这是一个创建于 2617 天前的主题,其中的信息可能已经有所发展或是发生改变。
查了下是 let's encrypt 的证书,话说这种无审核的滥发机制真的好吗?
钓鱼网站:www.payment-cancellation-subscription.ml
钓鱼网站:www.payment-cancellation-subscription.ml
 |
1
a87150 2017-09-30 23:17:23 +08:00  2
确实是滥发,很多博客都上 https 了,不知道有什么意义
|
 |
2
lzhr 2017-09-30 23:21:12 +08:00 14
并没有违背 HTTPS 的目的啊,
而且看一下证书就知道不是苹果官网了  |
 |
3
nousername2030 2017-09-30 23:23:51 +08:00 1
@a87150 防劫持
|
 |
4
liuminghao233 2017-09-30 23:37:51 +08:00 via iPhone 5
要是钓鱼站上了 EV 那才算大新闻
|
 |
5
leeg810312 2017-09-30 23:38:28 +08:00 via Android 1
ssl 证书也是分类型的,let's encrypt 的证书不验证站点所有者,所以怎么能叫烂发?
|
 |
6
marenight 2017-09-30 23:39:23 +08:00 11
https 是防止你的信件在传递的过程中被人窥探、调包,不是保证通信对象是个好人。
|
 |
7
dbw9580 2017-09-30 23:41:57 +08:00 via Android 13
《在 domain validation 寻找钓鱼防护是否搞错了什么》
|
 |
8
wdlth 2017-10-01 00:03:52 +08:00
请先认准 Symantec Class 3 EV SSL
|
 |
9
LukeChien 2017-10-01 00:09:36 +08:00 via Android
只是个 dv 的证书而已
|
 |
10
olOwOlo 2017-10-01 00:09:57 +08:00
let's encrypt 提供的是 DV。。。
EV 证书才需要提交各种材料审核。 |
 |
11
RobertYang 2017-10-01 00:14:19 +08:00 via Android
@a87150 随便上 ev 才是滥发
|
 |
12
Vizogood 2017-10-01 00:16:51 +08:00 via Android
这个不叫做滥发吧?
HTTPS 不是保证服务端营业资格的大兄弟 |
 |
13
nfroot 2017-10-01 00:57:00 +08:00 7
不实名认证,你说滥用
有实名认证,你说不自由 别扯什么 HTTPS,HTTPS 跟这个没关系,注册域名的时候就应该拦下来 这不就是国内正在做的吗? |
 |
14
hjc4869 2017-10-01 01:02:30 +08:00 3
然后 Chrome 还加个“🔒安全”
|
 |
15
LanFomalhaut 2017-10-01 01:48:44 +08:00
paypal 的钓鱼网站好多就用了 lets 之前就在微博上有讨论到这个话题的..
|
 |
16
kaneg 2017-10-01 07:30:04 +08:00 via iPhone
https 只是提供端对端的通信安全,是好人用还是坏人用,它是爱莫能助。况且,坏人难道就不能买高价的赛门铁克的证书吗?
|
 |
17
yongyuhi 2017-10-01 08:31:12 +08:00 via Android
@kaneg 凭啥让坏人买! 找你们这种理论,徐玉玉被骗完全是活该,坏人凭啥不能搞诈骗,坏人搞诈骗完全是促进就业,增加 GDP,顺便还能消灭些弱智。
乱发 HTTPS 结果导致 HTTPS 就成了垃圾.。 |
 |
19
woshixiaohao1982 2017-10-01 08:54:41 +08:00
@hjc4869 保证你跟网站的通信安全,不保证网站的安全,,万维网的初衷就是去中心化 开放式 的
|
 |
20
stebest 2017-10-01 08:57:13 +08:00 via Android
主要是加密防劫持,这跟什么网站没关系,也不叫滥发
|
 |
21
Trim21 2017-10-01 08:59:29 +08:00 via iPhone
@yongyuhi 一个刚买的域名要申请免费证书,发还是不发?怎么判断他是坏人呢?
