V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ichanne
V2EX  ›  分享发现

京东 App 里的修改密码页面是被劫持了吗?

  •  
  •   ichanne · 2016-07-18 15:32:38 +08:00 · 2006 次点击
    这是一个创建于 3049 天前的主题,其中的信息可能已经有所发展或是发生改变。

    联通 4G 用户,京东 App 修改密码页面,这是被劫持了吗?这个广告弹窗的风格和内容明显不是大厂风格啊。

    10 条回复    2016-07-19 19:51:19 +08:00
    paradoxs
        1
    paradoxs  
       2016-07-18 15:37:05 +08:00
    这是最新版的 JD 客户端吗?
    ichanne
        2
    ichanne  
    OP
       2016-07-18 16:01:50 +08:00
    @paradoxs 必须啊,我的 App Store 开了自动更新
    yyyle
        3
    yyyle  
       2016-07-18 16:10:30 +08:00
    paw
        4
    paw  
       2016-07-18 16:17:49 +08:00
    不要惊讶,京东除了需要输入密码的页面其他全站 HTTP ,包括 APP 也是直接走 http ,也就是运行商想劫持就劫持,你在京东买了什么、有多少钱包括你的 cookie 都能拿到的,。

    如果京东再没使用 htst ,甚至可以直接对输入密码的页面降级攻击,直接你密码都能拿到,,,,

    京东整天给我推理财广告,打开看其中有一条还是“强加密,保证你的安全”什么的 , 马丹 我都快笑喷了

    估计京东是国内一二线厂商最不注意安全的了,这理财 不敢用

    给他们提过 N 次意见,没见改进....
    paw
        5
    paw  
       2016-07-18 16:21:48 +08:00
    哈,刚看了下 ,京东没有使用 htst ,也就是你输入密码的页面可能也是运营商 /黑客劫持过的.....
    yexm0
        6
    yexm0  
       2016-07-18 16:24:09 +08:00 via Android
    额,苹果不是要求 https 的吗?
    ichanne
        7
    ichanne  
    OP
       2016-07-18 16:44:44 +08:00
    @paw 是啊,这个修改页面谁敢用啊,修改的密码肯定能被劫持啊
    @yexm0 明年才强制
    @yyyle 应该是运营商劫持的
    CloudnuY
        8
    CloudnuY  
       2016-07-19 15:09:31 +08:00
    好多 APP 里面的部分页面都是直接用的 Webview ,而且没上 https ,被运营商劫持的严重到代码冲突,页面无法显示 -。-
    ichanne
        9
    ichanne  
    OP
       2016-07-19 17:14:20 +08:00 via iPhone
    @CloudnuY 一个好的 iOS 面试题来了,如何避免 WebView 劫持😂
    20150517
        10
    20150517  
       2016-07-19 19:51:19 +08:00
    @paw 啥叫 htst 能解释下么?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2398 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 01:21 · PVG 09:21 · LAX 17:21 · JFK 20:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.