都 2020 年了,CCB 的官网首页居然没有默认强制 https.....

@mxT52CRuqR6o5 有消息来源链接请给一个。“随便连 wifi 也能保证安全”我认为做不到。

@manami http://www.techweb.com.cn/internet/2015-03-17/2133706.shtml

@mxT52CRuqR6o5 就个人觉得这回应更大是宣传成分，绝对安全是不存在的。链接黑客的 wifi 手机内的信息都被看了，等于裤子都被脱了你说 jj 还能安全？不知大家怎么看

@fancy111 sslstrip 了解一下？都是现成工具箱了

@no1xsyzy hsts 了解一下

@manami 你连恶意 Wifi 被获取和篡改的是且仅是全部的外部数据交互
在不安全信道上建立安全信道：迪菲-赫尔曼密钥交换

@no1xsyzy 不懂你说的这个什么交换。针对“随便连 wifi 也能保证安全”这点发到任何国内外的一个黑客论坛都会被认为是个笑话。

@no1xsyzy 说到底还是降级 http，用户有安全意识或者网站有 hsts 就没事了

@fancy111 把首页整个劫持了，里面登录表单做个一模一样的，但数据提交到其它地方去，或者用 JS 监听输入送到其它地方，方法多着去了
HTTPS 必须是一个完整的东西，一个站点有任何一个小地方不是 HTTPS 的就会变成突破口，整个完蛋

@mxT52CRuqR6o5 我 #24 是补充 #8 的

@mxT52CRuqR6o5
@mercury233
时至今日，依然有用户使用不支持 HSTS 的浏览器
也不是每个网站都进了 Preload List。

@otakustay 你说的这个 hsts 可解决，另外 chrome 访问自家网站证书都验的可严了，根证书随你装，压根不认的

@no1xsyzy 这就是另一个层面的问题了，现有技术还是可以保证安全的

@fancy111 #12 首页没 https 没用啊，首页完全一样，然后提交表单到其他的 url，这不是被坑了吗

@no1xsyzy caniuse 上说安卓从 4.4 支持 hsts，不支持 hsts 的设备现在这个时间点应该是非常少的，至于网站不使用最新的安全技术正是楼主所说的问题

@mxT52CRuqR6o5 HSTS 了就没有“只要登录是 HTTPS”这回事了，HSTS 的前提就是全面 HTTPS

@mxT52CRuqR6o5 是指移动设备

所以说还是没人能解释 @fancy111 说的“把 HTTPS 网页的内容改掉”除了假证书有什么办法，以及有 https 加密时中间人怎么获取 cookie

@mercury233 我来给你解释吧，连上 wifi 相当于做了一层转发，想要改客户端看到的信息很简单，最可行的方式是直接劫持 DNS，给你看到的银行网站是假的而域名是真的。另外加假证书后客户端是无法知道的，他根本没理解，以为是在手机上装。

@fancy111 那都是 HTTP 时代的手段，ip 没能提供有效的对应域名的证书浏览器不会认的，然后这年头找个无视假证书的客户端挺难的吧，程序员得多没有安全意识又多钻牛角尖才既不验证证书又不用现成的 https 库