[討論] 台灣pay為什麼首頁不用https?

看板Soft_Job作者 (師大狗鼻哥)時間6年前 (2017/12/18 13:20), 6年前編輯推噓24(351178)
留言124則, 41人參與, 6年前最新討論串1/1
小弟最近看到某財金資訊公司 出了一個台灣pay 但看他們首頁居然沒用HTTPS 而且他們還好意思在行政院資安周擺攤??? 做這麼多金融相關的案子 居然不知道什麼是HTTPS 是很有自信不會被打 還是早就被打習慣 所以乾脆不管了呢? ----- Sent from JPTT on my Xiaomi Redmi Note 4. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.181.224 ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1513574404.A.8A7.html
12/18 13:21, 6年前 , 1F
Cost down
12/18 13:21, 1F
12/18 13:22, 6年前 , 2F
憑證不用錢喔XD
12/18 13:22, 2F
12/18 13:24, 6年前 , 3F
有免錢的…xd
12/18 13:24, 3F
12/18 13:33, 6年前 , 4F
XD 幹
12/18 13:33, 4F
12/18 13:40, 6年前 , 5F
要不是靠財政部施壓各銀行配合參與
12/18 13:40, 5F
12/18 13:41, 6年前 , 6F
有誰想玩這個 Taiwan Pay
12/18 13:41, 6F
12/18 13:46, 6年前 , 7F
要回到用https的目的吧…首頁有什麼特別要加密的嗎?
12/18 13:46, 7F
你首頁總是會有重大公告資訊吧 如果沒憑證 有人做釣魚網站 誰知道那個才是正確資訊? ※ 編輯: soheadsome (114.136.181.224), 12/18/2017 13:48:44
12/18 13:49, 6年前 , 8F
沒,但趨勢是全面HTTPS,甚至把HTTP標上不安全
12/18 13:49, 8F
12/18 13:51, 6年前 , 9F
肥貓與他們的產地
12/18 13:51, 9F
12/18 13:52, 6年前 , 10F
現在google爬蟲對沒https的網頁都會鄙視 先降rank
12/18 13:52, 10F
12/18 13:54, 6年前 , 11F
要不是你講還真的沒聽過,我看也沒人用
12/18 13:54, 11F
12/18 14:46, 6年前 , 12F
台灣有台灣的玩法嘛
12/18 14:46, 12F
12/18 14:49, 6年前 , 13F
防mitm啊 怎會沒https需求? 任何官方網站都應該做
12/18 14:49, 13F
12/18 15:16, 6年前 , 14F
你就知道軟體頁差距有多大了
12/18 15:16, 14F
12/18 15:28, 6年前 , 15F
這你就錯了 有關係就不用HTTPS 懂嗎?
12/18 15:28, 15F
12/18 15:29, 6年前 , 16F
你全站HTTPS 人家都HTTP 但他有關係 還是會選他
12/18 15:29, 16F
12/18 15:46, 6年前 , 17F
話說釣魚網站就不能申請https了嗎?
12/18 15:46, 17F
可以吧 但至少你能有機會去看憑證是不是該單位的 ※ 編輯: soheadsome (114.136.181.224), 12/18/2017 15:50:38
12/18 16:16, 6年前 , 18F
可能是藉此表達對政府的不滿吧? XD
12/18 16:16, 18F
12/18 16:40, 6年前 , 19F
憑證要錢啊....
12/18 16:40, 19F
12/18 16:43, 6年前 , 20F
憑證有免費的.....
12/18 16:43, 20F
12/18 16:57, 6年前 , 21F
SSLFORFREE 簡單又好記
12/18 16:57, 21F
12/18 17:32, 6年前 , 22F
我覺得臺灣厂家對Https的敏感度沒有中國強
12/18 17:32, 22F
12/18 17:32, 6年前 , 23F
臺灣的ISP比較正派經營不搞劫持
12/18 17:32, 23F
12/18 17:33, 6年前 , 24F
在這邊沒上https分分鐘劫持你放廣告
12/18 17:33, 24F
12/18 17:40, 6年前 , 25F
免費的LE沒有做EV,釣魚網站一樣能模仿,LE是讓人免於MITM
12/18 17:40, 25F
12/18 17:45, 6年前 , 26F
不過使用者怎麼知道這個網站本來有沒有做EV?
12/18 17:45, 26F
12/18 18:14, 6年前 , 27F
我們公司在中國的域名被劫持到受不了只能改全站https
12/18 18:14, 27F
12/18 18:25, 6年前 , 28F
主流瀏覽器遇到有EV的憑證除了綠鎖以外會顯示EV的entity
12/18 18:25, 28F
12/18 18:32, 6年前 , 29F
我的問題比較像是,使用者連上了一個沒有EV的網站,那他怎
12/18 18:32, 29F
12/18 18:33, 6年前 , 30F
麼知道這個網站本來是該有還是沒有?
