我以为这种金融机构网站都是强制使用 HTTPS 的，没想到平安银行 web 端竟然没有强制使用

强制

Web

平安

使用

31 条回复 • 2023-07-30 13:07:03 +08:00

1

cssk

2023-07-29 11:09:39 +08:00

有 ssl ，只是普通页面没有强制跳转 ssl 而已，网银页面就强制 ssl 了

2

bybyte

2023-07-29 11:10:27 +08:00

我试了一下，登录页面那里就强制使用 https 了

3

nzynzynzy

2023-07-29 11:11:44 +08:00 via iPhone

登陆页面开始强制。我以前某一分钟和你有一样的疑惑

4

xmumiffy

2023-07-29 11:12:28 +08:00 via Android

大部分银行都没做

5

opentrade

2023-07-29 11:25:37 +08:00

中国银行需要 https 吗？不都是要安装插件。

6

jim9606

2023-07-29 12:04:02 +08:00

2

现在四大行只剩建行那么逆天在主站禁用 HTTPS 了，用了也给你跳转回去的那种。
然后建行的手机银行也是最反人类的风控。

7

leido

2023-07-29 12:14:38 +08:00

1

@jim9606 招行和交行 it 不见得比四大差

8

PaulSamuelson

2023-07-29 12:22:10 +08:00

这不就体现出了“弱势”群体的弱了么

9

slack

2023-07-29 13:08:43 +08:00

居然不是全站 HTTPS ？银行这种单位居然不用 HSTS ？

10

Biggoldfish

2023-07-29 13:22:09 +08:00

17

正常网站都应该强制 HTTPS 了，这种还用着 HTTP 的银行完全没有安全意识可言

人家直接把你首页中间人了，把登录按钮劫持去钓鱼网站，你在真正的登录页面搞 HTTPS 有啥用

11

flyqie

2023-07-29 14:33:53 +08:00 via Android

@Biggoldfish #10

确实。。

12

x77

2023-07-29 15:01:16 +08:00

似乎嗅到一股商机。

试想，我在星巴克开着 WiFi 热点（名称和星巴克的一模一样），我的信号强度高，别人会自动连上我的热点，这很容易办法。

然后，我的电脑里什么行都有，DNS 我也就给你指向我开的银行，尽管来登录吧。

13

ruochen666

2023-07-29 15:05:17 +08:00

@x77 太刑了

14

findme

2023-07-29 15:13:16 +08:00

@x77 教唆罪，是指以劝说、利诱、授意、怂恿、收买、威胁等方法，将自己的犯罪意图灌输给本来没有犯罪意图的人，致使其按教唆人的犯罪意图实施犯罪，教唆人，即构成教唆犯罪。

15

t41372

2023-07-29 15:17:07 +08:00

@x77 《商机》

16

yvkino

2023-07-29 15:23:52 +08:00

等个大佬实操

17

rsy

2023-07-29 15:26:20 +08:00 via Android

这年头还用电脑浏览器处理银行业务的个人用户已经基本没有了，而且银行系统基本上都是不出问题就不会轻易去动的，要不是智能手机普及带来的移动端浪潮，各家银行好歹都新做了手机 APP ，不然用老古董的网银，弄不好还得在电脑装上各家银行的网银助手，只能用 IE 浏览器来转账呢

18

Rache1

2023-07-29 15:38:10 +08:00

@findme #14 这不更像 “传授犯罪方法罪”

19

lxcopenwrt

2023-07-29 15:40:33 +08:00

登录页面就有 https 了，但之前建行还在用 RSA 这种没有前向保密的密钥交换方式我也是服了，刚刚去看了一下终于用上了 ECDHE 这个安全密钥交换方式了，但就是不用 X25519 椭圆曲线还在用 P256 ，不知道这条曲线疑似有 NSA 后门？

20

SunsetShimmer

2023-07-29 15:54:00 +08:00 via Android

@x77 这都老生常谈了。

21

x77

2023-07-29 16:33:47 +08:00

@findme 如果你痛恨五彩缤纷的世界，那你看到的都是丑恶

22

xshell

2023-07-29 16:36:09 +08:00

公共 wifi 进网银等等直接切 4/5G

23

boshok

2023-07-29 16:36:37 +08:00

@jim9606 #6 建行的手机银行最差，没有之一。

24

snw

2023-07-29 16:44:55 +08:00 via Android

@rsy
讲个笑话，部分银行官网的手机 app 下载页也没有上 https ，要是存在恶意中间人的话可以直接给用户装上钓鱼 app

25

AyaseEri

2023-07-29 16:50:25 +08:00

PC 端早就是不如狗的地位了，银行懒得处理也是很正常的。
包括各位狂吹的招行，功能早就往移动端迁了。PC 端单纯就不像阿里那么激进直接给你屏蔽了。

26

snw

2023-07-29 16:53:15 +08:00 via Android

@snw
还有一些银行的手机短信短链接也没加 https （点名招行）

27

tin3w5

2023-07-29 18:00:27 +08:00 via iPhone

2

@x77 十年前在学校的时候就玩烂的东西了。老师上课点名，不想让点名数据 post 成功，就在教室里搞 arp 攻击。老师登录的点名平台就是伪造的，不仅当时看不出来问题，还能顺带抓一波老师的常用密码。

28

liyhu

2023-07-29 22:22:21 +08:00

就是这么烂

29

fox0001

2023-07-30 02:30:22 +08:00 via Android

@tin3w5 #26 局域网内，应该可以直接嗅探同网段的所有 http 请求，包括 post 的明文数据。不用伪造平台这么麻烦吧？

30

tin3w5

2023-07-30 02:39:15 +08:00 via iPhone

@fox0001 要的是让老师不要把点名信息 post 到真的服务器上😂

31

touchmii

2023-07-30 13:07:03 +08:00 via Android

@jim9606 农行也是不遑多让