V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
pipinstallpy
V2EX  ›  程序员

我以为这种金融机构网站都是强制使用 HTTPS 的,没想到平安银行 web 端竟然没有强制使用

  •  
  •   pipinstallpy · 2023-07-29 10:57:13 +08:00 · 4200 次点击
    这是一个创建于 474 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Snip20230729_1.png

    31 条回复    2023-07-30 13:07:03 +08:00
    cssk
        1
    cssk  
       2023-07-29 11:09:39 +08:00
    有 ssl ,只是普通页面没有强制跳转 ssl 而已,网银页面就强制 ssl 了
    bybyte
        2
    bybyte  
       2023-07-29 11:10:27 +08:00
    我试了一下,登录页面那里就强制使用 https 了
    nzynzynzy
        3
    nzynzynzy  
       2023-07-29 11:11:44 +08:00 via iPhone
    登陆页面开始强制。我以前某一分钟和你有一样的疑惑
    xmumiffy
        4
    xmumiffy  
       2023-07-29 11:12:28 +08:00 via Android
    大部分银行都没做
    opentrade
        5
    opentrade  
       2023-07-29 11:25:37 +08:00
    中国银行需要 https 吗?不都是要安装插件。
    jim9606
        6
    jim9606  
       2023-07-29 12:04:02 +08:00   ❤️ 2
    现在四大行只剩建行那么逆天在主站禁用 HTTPS 了,用了也给你跳转回去的那种。
    然后建行的手机银行也是最反人类的风控。
    leido
        7
    leido  
       2023-07-29 12:14:38 +08:00   ❤️ 1
    @jim9606 招行和交行 it 不见得比四大差
    PaulSamuelson
        8
    PaulSamuelson  
       2023-07-29 12:22:10 +08:00
    这不就体现出了“弱势”群体的弱了么
    slack
        9
    slack  
       2023-07-29 13:08:43 +08:00
    居然不是全站 HTTPS ?银行这种单位居然不用 HSTS ?
    Biggoldfish
        10
    Biggoldfish  
       2023-07-29 13:22:09 +08:00   ❤️ 17
    正常网站都应该强制 HTTPS 了,这种还用着 HTTP 的银行完全没有安全意识可言

    人家直接把你首页中间人了,把登录按钮劫持去钓鱼网站,你在真正的登录页面搞 HTTPS 有啥用
    flyqie
        11
    flyqie  
       2023-07-29 14:33:53 +08:00 via Android
    @Biggoldfish #10

    确实。。
    x77
        12
    x77  
       2023-07-29 15:01:16 +08:00
    似乎嗅到一股商机。

    试想,我在星巴克开着 WiFi 热点(名称和星巴克的一模一样),我的信号强度高,别人会自动连上我的热点,这很容易办法。

    然后,我的电脑里什么行都有,DNS 我也就给你指向我开的银行,尽管来登录吧。
    ruochen666
        13
    ruochen666  
       2023-07-29 15:05:17 +08:00
    @x77 太刑了
    findme
        14
    findme  
       2023-07-29 15:13:16 +08:00
    @x77 教唆罪,是指以劝说、利诱、授意、怂恿、收买、威胁等方法,将自己的犯罪意图灌输给本来没有犯罪意图的人,致使其按教唆人的犯罪意图实施犯罪,教唆人,即构成教唆犯罪。
    t41372
        15
    t41372  
       2023-07-29 15:17:07 +08:00
    @x77 《商机》
    yvkino
        16
    yvkino  
       2023-07-29 15:23:52 +08:00
    等个大佬实操
    rsy
        17
    rsy  
       2023-07-29 15:26:20 +08:00 via Android
    这年头还用电脑浏览器处理银行业务的个人用户已经基本没有了,而且银行系统基本上都是不出问题就不会轻易去动的,要不是智能手机普及带来的移动端浪潮,各家银行好歹都新做了手机 APP ,不然用老古董的网银,弄不好还得在电脑装上各家银行的网银助手,只能用 IE 浏览器来转账呢
    Rache1
        18
    Rache1  
       2023-07-29 15:38:10 +08:00
    @findme #14 这不更像 “传授犯罪方法罪”
    lxcopenwrt
        19
    lxcopenwrt  
       2023-07-29 15:40:33 +08:00
    登录页面就有 https 了,但之前建行还在用 RSA 这种没有前向保密的密钥交换方式我也是服了,刚刚去看了一下终于用上了 ECDHE 这个安全密钥交换方式了,但就是不用 X25519 椭圆曲线还在用 P256 ,不知道这条曲线疑似有 NSA 后门?
    SunsetShimmer
        20
    SunsetShimmer  
       2023-07-29 15:54:00 +08:00 via Android
    @x77 这都老生常谈了。
    x77
        21
    x77  
       2023-07-29 16:33:47 +08:00
    @findme 如果你痛恨五彩缤纷的世界,那你看到的都是丑恶
    xshell
        22
    xshell  
       2023-07-29 16:36:09 +08:00
    公共 wifi 进网银等等直接切 4/5G
    boshok
        23
    boshok  
       2023-07-29 16:36:37 +08:00
    @jim9606 #6 建行的手机银行最差,没有之一。
    snw
        24
    snw  
       2023-07-29 16:44:55 +08:00 via Android
    @rsy
    讲个笑话,部分银行官网的手机 app 下载页也没有上 https ,要是存在恶意中间人的话可以直接给用户装上钓鱼 app
    AyaseEri
        25
    AyaseEri  
       2023-07-29 16:50:25 +08:00
    PC 端早就是不如狗的地位了,银行懒得处理也是很正常的。
    包括各位狂吹的招行,功能早就往移动端迁了。PC 端单纯就不像阿里那么激进直接给你屏蔽了。
    snw
        26
    snw  
       2023-07-29 16:53:15 +08:00 via Android
    @snw
    还有一些银行的手机短信短链接也没加 https (点名招行)
    tin3w5
        27
    tin3w5  
       2023-07-29 18:00:27 +08:00 via iPhone   ❤️ 2
    @x77 十年前在学校的时候就玩烂的东西了。老师上课点名,不想让点名数据 post 成功,就在教室里搞 arp 攻击。老师登录的点名平台就是伪造的,不仅当时看不出来问题,还能顺带抓一波老师的常用密码。
    liyhu
        28
    liyhu  
       2023-07-29 22:22:21 +08:00
    就是这么烂
    fox0001
        29
    fox0001  
       2023-07-30 02:30:22 +08:00 via Android
    @tin3w5 #26 局域网内,应该可以直接嗅探同网段的所有 http 请求,包括 post 的明文数据。不用伪造平台这么麻烦吧?
    tin3w5
        30
    tin3w5  
       2023-07-30 02:39:15 +08:00 via iPhone
    @fox0001 要的是让老师不要把点名信息 post 到真的服务器上😂
    touchmii
        31
    touchmii  
       2023-07-30 13:07:03 +08:00 via Android
    @jim9606 农行也是不遑多让
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3026 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 14:27 · PVG 22:27 · LAX 06:27 · JFK 09:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.