[請益] 電商網站能不用HTTPS嗎?

看板Soft_Job作者 (Jerry)時間4年前 (2020/05/20 12:39), 4年前編輯推噓31(31055)
留言86則, 26人參與, 4年前最新討論串1/1
路過一個生醫公司的購物頁面 發現居然不是用https https://i.imgur.com/v8q6V8P.jpg
不過我也沒有送出訂單就是了 最近有個在做手工藝品的朋友來找我討論 說想開個品牌網站 裡面可能會有類似的網購服務(雖然我覺得不必要) 所以這陣子我也對這些電商感到興趣 但還不是很了解 想請教各位是不是有新技術取代https 還是說這生醫的網站只是單純沒用https而已? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.233.20.34 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1589949573.A.DFC.html
05/20 12:44, 4年前 , 1F
一定要用https啦...
05/20 12:44, 1F
05/20 12:48, 4年前 , 2F
笑死
05/20 12:48, 2F
05/20 12:49, 4年前 , 3F
沒錢的用Let's encrypt應付先。
05/20 12:49, 3F
我來研究一下
05/20 12:50, 4年前 , 4F
不過如果用來賺錢的話,還是想法子籌錢買EV SSL唄。
05/20 12:50, 4F
05/20 12:51, 4年前 , 5F
他有https版本
05/20 12:51, 5F
05/20 12:51, 4年前 , 6F
不然就用shopline這種現成的電商平臺。
05/20 12:51, 6F
05/20 12:53, 4年前 , 7F
憑證是有效的~ 但圖片沒https
05/20 12:53, 7F
請問如何看憑證是否有效?
05/20 12:56, 4年前 , 8F
看出多少錢
05/20 12:56, 8F
該公司的官方網站是有https的 但購物頁面反而沒有 蠻有趣的 ※ 編輯: sjerrysss (118.233.20.34 臺灣), 05/20/2020 13:01:31 ※ 編輯: sjerrysss (118.233.20.34 臺灣), 05/20/2020 13:01:53
05/20 13:11, 4年前 , 9F
05/20 13:11, 9F
05/20 13:12, 4年前 , 10F
就算不用 certbot 上 CloudFlare 也可以走 https
05/20 13:12, 10F
05/20 13:13, 4年前 , 11F
05/20 13:13, 11F
05/20 13:14, 4年前 , 12F
SSL 憑證內容點鎖頭應該都會顯示內容
05/20 13:14, 12F
05/20 13:15, 4年前 , 13F
chrome 左上 + console debug 就知道大概問題在哪了 很
05/20 13:15, 13F
05/20 13:15, 4年前 , 14F
閒可以那工具掃一下 我猜有其他漏洞
05/20 13:15, 14F
05/20 13:16, 4年前 , 15F
但真有問題,例如:過期、CT有錯、電腦缺根憑證之類
05/20 13:16, 15F
05/20 13:16, 4年前 , 16F
05/20 13:16, 16F
05/20 13:16, 4年前 , 17F
瀏覽器第一時間會擋下不給你連線
05/20 13:16, 17F
05/20 13:18, 4年前 , 18F
free https 用traefik reverse proxy + letsencrypt就o
05/20 13:18, 18F
05/20 13:18, 4年前 , 19F
k了 traefik docker支援不錯 不過不知道有沒有漏洞 畢
05/20 13:18, 19F
05/20 13:18, 4年前 , 20F
竟接出docker.sock給traefik用 感覺毛毛der
05/20 13:18, 20F
05/20 13:46, 4年前 , 21F
可以 咚咚咚
05/20 13:46, 21F
05/20 14:09, 4年前 , 22F
星聚點的線上刷卡付費也不是https…
05/20 14:09, 22F
05/20 14:31, 4年前 , 23F
應該沒差吧?金流那塊有就好了
05/20 14:31, 23F
05/20 15:39, 4年前 , 24F
沒全站HTTPS不會有被網域綁架,導向非官方金流頁面的疑
05/20 15:39, 24F
05/20 15:39, 4年前 , 25F
慮嗎?
