推 femlro: Cost down12/18 13:21
→ femlro: 憑證不用錢喔XD12/18 13:22
→ vswillie: 有免錢的…xd12/18 13:24
推 nova06091: XD 幹12/18 13:33
推 MIM23: 要不是靠財政部施壓各銀行配合參與12/18 13:40
→ MIM23: 有誰想玩這個 Taiwan Pay12/18 13:41
→ lichai: 要回到用https的目的吧…首頁有什麼特別要加密的嗎?12/18 13:46
你首頁總是會有重大公告資訊吧
如果沒憑證 有人做釣魚網站
誰知道那個才是正確資訊?
※ 編輯: soheadsome (114.136.181.224), 12/18/2017 13:48:44
推 abccbaandy: 沒,但趨勢是全面HTTPS,甚至把HTTP標上不安全12/18 13:49
推 edward13: 肥貓與他們的產地12/18 13:51
→ edward13: 現在google爬蟲對沒https的網頁都會鄙視 先降rank12/18 13:52
→ elements: 要不是你講還真的沒聽過,我看也沒人用12/18 13:54
推 LinuxKernel: 台灣有台灣的玩法嘛12/18 14:46
推 Darkautism: 防mitm啊 怎會沒https需求? 任何官方網站都應該做12/18 14:49
推 THEWORLDS: 你就知道軟體頁差距有多大了12/18 15:16
推 crossdunk: 這你就錯了 有關係就不用HTTPS 懂嗎?12/18 15:28
→ crossdunk: 你全站HTTPS 人家都HTTP 但他有關係 還是會選他12/18 15:29
推 senjor: 話說釣魚網站就不能申請https了嗎?12/18 15:46
可以吧
但至少你能有機會去看憑證是不是該單位的
※ 編輯: soheadsome (114.136.181.224), 12/18/2017 15:50:38
→ bobju: 可能是藉此表達對政府的不滿吧? XD 12/18 16:16
→ mathrew: 憑證要錢啊.... 12/18 16:40
推 f496328mm: 憑證有免費的..... 12/18 16:43
推 crossdunk: SSLFORFREE 簡單又好記 12/18 16:57
→ jimmy689: 我覺得臺灣厂家對Https的敏感度沒有中國強 12/18 17:32
→ jimmy689: 臺灣的ISP比較正派經營不搞劫持 12/18 17:32
→ jimmy689: 在這邊沒上https分分鐘劫持你放廣告 12/18 17:33
→ Chikei: 免費的LE沒有做EV,釣魚網站一樣能模仿,LE是讓人免於MITM12/18 17:40
推 senjor: 不過使用者怎麼知道這個網站本來有沒有做EV?12/18 17:45
→ robler: 我們公司在中國的域名被劫持到受不了只能改全站https12/18 18:14
→ Chikei: 主流瀏覽器遇到有EV的憑證除了綠鎖以外會顯示EV的entity12/18 18:25
推 senjor: 我的問題比較像是,使用者連上了一個沒有EV的網站,那他怎12/18 18:32
→ senjor: 麼知道這個網站本來是該有還是沒有?12/18 18:33
噓 pttuser: 首頁在沒login之前是要啥憑證12/18 18:35
→ jimmy689: 連上的網站如果是非認證的證書,瀏覽器會警告你12/18 18:37
→ jimmy689: 如果證書是認證的,不過只是DV之類的不帶公司信息的,12/18 18:38
→ jimmy689: 你無法100%保證該證書由該公司註冊12/18 18:38
→ jimmy689: DV以上的證書,一般CA機構都會卡住有風險的申請,像是12/18 18:40
→ jimmy689: 申請apple-support.com這類的大概都會被打回票12/18 18:40
→ jimmy689: 當然也有無節操的CA,像WoSign,就會被各個瀏覽器巨頭12/18 18:41
→ jimmy689: 聯手除名12/18 18:41
噓 Darkautism: 什麼沒login不用憑證? 憑證本身就可以防止MITM12/18 18:43
