V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
seers
V2EX  ›  Apple

这年头 Apple ID 钓鱼网站都用上 https 了

  •  
  •   seers · 2017-09-30 23:15:14 +08:00 · 8777 次点击
    这是一个创建于 2600 天前的主题,其中的信息可能已经有所发展或是发生改变。
    查了下是 let's encrypt 的证书,话说这种无审核的滥发机制真的好吗?
    钓鱼网站:www.payment-cancellation-subscription.ml
    85 条回复    2017-10-03 01:17:30 +08:00
    a87150
        1
    a87150  
       2017-09-30 23:17:23 +08:00   ❤️ 2
    确实是滥发,很多博客都上 https 了,不知道有什么意义
    lzhr
        2
    lzhr  
       2017-09-30 23:21:12 +08:00   ❤️ 14
    并没有违背 HTTPS 的目的啊,

    而且看一下证书就知道不是苹果官网了
    nousername2030
        3
    nousername2030  
       2017-09-30 23:23:51 +08:00   ❤️ 1
    @a87150 防劫持
    liuminghao233
        4
    liuminghao233  
       2017-09-30 23:37:51 +08:00 via iPhone   ❤️ 5
    要是钓鱼站上了 EV 那才算大新闻
    leeg810312
        5
    leeg810312  
       2017-09-30 23:38:28 +08:00 via Android   ❤️ 1
    ssl 证书也是分类型的,let's encrypt 的证书不验证站点所有者,所以怎么能叫烂发?
    marenight
        6
    marenight  
       2017-09-30 23:39:23 +08:00   ❤️ 11
    https 是防止你的信件在传递的过程中被人窥探、调包,不是保证通信对象是个好人。
    dbw9580
        7
    dbw9580  
       2017-09-30 23:41:57 +08:00 via Android   ❤️ 13
    《在 domain validation 寻找钓鱼防护是否搞错了什么》
    wdlth
        8
    wdlth  
       2017-10-01 00:03:52 +08:00
    请先认准 Symantec Class 3 EV SSL
    LukeChien
        9
    LukeChien  
       2017-10-01 00:09:36 +08:00 via Android
    只是个 dv 的证书而已
    olOwOlo
        10
    olOwOlo  
       2017-10-01 00:09:57 +08:00
    let's encrypt 提供的是 DV。。。
    EV 证书才需要提交各种材料审核。
    RobertYang
        11
    RobertYang  
       2017-10-01 00:14:19 +08:00 via Android
    @a87150 随便上 ev 才是滥发
    Vizogood
        12
    Vizogood  
       2017-10-01 00:16:51 +08:00 via Android
    这个不叫做滥发吧?
    HTTPS 不是保证服务端营业资格的大兄弟
    nfroot
        13
    nfroot  
       2017-10-01 00:57:00 +08:00   ❤️ 7
    不实名认证,你说滥用
    有实名认证,你说不自由