还是说 不能证明的都按坏人处理,不给发,上传营业资质等等的才给发吗 |
 |
22
quxiangxuanqxx 2017-10-01 09:01:55 +08:00 via Android 1
要找什么有关部门证明我是好人,网信办吗,在线等,急
|
 |
23
taresky 2017-10-01 09:14:45 +08:00 via iPhone
搞笑,用个 https 都变成滥发了。
你把 let's encrypt 买下来不就好了。 |
 |
24
15015613 2017-10-01 09:25:09 +08:00 via Android 2
@yongyuhi
他不干坏事之前你怎么知道他是坏人,疑罪从无不是最基本的吗? 现在他搞钓鱼,向 Let's encrypt 举报吊销他的证书不就可以了。 另外这事和徐玉玉那事完全不一样呀!硬扯到一起,不知道想干什么。 |
 |
26
Quaintjade 2017-10-01 09:56:38 +08:00 via Android 1
|
 |
27
v1024 2017-10-01 09:57:12 +08:00 via iPhone
滥发你大爷
|
 |
29
hhhaa 2017-10-01 10:15:06 +08:00 via Android
看了 lz 的帖子和回复,呵呵哒。block
|
|
30
hjc4869 2017-10-01 10:45:00 +08:00 via Android
@woshixiaohao1982 问题是他没说是通信安全还是内容安全啊,小白又不懂,看见安全两个字就输密码了,这不是很正常的思维吗
|
 |
31
darrh00 2017-10-01 11:02:32 +08:00 2
看了回复发现,做钓鱼网站的也在 v2 蹲点啊, 发个牢骚就触动你们的神经了。。.
|
 |
34
expy 2017-10-01 12:45:09 +08:00
请区分域名型证书 (DV)/企业型证书 (OV)/增强型证书 (EV)
|
 |
35
byuc 2017-10-01 13:25:15 +08:00
审核?上传营业执照跟身份证?你又说不自由,没隐私。
不审核,你又说滥发。 真难侍候。 |
 |
36
dndx 2017-10-01 13:27:37 +08:00
想身份认证上 EV 证书,DV 的谈什么细致审核。
|
|
37
byuc 2017-10-01 13:30:01 +08:00
@yongyuhi
说得好,说得对,就不应该给坏人买,问题是,你如何去判断购买者是好人还是坏人? 购买前要去公安局开无犯罪证明?还是怎么样? 你要是能找到“判断购买者是好人还是坏人”这个问题的完美解决方案,估计人类文明会发展一大步。还能编入教科书呢! |
|
38
woshixiaohao1982 2017-10-01 13:35:42 +08:00
@hjc4869 你要是抠这个 我也没办法,,
|
 |
39
xavierskip 2017-10-01 13:44:32 +08:00
良民证找哪个部门办?急,在线等、
|
|
40
yongyuhi 2017-10-01 13:45:10 +08:00 via Android
@byuc 怎么不能,美国买手机号还要社保号才行,买武器还要背景审查,找你这样说,完全让可以让人随便买啊,没做坏事前就是好的温和恐怖分子啊
@Quaintjade @15015613 徐玉玉要是没死,是不是就成了温和诈骗分子。 |
|
41
yongyuhi 2017-10-01 13:46:57 +08:00 via Android
@woshixiaohao1982 不懂就翻翻历史,万维网最初用于军事目的。
|
|
42
woshixiaohao1982 2017-10-01 13:48:31 +08:00
@yongyuhi 那是 Internet 谢谢 不是万维网 www
|
|
43
yongyuhi 2017-10-01 13:50:48 +08:00 via Android
@woshixiaohao1982 万维网是 Internet 的前身,根域名服务器也是在政府手中啊。
|
 |
44
choury 2017-10-01 13:51:18 +08:00 via Android
看来很多人弄不明白 security 和 safety 的区别
|
|
45
nousername2030 2017-10-01 13:53:01 +08:00
@yongyuhi 为什么最基本的安全通信也要变成成本比较高的一件事。钓鱼网站内容鉴别完全可以由浏览器完成,也完全可以通过提高网民的安全意识来防范。
|
|