05/20 15:39, 25F
05/20 16:21, 4年前 , 26F
沒用被駭客看到就等於自家大門敞開
05/20 16:21, 26F
05/20 16:33, 4年前 , 27F
有人想裸奔,是他的自由
05/20 16:33, 27F
05/20 16:58, 4年前 , 28F
他這個網站有 HTTPS 但是沒有 Force SSL
05/20 16:58, 28F
05/20 16:58, 4年前 , 29F
有人說網站沒有 SSL 金流有就好 沒差吧
05/20 16:58, 29F
05/20 16:59, 4年前 , 30F
那麼你的網站在特定的網路環境下 很有可能會遇上兩
05/20 16:59, 30F
05/20 16:59, 4年前 , 31F
個問題
05/20 16:59, 31F
05/20 17:00, 4年前 , 32F
例如:你的帳號密碼會因為連線過程未使用加密 HTTP
05/20 17:00, 32F
05/20 17:00, 4年前 , 33F
封包會被攔截 有心人可以從裡面得到 Form Data 來
05/20 17:00, 33F
05/20 17:00, 4年前 , 34F
知道你帳號密碼
05/20 17:00, 34F
05/20 17:02, 4年前 , 35F
有些系統會因為安全強度要求 會在送出前做一定程度
05/20 17:02, 35F
05/20 17:02, 4年前 , 36F
自製加密or混淆 但這種狀況很少見 大部分的系統不會
05/20 17:02, 36F
05/20 17:02, 4年前 , 37F
做處理
05/20 17:02, 37F
05/20 17:02, 4年前 , 38F
另一種情況是 封包會帶有 cookie
05/20 17:02, 38F
05/20 17:03, 4年前 , 39F
有心人只要把 session id 抽出來就可以代替該使用者
05/20 17:03, 39F
05/20 17:03, 4年前 , 40F
進行登入
05/20 17:03, 40F
05/20 17:04, 4年前 , 41F
通常有些安全係數做比較高的 會去檢查IP來源跟過往、
05/20 17:04, 41F
05/20 17:04, 4年前 , 42F
地區 或是 User Agent 不同 如果不同 就要求重新登入
05/20 17:04, 42F
05/20 17:04, 4年前 , 43F
或做更進階的驗證程序
05/20 17:04, 43F
05/20 17:05, 4年前 , 44F
05/20 17:05, 44F
05/20 17:06, 4年前 , 45F
所以 你覺得全站有沒有必要SSL 要 尤其是你有使用
05/20 17:06, 45F
05/20 17:06, 4年前 , 46F
者登入機制的那類平台應該要有
05/20 17:06, 46F
05/20 17:07, 4年前 , 47F
不過原文的網站其實是有SSL的 只是沒有導過去
05/20 17:07, 47F
05/20 17:07, 4年前 , 48F
原PO可以去反應一下 給個建議或許也不錯
05/20 17:07, 48F
05/20 17:08, 4年前 , 49F
這家牌子我喝過XD 但是沒空寫這個反應
05/20 17:08, 49F
05/20 17:48, 4年前 , 50F
這很簡單:1.憑證沒有問題,是被認可的憑證 2.僅是沒有開
05/20 17:48, 50F
05/20 17:48, 4年前 , 51F
啟HSTS
05/20 17:48, 51F
05/20 17:49, 4年前 , 52F
開啟HSTS,那個警告就會消失了
05/20 17:49, 52F
05/20 18:51, 4年前 , 53F
有無https只差在傳送資料過程中有沒有被加密 不過沒有ht
05/20 18:51, 53F
05/20 18:51, 4年前 , 54F
tps還是不會想用
05/20 18:51, 54F
05/20 23:13, 4年前 , 55F
不走SSL,不用HTTPS哪間金流會讓你用???