→ Darkautism: 不然沒登入的使用者看到的資訊都是釣魚資訊????12/18 18:43
→ Darkautism: 這裡是軟體工作版吧? 我還以為我走錯版12/18 18:44
推 Darkautism: 推回12/18 18:47
噓 pttuser: 轉到login頁面再https就好,首頁用靜態mvc才會省流量12/18 18:59
→ jimmy689: https的確有加解密會造成速度慢於http,不過跟中間人攻12/18 19:01
→ jimmy689: 擊帶來的風險比起來根本小事12/18 19:01
我們都在討論釣魚 沒想到你卻被某id釣到
噓 pttuser: 什麼都https 那有那麼搞工12/18 19:02
※ 編輯: soheadsome (114.136.181.224), 12/18/2017 19:04:31
→ jimmy689: 中美的ISP劫持網站安插廣告是家常便飯,谷歌更放話要調 12/18 19:03
→ jimmy689: 降http網頁的權重,不懂為什麼不上https 12/18 19:03
→ jimmy689: 嫌麻煩就去弄個有證書的CDN,cloudflare跟種花電信都有 12/18 19:04
→ jimmy689: 提供 12/18 19:04
噓 pttuser: 因為我們前端靜態mvc部份就有scenario可能detect mitm, 12/18 19:06
→ pttuser: 流量與安全並重 12/18 19:06
推 gpctv: 是那個銀行都會經過的那個財金公司嗎 12/18 19:09
噓 pttuser: 又不是作的portal都沒人用,只看security就好,流量也很 12/18 19:12
→ pttuser: 重要地 12/18 19:12
噓 pttuser: 真要只看security,我們的做法就直接建tunnel來搞,secur 12/18 19:18
→ pttuser: ity level搞不清楚,什麼都https,以為https是無敵星星 12/18 19:18
→ pttuser: 膩? 12/18 19:18
推 jimmy689: 請繼續你的表演 12/18 19:19
→ newversion: 某人噓不膩耶^^ 12/18 19:19
推 spjay1: 就 host 在外包公司 12/18 19:32
→ chocopie: 自己家省事的做法不代表國際趨勢,懂? 12/18 19:35
→ jimmy689: 鉤直餌鹹,從前端代碼是無法對抗中間人的。一個30x就去 12/18 19:42
→ jimmy689: 了 12/18 19:42
噓 pttuser: 一看講前端代碼就知道是十年經驗兩三年功力,哈哈 12/18 19:55
推 Darkautism: 嘻,都網站被挾持了還期望駭客把流量給你偵測MITM? 12/18 20:45
→ Darkautism: 你新發明的偵測方法?專利號碼貼出來讓大家瞧瞧? 12/18 20:46
→ Darkautism: 建tunnel哩,你是要訓練客戶?12/18 20:46
→ Darkautism: 任何要訓練客戶才能讓用戶懂得設計都不是好設計12/18 20:47
→ Darkautism: 不然你以為大公司不會用tunnel? 只有你懂?12/18 20:47
→ Darkautism: 呵呵,你是十年經驗五十年功力,可惜是舊時代的功力12/18 20:48
→ Darkautism: 掛個https不用訓練客戶也不用那麼搞剛,搞那麼麻煩12/18 20:49
→ Darkautism: 原話還你 嘻嘻,用你自己的話罵自己吧12/18 20:49
推 mnbhjk123: Chrome好像未來會針對非https祭出不可視技能12/19 00:47
→ tonytonyjan: 因為給工程師錢太少,就這麼簡單12/19 00:50
推 shortoneal: 糟糕,我分辨不出是不是反串12/19 01:23
噓 pttuser: 哈哈,只是首頁有沒有https卻不知道別人的整體架構怎麼寫12/19 07:18
→ pttuser: 只會嘴設計,笑死我了12/19 07:18
噓 pttuser: 還是又要把架構畫給你看,讓你評(偷)論(學)12/19 07:24
→ pttuser: 不是高手嗎?簡單兼顧效能和安全的架構想不出來12/19 07:24
我也只有想知道你家的網站是哪個?