46
choury 2017-10-01 13:58:19 +08:00
@yongyuhi #45 苹果的消息也是加密的,也被称为宣称为安全,照你这么说你被苹果的 imessage 诈骗了就要怪苹果没审核,给坏人用了吗?说白了它们这里宣称的安全是 security,其实中文和加密更相近,而不是你认为的 safety,只是用中文没法区分罢了
|
 |
47
also24 2017-10-01 14:00:18 +08:00
也许和许多浏览器将 https 标定为 “安全” 有关,许多人错误理解了 https 的作用。
 |
|
48
also24 2017-10-01 14:01:24 +08:00
 |
|
49
hjc4869 2017-10-01 14:04:13 +08:00 1
@woshixiaohao1982 如果它多写两个字,把话说完,显示“安全连接”,会上当的人估计要少一半。但是“安全”二字后面紧跟网址,这个安全谁也不知道到底是在修饰什么,你把自己放在普通人的角度看看,就会发现问题很大。
|
|
50
byuc 2017-10-01 14:05:47 +08:00 1
@yongyuhi
哦,那就是去公安局开无犯罪证明了? 美国买手机号还要社保号,依旧有人用于诈骗。 买武器还要背景审查,依旧枪击案频发。 事实上,这种审查没有解决“只能卖给好人,不能卖给坏人”的问题。而且也说不是唯一的贩卖渠道。别人还要去别处卖。解决了你提出“只能卖给好人”的问题了吗? 要解决这个问题,你怕不是活在梦里。 另外 HTTPS 是为使用者服务的,而不是为访问者服务的。它保证的是通讯过程的安全保密,不被劫持,也保证了忠实显示内容。 |
|
51
nousername2030 2017-10-01 14:07:32 +08:00
@hjc4869 Secure 在英文里问题不大,中文的歧义比较明显,其实改成“加密”会好很多。
|
 |
52
xrui 2017-10-01 14:13:21 +08:00 via iPhone 2
令人想到 food safety 和 food security
一个是真的是食品安全问题,一个是食品供应保障问题 |
 |
53
usernametoolong 2017-10-01 14:47:30 +08:00
想要一劳永逸解决的这事情,只能把人类全部崩掉。
|
 |
54
sobigfish 2017-10-01 14:59:42 +08:00
@also24 是的,chrome 在这个提示上有误导无知群众的风险,上次在证书相关的 issue 里给他们提过不要写密码和信用卡,结果
被删了! https://bugs.chromium.org/p/chromium/issues/detail?id=663971 |
|
56
yongyuhi 2017-10-01 16:49:05 +08:00 via Android
@byuc
你这么扯半天,美国既没有废除社保号,也没有取消购买武器背景审查。 美国现在还要审查入美人员的社交网络信息。 HTTPS 是维护通信安全,但不维护恐怖分子的通信安全。 这就是事实,大量的 HTTPS 用于诈骗,各国政府政府更有理由推进实名制。 实际上美德现在都在推进,包括跟随中国一样部署大规模人脸识别系统。 |
 |
57
woshinide300yuan 2017-10-01 17:38:54 +08:00 1
我理解的是,证书只是保证网站传输安全,并不保证网站的内容是安全的。
|
|
58
Quaintjade 2017-10-01 17:45:43 +08:00 via Android 2
@yongyuhi
DV 本来就只保障域名正确性和通讯不被中间人截获,诈骗关 DV 毛事。DV 不作更多验证并不会导致诈骗情况更糟,有问题的是浏览器的标识。 社会上什么事就该由对应的什么人去处理。 你卖根网线难道还要查验对方是不是企图用网线勒死他人? 你卖个安全门锁结果别人搭到电源上电死了,所以是你的门锁不安全? 你卖根安全挂绳结果别人拿去玩蹦极摔死了,所以也是你的绳索不安全? |
|
59
stebest 2017-10-01 17:55:46 +08:00 via Android 1
@all 我觉得,在 let's 封掉钓鱼网站之前,V2 应该先封了某些蠢货。楼主发布引战话题,蠢货发布引战言论,各位还有必要争辩不休么?
|
 |
62
viko16 2017-10-01 21:14:28 +08:00 via Android
360 存在的意义 2333
|
 |
63
sexrobot 2017-10-01 21:23:43 +08:00
钓鱼网站不需要安全吗?
