都 2020 年了,CCB 的官网首页居然没有默认强制 https.....

登录是 https 就行了。 谁要你公开的信息？

感觉天朝的银行都很庞杂，能养不少人。

我记得电信联通也是的

@fancy111 光登录页面 https 不够安全的，之前微博就是这么做的，电视里表演的公共 wifi 劫持账号都是用微博做例子的

现在任何网页用 http 都是不负责的表现

和公开信息有啥关系

@fancy111 所有备案网站都要链接到的工信部页面至今还是 http，你当然可以说 s 不 s 无所谓。但作为一个国家的互联网主管部门，这个水平，呵呵

想起了那个不会用电脑的日本高官。总能说明一些问题的。

贵公司没有做等保吗 美其名曰安全 其实就是抢劫

@fancy111 可以在 http 的网页上把登录页的链接改成假的

@mxT52CRuqR6o5 劫持账号不在登录界面怎么劫持，你告诉我一下。

@darmau 本来国家部门水平就没私企高，这很正常，但是跟 HTTPS 没关系。


@mercury233 你真逗，好像我不能把 HTTPS 网页的内容改掉一样。

@fancy111 劫持登陆态啊，我不是说了吗，之前一直在电视上表演的公共 wifi 劫持微博就是这么做的

谁敢动银行，牢饭香？😂

@mxT52CRuqR6o5 劫持登录状态跟 https 有个毛线关系，wifi 路由里面设置个假证书，做中间人，你看到的都是 HTTPS，后台直接获取解密信息。另外我都不需要用这个方式，只要你连接的是我的 wifi，不管有没有加密，COOKIE TOKEN 都是能获取的，这就是登录状态信息，然后可直接提取做重放。

@fancy111 给自己手机安个根证书就叫 https 内容可修改了？

比较大的就是孟加拉央行被黑过 8100 万美元了吧，不过它那个主要是被骗

@mxT52CRuqR6o5 看懂我说的再来杠吧。 没空解释

@fancy111 我看是你没看懂我说的，你 wifi 设置个假证书，用户手机根本不会信任，也就能劫持你自己手机里的内容，不然你以为微博全面切 https 是为了什么

@fancy111 你怕是误解 @fancy111 的意思。“只要你连接的是我的 wifi”这跟银行有半毛钱关系，完全是用户的问题

@mxT52CRuqR6o5 @错……

@manami 支付宝号称随便连 wifi 也能保证安全，你觉得是怎么做到的，支付宝可以在手机网页端提供用户名和支付密码进行支付，既然 httpa 劫持这么简单，难道支付宝不怕 https 劫持

@fancy111 我怀疑安全专家们搞了个假 https，假证书说做就做？ COOKIE TOKEN 不走 https ？