    别扯什么 HTTPS,HTTPS 跟这个没关系,注册域名的时候就应该拦下来

    这不就是国内正在做的吗?
    hjc4869
        14
    hjc4869  
       2017-10-01 01:02:30 +08:00   ❤️ 3
    然后 Chrome 还加个“🔒安全”
    LanFomalhaut
        15
    LanFomalhaut  
       2017-10-01 01:48:44 +08:00
    paypal 的钓鱼网站好多就用了 lets 之前就在微博上有讨论到这个话题的..
    kaneg
        16
    kaneg  
       2017-10-01 07:30:04 +08:00 via iPhone
    https 只是提供端对端的通信安全,是好人用还是坏人用,它是爱莫能助。况且,坏人难道就不能买高价的赛门铁克的证书吗?
    yongyuhi
        17
    yongyuhi  
       2017-10-01 08:31:12 +08:00 via Android
    @kaneg 凭啥让坏人买! 找你们这种理论,徐玉玉被骗完全是活该,坏人凭啥不能搞诈骗,坏人搞诈骗完全是促进就业,增加 GDP,顺便还能消灭些弱智。
    乱发 HTTPS 结果导致 HTTPS 就成了垃圾.。
    Trim21
        18
    Trim21  
       2017-10-01 08:54:23 +08:00 via iPhone
    @hjc4869 而且还丑。。。
    woshixiaohao1982
        19
    woshixiaohao1982  
       2017-10-01 08:54:41 +08:00
    @hjc4869 保证你跟网站的通信安全,不保证网站的安全,,万维网的初衷就是去中心化 开放式 的
    stebest
        20
    stebest  
       2017-10-01 08:57:13 +08:00 via Android
    主要是加密防劫持,这跟什么网站没关系,也不叫滥发
    Trim21
        21
    Trim21  
       2017-10-01 08:59:29 +08:00 via iPhone
    @yongyuhi 一个刚买的域名要申请免费证书,发还是不发?怎么判断他是坏人呢?
    还是说 不能证明的都按坏人处理,不给发,上传营业资质等等的才给发吗
    quxiangxuanqxx
        22
    quxiangxuanqxx  
       2017-10-01 09:01:55 +08:00 via Android   ❤️ 1
    要找什么有关部门证明我是好人,网信办吗,在线等,急
    taresky
        23
    taresky  
       2017-10-01 09:14:45 +08:00 via iPhone
    搞笑,用个 https 都变成滥发了。
    你把 let's encrypt 买下来不就好了。
    15015613
        24
    15015613  
       2017-10-01 09:25:09 +08:00 via Android   ❤️ 2
    @yongyuhi
    他不干坏事之前你怎么知道他是坏人,疑罪从无不是最基本的吗?
    现在他搞钓鱼,向 Let's encrypt 举报吊销他的证书不就可以了。
    另外这事和徐玉玉那事完全不一样呀!硬扯到一起,不知道想干什么。
    stabc
        25
    stabc  
       2017-10-01 09:31:58 +08:00
    @nfroot 这跟 HTTPS 没关系,跟实名认证更没关系。先搞清楚国内实名备案的目的再说。
    Quaintjade
        26
    Quaintjade  
       2017-10-01 09:56:38 +08:00 via Android   ❤️ 1
    @yongyuhi
    Domain Validation 本来就只是认证域名,并不认证身份。认证身份那是 EV 干的事。

    买个扫把还指望它能带你飞上天?
    v1024
        27
    v1024  
       2017-10-01 09:57:12 +08:00 via iPhone
    滥发你大爷
    qcloud
        28
    qcloud  
       2017-10-01 10:03:25 +08:00 via iPhone
    @v1024 哈哈哈哈
    hhhaa
        29
    hhhaa  
       2017-10-01 10:15:06 +08:00 via Android
    看了 lz 的帖子和回复,呵呵哒。block
    hjc4869
        30
    hjc4869  
       2017-10-01 10:45:00 +08:00 via Android
    @woshixiaohao1982 问题是他没说是通信安全还是内容安全啊,小白又不懂,看见安全两个字就输密码了,这不是很正常的思维吗
    darrh00
        31
    darrh00  
       2017-10-01 11:02:32 +08:00   ❤️ 2
    看了回复发现,做钓鱼网站的也在 v2 蹲点啊, 发个牢骚就触动你们的神经了。。.
    Yvette
        32
    Yvette  
       2017-10-01 11:21:38 +08:00 via iPhone
    @darrh00 只是简单地区分概念而已,不要这么带有恶意去揣测动机嘛这位小同志
    ovear
        33
    ovear  
       2017-10-01 12:20:27 +08:00
    @hjc4869 莫名戳中笑点
    expy
        34
    expy  
       2017-10-01 12:45:09 +08:00
    请区分域名型证书 (DV)/企业型证书 (OV)/增强型证书 (EV)
    byuc
        35
    byuc  
       2017-10-01 13:25:15 +08:00
    审核?上传营业执照跟身份证?你又说不自由,没隐私。
    不审核,你又说滥发。

    真难侍候。
    dndx
        36
    dndx  
       2017-10-01 13:27:37 +08:00
    想身份认证上 EV 证书,DV 的谈什么细致审核。
    byuc
        37
    byuc  
       2017-10-01 13:30:01 +08:00
    @yongyuhi

    说得好,说得对,就不应该给坏人买,问题是,你如何去判断购买者是好人还是坏人?

    购买前要去公安局开无犯罪证明?还是怎么样?