|
 |
64
wavingclear 2017-10-01 22:26:12 +08:00
@sexrobot 角度刁钻
|
|
65
byuc 2017-10-01 22:40:11 +08:00
@yongyuhi
但是,你扯了这么半天,既没有废除社保号,也没有取消购买武器背景审查的美国,依旧没有解决诈骗和枪击案的频发。他们依旧将你所认为能维护安全的东西贩卖给坏人,并让坏人为止行恶。按照你的逻辑,美国是不是需要为徐玉玉案负责? 醒醒,别活在梦里了。要是这个世界目前能有一种完美机制识别一个刚刚出生的人是坏人与好人的东西,就不需要门禁,银行也不需要密码,程序员也不需要再验证用户数据了。 事实上没有做到。 ssl 不是用来提高用户智商的,就好像银行的密码是为了保证你的钱不被别人取出。它才不管要取钱的是好人还是坏人,还是忘记密码的主人。 |
 |
66
skylancer 2017-10-01 22:58:12 +08:00
@yongyuhi 你搞笑吧,https 只保证通信安全而已。要安全你为什么不去核对 EV,现代浏览器都会把 EV 标识出来,如果一个银行网站都不舍得用 EV,那就是垃圾无疑
|
 |
67
TankyWoo 2017-10-01 23:21:04 +08:00
LE 的目的就是为了实现全民 https 啊
|
|
68
yongyuhi 2017-10-01 23:40:43 +08:00 via Android
|
|
69
byuc 2017-10-01 23:57:12 +08:00
@yongyuhi
噗,“摄像头啊,ATM 都部署有摄像头解决了“这个摄像头,实现了“不能卖给坏人只能卖给好人”的天真想法了吗? 要是能解决这个问题,检察院和法院都要下岗了,直接在面试的时候只让好人任职,不让坏人任职就好了,从此国泰民安。 一来“不能卖给坏人”这个命题在一定程度上是无法实现的,产品本身无法判断一个人是否曾经作恶,也无法判断他未来是否会作恶。 二来,ssl 的安全性作用本身就与这个无关。 整帖子本数都在说你,你心里就没点*数?别再回复了。 |
|
71
yongyuhi 2017-10-02 07:20:22 +08:00 via Android
@byuc 谁没点数?显而易见的道理居然好要给你解释,滥发就是滥发,总有一天,HTTPS 会成为钓鱼诈骗的代名词。
到时老百姓会主动要求政府监管,就像实名制一样,嘴上很多人 jjyy,实际上都很支持。 |
 |
72
swulling 2017-10-02 08:23:28 +08:00 via iPhone
现代政治最大的问题就是,很多人类不在乎自己的权利和自由,目光短浅,天生巨婴欠管。
这种人你跟他提什么自由都是扯淡,老老实实直接打良民证,他过的还挺好。 |
|
73
swulling 2017-10-02 08:25:40 +08:00 via iPhone
|
|
74
byuc 2017-10-02 09:18:29 +08:00
@yongyuhi
正如 74 楼所言,电信实名制那么多年,解决垃圾短信,电话诈骗问题了么? 菜刀实名制购买那么久,解决了用菜刀砍人的事件么? 美国做得那么好,今天怎么又发生了枪击案? 都证明所谓的“只卖给好人,不能卖给好人”这种天真想法只能是天荒夜谈。 按照你的逻辑,ssl 就是滥发,身份证也是滥法。为什么坏人就有身份证了呢? 对吧,你简直就是在搞笑。 |
 |
75
tangyang 2017-10-02 10:26:08 +08:00
淘宝上帮做 HTTPS 的大概 100 元不到就可以搞定···包括证书和配置
|
 |
78
oszlso 2017-10-02 10:55:22 +08:00
这不叫滥发啦~~~
|
 |
80
zzj0311 2017-10-02 11:10:14 +08:00 via Android
感觉楼主的意思是,apple 用户都是**?
|
 |
81
edsheeran 2017-10-02 11:12:53 +08:00 via iPhone
书嘛不读 b 嘛乱装
lz 多读点书再来发帖吧 |
 |
82
ariza 2017-10-02 11:24:08 +08:00
pornhub 都上很久了
|
|
83
RobertYang 2017-10-02 11:24:46 +08:00 via Android
@wwhc 晚上睡觉想的
|
 |
84
CecilFang 2017-10-02 15:45:41 +08:00
chrome 上面的安全的意思并不是传统意义的安全而是对于数据交换双方来讲的“数据安全”
|
 |
85
ErnestChan 2017-10-03 01:17:30 +08:00 via Android
我觉得用“网络信息高速”这个比喻,HTTTPS 保证你的路是对的,不会把导航给你换了,也不会悄悄往你的车里塞东西。但是它不保证你要去的房子里面有没有坏人拿着刀等你。它保证的是传输过程不是给站长发良民证。
|
Select Language