关于“蹭免费 wifi 有没有风险”的争论，@奥卡姆剃刀 和@yuange1975 谁说的更有道理一些？

@blacktulip 目前这事的状态是，掺和进了不少国内安全圈的高手表示呵呵，顺带王思聪也插了一脚，刀刀关闭评论了。
看起来他也像是个一根筋的人。

首先双方的终端应该是靠谱无问题的，然后端到端的 SSL 必须是强健的，才谈得上安全。这样的前提下中间的链路确实没有那么重要。JS 缓存投毒也只适用于加载了不安全的 HTTP 资源的前提下。

感觉问题还是在于一般用户，包括很大一部分程序员，并不会一直检查确认https连接的证书(这个相对好点，一般假证书浏览器会有警告)，页面内不加密资源以及记得登录页面要有SSL加密

不过说实话一直记得检查这种东西是蛮烦的，偶尔忘记也是不奇怪的

就想知道挂着vpn安全不……

我只知道我用的网银需要手机验证码，知道密码也没用。

他也敢去挑战袁哥。。

@gamexg HTTP之所以能实现转发，得益于头部有个host字段；而非HTTP协议，甚至包括HTTPS，我们只能收到一堆二进制数据，然后就不知道的该交给谁了。

哪里谈到https不安全了？

原来争论的焦点是能否通过wifi获取银行卡密码

我觉得袁哥不一定需要在https入手你知道嘛?凭借他对windows的熟悉，随时溢出你的ie，装个木马还不是容易的很？袁哥都上亿身价的人我会乱说？

yuange可是一哥啊。。。在网安话题上，不信yuange，信奥傻那个门外汉么？

吊个QQ密码一点问题都没有！


多傻的陷阱都有人中！（这里的人在网络常识上比普罗大众高不少的，其实我们比很多人都聪明！）

@mornlight 像QQ 淘宝的密码参数都本地RSA后再POST，这样也能抓到明文吗。

@crab 做个钓鱼站就可以了。只要有一个人上 www.qq.com 就成功了，因为那是我的钓鱼站！！！ 因为连 dns 也是我的。

@mornlight https加密确实是牢不可破的，只是攻击者有可能会想办法不让你建立https

@crab 这个我不敢说可不可以，我也不擅长，你可以把思路放宽一点，不要限制在登录正常的网站然后POST数据出去这个环节上，单论https加密当然是不能破的。但可以肯定的是，如果真的有心要针对你个人套出密码，在局域网环境内有的是办法，手机和PC都一样。

@Draplater 这次的讨论话题不明确，其实焦点不应该放在https本身上，而是这个网络环境是极其危险的，入侵和欺骗的方法太多。

@Draplater 听说过中间人攻击没...

可能入侵的方式很多，针对手机，中间人完全可以胜任。

但是把问题聚焦一下，只是单纯从通讯链路上搞定支付宝，这个是不可能的，https 2048位证书和验证能够保证支付宝的通讯安全。

但是手机本身的安全怎么办？

门外汉和搞渗透的争，你说信谁的。

@Draplater 的确。奥的观点应该是从 SSL 协议本身在密码学上的安全性来说，但这是建立在加密信道成功建立的前提下。在这个场景里，攻击者有太多办法破坏加密信道的创建了。奥太自信了。