    你要是能找到“判断购买者是好人还是坏人”这个问题的完美解决方案,估计人类文明会发展一大步。还能编入教科书呢!
    woshixiaohao1982
        38
    woshixiaohao1982  
       2017-10-01 13:35:42 +08:00
    @hjc4869 你要是抠这个 我也没办法,,
    xavierskip
        39
    xavierskip  
       2017-10-01 13:44:32 +08:00
    良民证找哪个部门办?急,在线等、
    yongyuhi
        40
    yongyuhi  
       2017-10-01 13:45:10 +08:00 via Android
    @byuc 怎么不能,美国买手机号还要社保号才行,买武器还要背景审查,找你这样说,完全让可以让人随便买啊,没做坏事前就是好的温和恐怖分子啊
    @Quaintjade
    @15015613

    徐玉玉要是没死,是不是就成了温和诈骗分子。
    yongyuhi
        41
    yongyuhi  
       2017-10-01 13:46:57 +08:00 via Android
    @woshixiaohao1982 不懂就翻翻历史,万维网最初用于军事目的。
    woshixiaohao1982
        42
    woshixiaohao1982  
       2017-10-01 13:48:31 +08:00
    @yongyuhi 那是 Internet 谢谢 不是万维网 www
    yongyuhi
        43
    yongyuhi  
       2017-10-01 13:50:48 +08:00 via Android
    @woshixiaohao1982 万维网是 Internet 的前身,根域名服务器也是在政府手中啊。
    choury
        44
    choury  
       2017-10-01 13:51:18 +08:00 via Android
    看来很多人弄不明白 security 和 safety 的区别
    nousername2030
        45
    nousername2030  
       2017-10-01 13:53:01 +08:00
    @yongyuhi 为什么最基本的安全通信也要变成成本比较高的一件事。钓鱼网站内容鉴别完全可以由浏览器完成,也完全可以通过提高网民的安全意识来防范。
    choury
        46
    choury  
       2017-10-01 13:58:19 +08:00
    @yongyuhi #45 苹果的消息也是加密的,也被称为宣称为安全,照你这么说你被苹果的 imessage 诈骗了就要怪苹果没审核,给坏人用了吗?说白了它们这里宣称的安全是 security,其实中文和加密更相近,而不是你认为的 safety,只是用中文没法区分罢了
    also24
        47
    also24  
       2017-10-01 14:00:18 +08:00
    也许和许多浏览器将 https 标定为 “安全” 有关,许多人错误理解了 https 的作用。

    also24
        48
    also24  
       2017-10-01 14:01:24 +08:00
    hjc4869
        49
    hjc4869  
       2017-10-01 14:04:13 +08:00   ❤️ 1
    @woshixiaohao1982 如果它多写两个字,把话说完,显示“安全连接”,会上当的人估计要少一半。但是“安全”二字后面紧跟网址,这个安全谁也不知道到底是在修饰什么,你把自己放在普通人的角度看看,就会发现问题很大。
    byuc
        50
    byuc  
       2017-10-01 14:05:47 +08:00   ❤️ 1
    @yongyuhi

    哦,那就是去公安局开无犯罪证明了?
    美国买手机号还要社保号,依旧有人用于诈骗。
    买武器还要背景审查,依旧枪击案频发。

    事实上,这种审查没有解决“只能卖给好人,不能卖给坏人”的问题。而且也说不是唯一的贩卖渠道。别人还要去别处卖。解决了你提出“只能卖给好人”的问题了吗?

    要解决这个问题,你怕不是活在梦里。

    另外 HTTPS 是为使用者服务的,而不是为访问者服务的。它保证的是通讯过程的安全保密,不被劫持,也保证了忠实显示内容。
    nousername2030
        51
    nousername2030  
       2017-10-01 14:07:32 +08:00
    @hjc4869 Secure 在英文里问题不大,中文的歧义比较明显,其实改成“加密”会好很多。
    xrui
        52
    xrui  
       2017-10-01 14:13:21 +08:00 via iPhone   ❤️ 2
    令人想到 food safety 和 food security
    一个是真的是食品安全问题,一个是食品供应保障问题
    usernametoolong
        53
    usernametoolong  
       2017-10-01 14:47:30 +08:00
    想要一劳永逸解决的这事情,只能把人类全部崩掉。
    sobigfish
        54
    sobigfish  
       2017-10-01 14:59:42 +08:00
    @also24 是的,chrome 在这个提示上有误导无知群众的风险,上次在证书相关的 issue 里给他们提过不要写密码和信用卡,结果
    被删了!
    https://bugs.chromium.org/p/chromium/issues/detail?id=663971
    UnknownR
        55
    UnknownR  
       2017-10-01 15:55:22 +08:00
    @lzhr 大部分 apple 用户都不会看
    yongyuhi
        56
    yongyuhi  
       2017-10-01 16:49:05 +08:00 via Android
    @byuc
    你这么扯半天,美国既没有废除社保号,也没有取消购买武器背景审查。
    美国现在还要审查入美人员的社交网络信息。
    HTTPS 是维护通信安全,但不维护恐怖分子的通信安全。
    这就是事实,大量的 HTTPS 用于诈骗,各国政府政府更有理由推进实名制。
    实际上美德现在都在推进,包括跟随中国一样部署大规模人脸识别系统。
    woshinide300yuan
        57
    woshinide300yuan  
       2017-10-01 17:38:54 +08:00   ❤️ 1
    我理解的是,证书只是保证网站传输安全,并不保证网站的内容是安全的。
    Quaintjade
        58
    Quaintjade  
       2017-10-01 17:45:43 +08:00 via Android   ❤️ 2
    @yongyuhi
    DV 本来就只保障域名正确性和通讯不被中间人截获,诈骗关 DV 毛事。DV 不作更多验证并不会导致诈骗情况更糟,有问题的是浏览器的标识。

