首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

为什么V2EX login没有使用SSL

  •  
  •   dcoder · 2013-02-01 03:51:36 +08:00 · 3077 次点击
    这是一个创建于 2389 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这两天在研究login的东西,发现很多著名的网站比如 StackOverflow, V2EX 等login时候输入的password都是没有用端到端加密的(没有用SSL), 那就是说中间router很容易看到这些明文password啦。没有这方面的担心吗。
    11 回复  |  直到 1970-01-01 08:00:00 +08:00
        1
    Livid   V2EX Moderator   2013-02-01 03:56:59 +08:00
    你提到的这个,是我们接下来确实需要做的一件事情。
        2
    tokki   2013-02-01 03:57:30 +08:00 via Android
    可能是没钱吧。。。
        3
    dcoder   2013-02-01 03:57:59 +08:00
    @Livid 知道了 :)
        4
    tokki   2013-02-01 04:02:07 +08:00 via Android
    以前的v2没有充值的功能 感觉对安全性没那莫高的要求
    从现在的功能上来看 越来越有必要了 livid分享下ssl 那些东西现在都是怎么弄的 一个证书要多大的开销
        5
    Livid   V2EX Moderator   2013-02-01 04:02:48 +08:00   ♥ 1
    @tokki 证书其实还好,ORCA.io 用的 GeoTrust Wildcard 也就差不多两年 800 美金而已。
        6
    Livid   V2EX Moderator   2013-02-01 04:11:27 +08:00
    @tokki 充值过程中,信用卡信息发送到 Stripe 的整个过程,是通过 SSL 的,而且没有任何信用卡相关的信息经过或者保存在 V2EX.com
        7
    dndx   2013-02-01 04:23:18 +08:00 via iPad
    @Livid 这里有一个隐患,在未启用 SSL 的情况下,假如中间人替换了充值页面里 Stripe JS 的 src ,那么用户就会不知不觉将信用卡信息发给钓鱼者。
        8
    wy315700   2013-02-01 08:29:05 +08:00
    我现在感觉所有保存用户cookies 的网站都应该用ssl
    防止被嗅探
        9
    fsw90628   2013-02-04 17:15:15 +08:00
    rapidssl 更便宜
        10
    Livid   V2EX Moderator   2013-02-15 16:40:15 +08:00
    现在 V2EX 的登录页面上已经可以选择通过 https 登录:

    https://www.v2ex.com/t/60391
        11
    xinhugo   2013-03-03 02:46:42 +08:00
    @Livid

    能否实现对用户来说透明的:登录部分HTTPS访问,其他部分HTTP访问?这可能需要一个用于登录的子域名。

    另外,能否提供「感谢」的确认按钮,避免误点?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2090 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 18ms · UTC 07:02 · PVG 15:02 · LAX 00:02 · JFK 03:02
    ♥ Do have faith in what you're doing.