19
→ Alica:但是moecc多一事不如少一事 所以就放到現在了.. 09/06 20:20
→ ducksteven:學校就算了,商業網站特別是有魚可釣的,最好還是上SSL 09/06 21:37
→ ducksteven:cert不貴吧,我買過一年600+NTD的, *. 的比較貴就是了 09/06 21:38
推 hirokofan:不用SSL,很多東西在傳輸時是明碼,包括帳號密碼.... 09/06 21:48
推 sary:建議先去了解憑證, 加密 還有 HTTPS. 09/06 22:02
在LAN開個 sniffer 別人的 http, ftp, telnet 帳密全都看光光 !!
免錢的 ssl 至少還要先被破解,要鈞魚還需要花一點功夫。
※ 編輯: newversion 來自: 140.112.251.86 (09/06 22:17)
→ Alica:我只能告訴你設計ssl的人一開始就設想到主機被偽造的場合 09/06 23:45
→ Alica:用戶端要怕被聽帳密 自己不會上vpn/ipsec? 09/06 23:48
→ Alica:業主願意買憑證做安全當然很好 不願意的話就別多事了.. 09/06 23:50
→ Alica:你是改變不了瀏覽器的安全認證架構的 09/06 23:51
→ ducksteven:之前有發生過中國的CNNIC偽造大網站的SSL證書… 09/07 00:18
我覺得 第一次用時,browser應該要引道 user 去 import 那個 cert ,並告訴user
如果下次 cert變了,請小心! 而不是告訴 user,這個 https 有問題,不要用。
user只好選http,反而沒有任何警告,user會覺得http好安全啊。
http一樣有可能是釣魚網站
http vs 不信任的https 兩顆爛蘋果裡挑一顆,http沒有比較好吧。
我今天ssh連到ptt ,第一次putty會給我warning ,我還不是用爽爽,
putty的warning說明就比較清礎 user該怎麼選了,不像IE,用的關建字是
"欺騙您" "繼續瀏覽此網站 (不建議)。"
我不會因為看到 warning而改用 telnet (putty,pcman不會告訴我這個很不安全)
※ 編輯: newversion 來自: 140.112.251.86 (09/07 01:06)
→ Alica:IE還有選項按下去就繼續瀏覽 Fx不設例外還不給連咧.. 09/07 01:35
→ Alica:憑證會過期 所以用匯入的話可能會需要多次匯入 09/07 01:38
→ Alica:這跟ssh裝好後key沒意外不會改變的情況不一樣 09/07 01:39
→ Alica:而如果要多次匯入 使用者就難分辨是時間到期還是被掉包了 09/07 01:42
→ Alica:(所以一般都是匯入根憑證 某些學校有搞這個) 09/07 01:43
→ Alica:但這種情況對你幫人做網站的又不適合.. 09/07 01:44