    社会上什么事就该由对应的什么人去处理。
    你卖根网线难道还要查验对方是不是企图用网线勒死他人?
    你卖个安全门锁结果别人搭到电源上电死了,所以是你的门锁不安全?
    你卖根安全挂绳结果别人拿去玩蹦极摔死了,所以也是你的绳索不安全?
    stebest
        59
    stebest  
       2017-10-01 17:55:46 +08:00 via Android   ❤️ 1
    @all 我觉得,在 let's 封掉钓鱼网站之前,V2 应该先封了某些蠢货。楼主发布引战话题,蠢货发布引战言论,各位还有必要争辩不休么?
    i730
        60
    i730  
       2017-10-01 21:00:46 +08:00
    @a87150 #1 博客意义很好好,为什么个人博客,钓鱼网站就不能 https 了?又不是 OV/EV 的企业认证
    i730
        61
    i730  
       2017-10-01 21:02:37 +08:00
    @yongyuhi #17 凭啥不让买?凭啥你说说?
    viko16
        62
    viko16  
       2017-10-01 21:14:28 +08:00 via Android
    360 存在的意义 2333
    sexrobot
        63
    sexrobot  
       2017-10-01 21:23:43 +08:00
    钓鱼网站不需要安全吗?
    wavingclear
        64
    wavingclear  
       2017-10-01 22:26:12 +08:00
    @sexrobot 角度刁钻
    byuc
        65
    byuc  
       2017-10-01 22:40:11 +08:00
    @yongyuhi
    但是,你扯了这么半天,既没有废除社保号,也没有取消购买武器背景审查的美国,依旧没有解决诈骗和枪击案的频发。他们依旧将你所认为能维护安全的东西贩卖给坏人,并让坏人为止行恶。按照你的逻辑,美国是不是需要为徐玉玉案负责?

    醒醒,别活在梦里了。要是这个世界目前能有一种完美机制识别一个刚刚出生的人是坏人与好人的东西,就不需要门禁,银行也不需要密码,程序员也不需要再验证用户数据了。

    事实上没有做到。

    ssl 不是用来提高用户智商的,就好像银行的密码是为了保证你的钱不被别人取出。它才不管要取钱的是好人还是坏人,还是忘记密码的主人。
    skylancer
        66
    skylancer  
       2017-10-01 22:58:12 +08:00
    @yongyuhi 你搞笑吧,https 只保证通信安全而已。要安全你为什么不去核对 EV,现代浏览器都会把 EV 标识出来,如果一个银行网站都不舍得用 EV,那就是垃圾无疑
    TankyWoo
        67
    TankyWoo  
       2017-10-01 23:21:04 +08:00
    LE 的目的就是为了实现全民 https 啊
    yongyuhi
        68
    yongyuhi  
       2017-10-01 23:40:43 +08:00 via Android
    @byuc 银行有摄像头啊,ATM 都部署有摄像头啊,到银行办理业务有时还待有身份证,
    你是不是活在梦里面啊。
    你是恐怖分子,有银行密码就能在中国取出钱???!!!
    byuc
        69
    byuc  
       2017-10-01 23:57:12 +08:00
    @yongyuhi
    噗,“摄像头啊,ATM 都部署有摄像头解决了“这个摄像头,实现了“不能卖给坏人只能卖给好人”的天真想法了吗?
    要是能解决这个问题,检察院和法院都要下岗了,直接在面试的时候只让好人任职,不让坏人任职就好了,从此国泰民安。
    一来“不能卖给坏人”这个命题在一定程度上是无法实现的,产品本身无法判断一个人是否曾经作恶,也无法判断他未来是否会作恶。
    二来,ssl 的安全性作用本身就与这个无关。