也沒叫你貼架構圖
貼一下網站讓大家聞香一下
→ pttuser: 只會什麼都套https,笑到肚子痛了我,哈哈哈哈12/19 07:24
→ pttuser: 晚點要拿這篇笑話給同事看,大家一起笑一笑12/19 07:24
噓 pttuser: 唉,可能連怎麼加速NAPI都不知道,阿抱歉,是連NAPI都不12/19 07:27
→ pttuser: 知道哈哈哈哈12/19 07:27
推 maxqq: 憑證 ... 也是有分等級的 儘管免費12/19 07:31
推 maxqq: 原來該網站是 pttuser 建立的啊 ...12/19 07:34
→ maxqq: 不過我有個問題,如果我監聽你登入那端時的資訊?12/19 07:35
推 maxqq: 原來是要登入時,轉跳到別的位置12/19 07:39
→ x000032001: 怎麼崩潰成這樣阿12/19 07:40
※ 編輯: soheadsome (114.136.181.224), 12/19/2017 08:19:16
→ angusyu: 崩潰得太嚴重了吧12/19 09:54
推 benson1212: 崩潰標準行為 被打臉就顧左右而言他XDDD12/19 10:19
感覺是反串 人家在講中間人攻擊
他在說他家裡面的服務多安全
※ 編輯: soheadsome (114.136.181.224), 12/19/2017 10:38:40
推 loxyz: 也沒多安全 有興趣的可以查 sslstrip 12/19 11:39
推 Darkautism: 你被dns汙染 網站被俠持 還需要問怎麼寫? 根本就沒有 12/19 11:42
→ Darkautism: traffic到你的網站了。還是你根本不知道什麼叫dns汙染 12/19 11:42
→ Darkautism: ? 哈哈哈哈 跟你說啦,這篇昨天我們同事就在笑了。不 12/19 11:42
→ Darkautism: 用traffic就能偵測MITM?你還不得諾貝爾獎啊? 12/19 11:42
→ jimmy689: 瀏覽器已經有HSTS方案,只要與配置了HSTS表頭的站點建 12/19 12:08
→ jimmy689: 立過正常的https,後面再被降級攻擊也沒用 12/19 12:08
→ jimmy689: 會刷一排307 12/19 12:10
→ jimmy689: 順便,如果是DNS污染來挾持網站,與https是不同層面問 12/19 12:32
→ jimmy689: 題,https只保證了傳送的內容未遭修改,DNS污染可以直 12/19 12:32
→ jimmy689: 接解析到惡意站甚至不解析,國內GFW早期基本也都是基於 12/19 12:32
→ jimmy689: DNS污染,這幾年才升級到流量清洗12/19 12:32
推 Darkautism: https的網站被dns解析到惡意站,證書就會失敗。 除非12/19 12:48
→ Darkautism: 你的瀏覽器是惡意瀏覽器內部有存惡意證書。所以防範這12/19 12:48
→ Darkautism: 類攻擊的最簡單也最有效的方法就是首頁https。pttuser12/19 12:48
→ Darkautism: 搞一堆搞工的東西,上述攻擊全都不能防範,還要對user12/19 12:48
→ Darkautism: 做教育訓練?12/19 12:48
→ alan3100: wiki都轉https拉 版上水準令人擔憂呀12/19 13:21
→ doublescn: 掛https若用let's encrypt大概2小時就弄完了吧12/19 13:27
推 robler: 某人根本就不懂一直秀下限12/19 18:36
推 mathrew: 做資安這麼久了 倒是第一次聽到首頁要login才需要憑證12/19 21:40
→ Shauter: 現在都在HTTPS Everywhere惹 還有人十年前的邏輯 XD12/19 22:17
推 ChungLi5566: 就...憑證要錢啊 財金應該都跟中華電信買憑證12/20 09:00
推 gundamdx: pttuser真的很菜,什麼都不會也可以發言哈哈哈12/20 17:02
推 Knudsen: app寫的像幾年前的東西12/20 21:43
推 fzalcman: 剛剛上去看已經是https啊!版主也是滿厲害12/21 11:10
→ fzalcman: 連這個也會發現!12/21 11:10
推 power5703: 剛剛看台灣PAY不是已經有https 話說是早就有了還是??12/21 11:47
→ power5703: 憑證申請有這麼快嗎12/21 11:47
→ bndan: 沒https 很容易被人洗臉 = = 所以大概是該公司人看到馬上弄12/21 16:14
→ jimmy689: Steam其實就沒上https12/21 18:07
→ jimmy689: 告訴你steam在國內是怎樣的體驗12/21 18:08