05/20 23:13, 55F
05/20 23:14, 4年前 , 56F
只是不會全站都用,但一定都會有的
05/20 23:14, 56F
05/21 00:04, 4年前 , 57F
都2020年了還有人不是預設https阿
05/21 00:04, 57F
05/21 00:12, 4年前 , 58F
借問,經濟部網頁 https://www.ipas.org.tw/ 為什麼 fx 無
05/21 00:12, 58F
05/21 00:12, 4年前 , 59F
法驗證但 chrome 可以?
05/21 00:12, 59F
05/21 04:23, 4年前 , 60F
可以阿 作法比較不一樣而已 嘻嘻嘻 高估https了
05/21 04:23, 60F
05/21 06:35, 4年前 , 61F
連我們公司都走 https 了,你電商還不走 https
05/21 06:35, 61F
05/21 06:50, 4年前 , 62F
不走 https 是要被看光嗎
05/21 06:50, 62F
05/21 07:57, 4年前 , 63F
.....啊有免費的憑證服務 你為何不用呢?
05/21 07:57, 63F
05/21 13:27, 4年前 , 64F
不走https有些串接可能不能用
05/21 13:27, 64F
05/21 14:30, 4年前 , 65F
經濟部網頁那個 現在只留3個cipher suite 我猜是
05/21 14:30, 65F
05/21 14:30, 4年前 , 66F
firefox都不支援的關係 導致無法建立連線
05/21 14:30, 66F
05/21 17:03, 4年前 , 67F
去提醒他一下拉
05/21 17:03, 67F
05/21 19:58, 4年前 , 68F
土匪綁架user買cer
05/21 19:58, 68F
05/21 19:58, 4年前 , 69F
digrst不好嗎?
05/21 19:58, 69F
05/21 23:50, 4年前 , 70F
經濟部網頁 第二代GCA憑證 火狐沒有要自行下載吧
05/21 23:50, 70F
05/22 00:10, 4年前 , 71F
剛測試了一下,重裝憑證不行,當我沒有說,拍謝@@
05/22 00:10, 71F
05/22 00:18, 4年前 , 72F
不安全的警示是因為 mixed content ,而不是因為沒有用 h
05/22 00:18, 72F
05/22 00:18, 4年前 , 73F
ttps
05/22 00:18, 73F
05/22 00:24, 4年前 , 74F
早期瀏覽器只要有抓到網頁有login form之類的東西會
05/22 00:24, 74F
05/22 00:24, 4年前 , 75F
自動提示這個網頁不安全 並不是
05/22 00:24, 75F
05/22 00:25, 4年前 , 76F
mixed content 甚至可以說在很早期的IE就實作跳轉上
05/22 00:25, 76F
05/22 00:26, 4年前 , 77F
現在是照著
05/22 00:26, 77F
05/22 00:26, 4年前 , 78F
05/22 00:26, 78F
05/22 00:26, 4年前 , 79F
rity/Mixed_content
05/22 00:26, 79F
05/22 00:27, 4年前 , 80F
規格
05/22 00:27, 80F
05/22 00:30, 4年前 , 81F
不過裝 SSL 沒什麼成本 而且還能運用伺服器自帶的 HT
05/22 00:30, 81F
05/22 00:30, 4年前 , 82F
TP2 模組 提供 HTTPS 連線真的會比較好
05/22 00:30, 82F
05/22 00:35, 4年前 , 83F
只有少數為了高併發或逼主機CPU使用量到極限
05/22 00:35, 83F
05/22 00:35, 4年前 , 84F
會優先使用HTTP 不使用HTTPS
05/22 00:35, 84F
05/22 00:35, 4年前 , 85F
^^ 高並發
05/22 00:35, 85F
05/29 07:10, 4年前 , 86F
免費的撐著用 我司就是
05/29 07:10, 86F
更多 sjerrysss 的文章
文章代碼(AID): #1UnBI5ty (Soft_Job)