    整帖子本数都在说你,你心里就没点*数?别再回复了。
    wwhc
        70
    wwhc  
       2017-10-02 00:09:05 +08:00
    @yongyuhi "美国买手机号还要社保号才行", 你这信息是从哪来的?
    yongyuhi
        71
    yongyuhi  
       2017-10-02 07:20:22 +08:00 via Android
    @byuc 谁没点数?显而易见的道理居然好要给你解释,滥发就是滥发,总有一天,HTTPS 会成为钓鱼诈骗的代名词。
    到时老百姓会主动要求政府监管,就像实名制一样,嘴上很多人 jjyy,实际上都很支持。
    swulling
        72
    swulling  
       2017-10-02 08:23:28 +08:00 via iPhone
    现代政治最大的问题就是,很多人类不在乎自己的权利和自由,目光短浅,天生巨婴欠管。

    这种人你跟他提什么自由都是扯淡,老老实实直接打良民证,他过的还挺好。
    swulling
        73
    swulling  
       2017-10-02 08:25:40 +08:00 via iPhone
    @yongyuhi 原来是鼓吹实名制的立场,也是啧啧

    实名制不解决问题,电信实名制那么多年,解决垃圾短信,电话诈骗问题了么。
    byuc
        74
    byuc  
       2017-10-02 09:18:29 +08:00
    @yongyuhi
    正如 74 楼所言,电信实名制那么多年,解决垃圾短信,电话诈骗问题了么?
    菜刀实名制购买那么久,解决了用菜刀砍人的事件么?
    美国做得那么好,今天怎么又发生了枪击案?
    都证明所谓的“只卖给好人,不能卖给好人”这种天真想法只能是天荒夜谈。

    按照你的逻辑,ssl 就是滥发,身份证也是滥法。为什么坏人就有身份证了呢?
    对吧,你简直就是在搞笑。
    tangyang
        75
    tangyang  
       2017-10-02 10:26:08 +08:00
    淘宝上帮做 HTTPS 的大概 100 元不到就可以搞定···包括证书和配置
    yongyuhi
        76
    yongyuhi  
       2017-10-02 10:34:39 +08:00 via Android
    @byuc 电信诈骗确实少了,菜刀砍人也确实少了,一点都没看到进步么?难道你活在 10 年前!
    yongyuhi
        77
    yongyuhi  
       2017-10-02 10:40:47 +08:00 via Android
    @swulling 这是全球大势所趋,还需要鼓吹么?这点眼光都没有,上的啥学。
    oszlso
        78
    oszlso  
       2017-10-02 10:55:22 +08:00
    这不叫滥发啦~~~
    swulling
        79
    swulling  
       2017-10-02 10:55:36 +08:00 via iPhone
    @yongyuhi 噗,你什么学校毕业的?
    zzj0311
        80
    zzj0311  
       2017-10-02 11:10:14 +08:00 via Android
    感觉楼主的意思是,apple 用户都是**?
    edsheeran
        81
    edsheeran  
       2017-10-02 11:12:53 +08:00 via iPhone
    书嘛不读 b 嘛乱装
    lz 多读点书再来发帖吧
    ariza
        82
    ariza  
       2017-10-02 11:24:08 +08:00
    pornhub 都上很久了
    RobertYang
        83
    RobertYang  
       2017-10-02 11:24:46 +08:00 via Android
    @wwhc 晚上睡觉想的
    CecilFang
        84
    CecilFang  
       2017-10-02 15:45:41 +08:00
    chrome 上面的安全的意思并不是传统意义的安全而是对于数据交换双方来讲的“数据安全”
    ErnestChan
        85
    ErnestChan  
       2017-10-03 01:17:30 +08:00 via Android
    我觉得用“网络信息高速”这个比喻,HTTTPS 保证你的路是对的,不会把导航给你换了,也不会悄悄往你的车里塞东西。但是它不保证你要去的房子里面有没有坏人拿着刀等你。它保证的是传输过程不是给站长发良民证。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1051 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 20:11 · PVG 04:11 · LAX 12:11 · JFK 15:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.