12/18 18:33, 30F
12/18 18:35, 6年前 , 31F
首頁在沒login之前是要啥憑證
12/18 18:35, 31F
12/18 18:37, 6年前 , 32F
連上的網站如果是非認證的證書,瀏覽器會警告你
12/18 18:37, 32F
12/18 18:38, 6年前 , 33F
如果證書是認證的,不過只是DV之類的不帶公司信息的,
12/18 18:38, 33F
12/18 18:38, 6年前 , 34F
你無法100%保證該證書由該公司註冊
12/18 18:38, 34F
12/18 18:40, 6年前 , 35F
DV以上的證書,一般CA機構都會卡住有風險的申請,像是
12/18 18:40, 35F
12/18 18:40, 6年前 , 36F
申請apple-support.com這類的大概都會被打回票
12/18 18:40, 36F
12/18 18:41, 6年前 , 37F
當然也有無節操的CA,像WoSign,就會被各個瀏覽器巨頭
12/18 18:41, 37F
還有 50 則推文
還有 3 段內文
12/19 07:39, 6年前 , 88F
原來是要登入時,轉跳到別的位置
12/19 07:39, 88F
12/19 07:40, 6年前 , 89F
怎麼崩潰成這樣阿
12/19 07:40, 89F
※ 編輯: soheadsome (114.136.181.224), 12/19/2017 08:19:16
12/19 09:54, 6年前 , 90F
崩潰得太嚴重了吧
12/19 09:54, 90F
12/19 10:19, 6年前 , 91F
崩潰標準行為 被打臉就顧左右而言他XDDD
12/19 10:19, 91F
感覺是反串 人家在講中間人攻擊 他在說他家裡面的服務多安全 ※ 編輯: soheadsome (114.136.181.224), 12/19/2017 10:38:40
12/19 11:39, 6年前 , 92F
也沒多安全 有興趣的可以查 sslstrip
12/19 11:39, 92F
12/19 11:42, 6年前 , 93F
你被dns汙染 網站被俠持 還需要問怎麼寫? 根本就沒有
12/19 11:42, 93F
12/19 11:42, 6年前 , 94F
traffic到你的網站了。還是你根本不知道什麼叫dns汙染
12/19 11:42, 94F
12/19 11:42, 6年前 , 95F
? 哈哈哈哈 跟你說啦,這篇昨天我們同事就在笑了。不
12/19 11:42, 95F
12/19 11:42, 6年前 , 96F
用traffic就能偵測MITM?你還不得諾貝爾獎啊?
12/19 11:42, 96F
12/19 12:08, 6年前 , 97F
瀏覽器已經有HSTS方案,只要與配置了HSTS表頭的站點建
12/19 12:08, 97F
12/19 12:08, 6年前 , 98F
立過正常的https,後面再被降級攻擊也沒用
12/19 12:08, 98F
12/19 12:10, 6年前 , 99F
會刷一排307
12/19 12:10, 99F
12/19 12:32, 6年前 , 100F
順便,如果是DNS污染來挾持網站,與https是不同層面問
12/19 12:32, 100F
12/19 12:32, 6年前 , 101F
題,https只保證了傳送的內容未遭修改,DNS污染可以直
12/19 12:32, 101F
12/19 12:32, 6年前 , 102F
接解析到惡意站甚至不解析,國內GFW早期基本也都是基於
12/19 12:32, 102F
12/19 12:32, 6年前 , 103F
DNS污染,這幾年才升級到流量清洗
12/19 12:32, 103F
12/19 12:48, 6年前 , 104F
https的網站被dns解析到惡意站,證書就會失敗。 除非
12/19 12:48, 104F
12/19 12:48, 6年前 , 105F
你的瀏覽器是惡意瀏覽器內部有存惡意證書。所以防範這
12/19 12:48, 105F
12/19 12:48, 6年前 , 106F
類攻擊的最簡單也最有效的方法就是首頁https。pttuser
12/19 12:48, 106F
12/19 12:48, 6年前 , 107F
搞一堆搞工的東西,上述攻擊全都不能防範,還要對user
12/19 12:48, 107F
12/19 12:48, 6年前 , 108F
做教育訓練?
12/19 12:48, 108F
12/19 13:21, 6年前 , 109F
wiki都轉https拉 版上水準令人擔憂呀
12/19 13:21, 109F
12/19 13:27, 6年前 , 110F
掛https若用let's encrypt大概2小時就弄完了吧
12/19 13:27, 110F
12/19 18:36, 6年前 , 111F
某人根本就不懂一直秀下限
12/19 18:36, 111F
12/19 21:40, 6年前 , 112F
做資安這麼久了 倒是第一次聽到首頁要login才需要憑證
12/19 21:40, 112F
12/19 22:17, 6年前 , 113F
現在都在HTTPS Everywhere惹 還有人十年前的邏輯 XD
12/19 22:17, 113F
12/20 09:00, 6年前 , 114F
就...憑證要錢啊 財金應該都跟中華電信買憑證
12/20 09:00, 114F
12/20 17:02, 6年前 , 115F
pttuser真的很菜,什麼都不會也可以發言哈哈哈
12/20 17:02, 115F
12/20 21:43, 6年前 , 116F
app寫的像幾年前的東西
12/20 21:43, 116F
12/21 11:10, 6年前 , 117F
剛剛上去看已經是https啊!版主也是滿厲害
12/21 11:10, 117F
12/21 11:10, 6年前 , 118F
連這個也會發現!
12/21 11:10, 118F
12/21 11:47, 6年前 , 119F
剛剛看台灣PAY不是已經有https 話說是早就有了還是??
12/21 11:47, 119F
12/21 11:47, 6年前 , 120F
憑證申請有這麼快嗎
12/21 11:47, 120F
12/21 16:14, 6年前 , 121F
沒https 很容易被人洗臉 = = 所以大概是該公司人看到馬上弄
12/21 16:14, 121F
12/21 18:07, 6年前 , 122F
Steam其實就沒上https
12/21 18:07, 122F
12/21 18:08, 6年前 , 123F
告訴你steam在國內是怎樣的體驗
12/21 18:08, 123F
12/21 18:09, 6年前 , 124F
12/21 18:09, 124F
真的欸 被抓出來鞭才知道要用 ※ 編輯: soheadsome (114.136.153.214), 12/21/2017 18:30:25
更多 soheadsome 的文章
文章代碼(AID): #1QDr04Yd (Soft_Job)