这是一个创建于 2631 天前的主题,其中的信息可能已经有所发展或是发生改变。
- https://mail.163.com/ 会强行跳转到 http
- 页面上显示「正使用 SSL 登录」,然而只是在 http 页面里面用了一个 https 的 iframe
- 攻击者只要篡改 http 页面,即可轻易伪造登录框
所以,网易的同学为什么不在 mail.163.com 开启 https 访问?
 |
1
zrt 2017-08-27 17:22:44 +08:00
好像 https://mail.163.com/ 可以用,就是广告加载不出来?
|
 |
2
FrankFang128 OP 我打开直接变成 http
@zrt |
 |
3
zsj950618 2017-08-27 22:17:47 +08:00
所以为什么还要用网易邮箱?
|
 |
4
solidsnake 2017-08-27 22:25:39 +08:00 via iPhone
网易用的老流氓的证书
|
|
5
FrankFang128 OP @zsj950618 只是想嘲讽一下网易的开发。我用 Gmail + QQ
|
 |
6
Hardrain 2017-08-28 20:08:26 +08:00
网易邮箱登录时的 POST 包似乎走了 SSL
但是这种页面本身用 http 且还有走 http 的 JS 的 一被注入岂不完蛋 明文的凭据都能获取到吧 |
 |
7
benjix 2017-10-09 16:57:50 +08:00
|
|
8
FrankFang128 OP @benjix 有不安全的脚本
|
Select Language