为什么V2EX login没有使用SSL

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 4303 天前的主题，其中的信息可能已经有所发展或是发生改变。

这两天在研究login的东西，发现很多著名的网站比如 StackOverflow, V2EX 等login时候输入的password都是没有用端到端加密的(没有用SSL), 那就是说中间router很容易看到这些明文password啦。没有这方面的担心吗。

11 条回复 • 1970-01-01 08:00:00 +08:00

Livid

MOD

2013-02-01 03:56:59 +08:00

你提到的这个，是我们接下来确实需要做的一件事情。

tokki

2013-02-01 03:57:30 +08:00 via Android

可能是没钱吧。。。

dcoder

2013-02-01 03:57:59 +08:00

@Livid 知道了 :)

tokki

2013-02-01 04:02:07 +08:00 via Android

以前的v2没有充值的功能感觉对安全性没那莫高的要求
从现在的功能上来看越来越有必要了 livid分享下ssl 那些东西现在都是怎么弄的一个证书要多大的开销

Livid

MOD

2013-02-01 04:02:48 +08:00

@tokki 证书其实还好，ORCA.io 用的 GeoTrust Wildcard 也就差不多两年 800 美金而已。

Livid

MOD

2013-02-01 04:11:27 +08:00

@tokki 充值过程中，信用卡信息发送到 Stripe 的整个过程，是通过 SSL 的，而且没有任何信用卡相关的信息经过或者保存在 V2EX.com。

dndx

2013-02-01 04:23:18 +08:00 via iPad

@Livid 这里有一个隐患，在未启用 SSL 的情况下，假如中间人替换了充值页面里 Stripe JS 的 src ，那么用户就会不知不觉将信用卡信息发给钓鱼者。

wy315700

2013-02-01 08:29:05 +08:00

我现在感觉所有保存用户cookies 的网站都应该用ssl
防止被嗅探

fsw90628

2013-02-04 17:15:15 +08:00

rapidssl 更便宜

Livid

MOD

2013-02-15 16:40:15 +08:00

现在 V2EX 的登录页面上已经可以选择通过 https 登录：

https://www.v2ex.com/t/60391

xinhugo

2013-03-03 02:46:42 +08:00

@Livid

能否实现对用户来说透明的：登录部分HTTPS访问，其他部分HTTP访问？这可能需要一个用于登录的子域名。

另外，能否提供「感谢」的确认按钮，避免误点？