首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
华为云
V2EX  ›  程序员

直到现在仍有不少人认为,访问没隐私没价值的网页,不是 HTTPS 问题不大。。。

  •  3
     
  •   mytry · 27 天前 · 9470 次点击

    直到现在,居然仍有不少人(甚至包括做 Web 开发以及安全的),以为只有涉及隐私的网页用 HTTPS 才有意义。随便浏览一个从搜索引擎里点出来的 HTTP 垃圾站对自己并没什么影响。。。

    殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)

    而且国内大部分网站隐私 Cookie 都没加 secure,也极少有网站同时开启 HSTS+includeSubDomains,导致用户 cookie 大片大片的泄露。

    真正了解这个风险并禁用三方 Cookie 的寥寥无几,最悲催的是不少国内大网站都依赖这个,禁用后正常功能都会受影响。。。

    第 1 条附言  ·  27 天前
    另外再提个思考题:为什么加了 HSTS 还要必须加 includeSubDomains 才能避免 Cookie 泄露?(针对非 Secure 的 Cookie )
    103 回复  |  直到 2018-09-28 09:01:55 +08:00
    1  2  
        101
    zhaohao   26 天前
    // Google 安全博客早些时候宣布,2018 年 7 月发布的 Chrome 68 将标记 HTTP 网站为不安全。搜索巨人还计划在搜索结果里降低 HTTP 网站的排名。

    // 资深软件开发者 Dave Winer 批评了 Google 的这一计划,他指出互联网上有很大一部分内容是存档,文件放在那里是没人维护的,没人会去做 Google 想要所有网站去做的事情。这些能正常访问就已经足够了,潜在的好处并不能证明启用 HTTPS 是合理的。

    // 如果 Google 的计划付诸实施并成功了,那么许多存档性的网站将会逐渐无人问津,这就像是数字时代的大规模焚书。大多数存档网站不收集用户数据或者根本没有用户互动,启用不启用 HTTPS 无关紧要。

    // 互联网是一个开放平台,不是一个企业平台,它的定义是其稳定性。Google 和我们一样都是互联网的客人,而客人不能去制定规则。
        102
    houbaron   26 天前 via Android
    你以为你在上互联网?其实数据都是路由器编的。
    你以为你在过日子?其实这是楚门的世界,我们都是拿工资陪你聊天的。
    你以为你还活着?其实都是缸中之脑。
        103
    seven777   25 天前
    @houbaron 缸中之脑,是啥意思?腌猪头?啥味的?五香的?还是麻辣的?
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2221 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 19ms · UTC 14:06 · PVG 22:06 · LAX 07:06 · JFK 10:06
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1