1
cssk 2023-07-29 11:09:39 +08:00
有 ssl ,只是普通页面没有强制跳转 ssl 而已,网银页面就强制 ssl 了
|
2
bybyte 2023-07-29 11:10:27 +08:00
我试了一下,登录页面那里就强制使用 https 了
|
3
nzynzynzy 2023-07-29 11:11:44 +08:00 via iPhone
登陆页面开始强制。我以前某一分钟和你有一样的疑惑
|
4
xmumiffy 2023-07-29 11:12:28 +08:00 via Android
大部分银行都没做
|
5
opentrade 2023-07-29 11:25:37 +08:00
中国银行需要 https 吗?不都是要安装插件。
|
6
jim9606 2023-07-29 12:04:02 +08:00 2
现在四大行只剩建行那么逆天在主站禁用 HTTPS 了,用了也给你跳转回去的那种。
然后建行的手机银行也是最反人类的风控。 |
8
PaulSamuelson 2023-07-29 12:22:10 +08:00
这不就体现出了“弱势”群体的弱了么
|
9
slack 2023-07-29 13:08:43 +08:00
居然不是全站 HTTPS ?银行这种单位居然不用 HSTS ?
|
10
Biggoldfish 2023-07-29 13:22:09 +08:00 17
正常网站都应该强制 HTTPS 了,这种还用着 HTTP 的银行完全没有安全意识可言
人家直接把你首页中间人了,把登录按钮劫持去钓鱼网站,你在真正的登录页面搞 HTTPS 有啥用 |
11
flyqie 2023-07-29 14:33:53 +08:00 via Android
|
12
x77 2023-07-29 15:01:16 +08:00
似乎嗅到一股商机。
试想,我在星巴克开着 WiFi 热点(名称和星巴克的一模一样),我的信号强度高,别人会自动连上我的热点,这很容易办法。 然后,我的电脑里什么行都有,DNS 我也就给你指向我开的银行,尽管来登录吧。 |
13
ruochen666 2023-07-29 15:05:17 +08:00
@x77 太刑了
|
14
findme 2023-07-29 15:13:16 +08:00
@x77 教唆罪,是指以劝说、利诱、授意、怂恿、收买、威胁等方法,将自己的犯罪意图灌输给本来没有犯罪意图的人,致使其按教唆人的犯罪意图实施犯罪,教唆人,即构成教唆犯罪。
|
16
yvkino 2023-07-29 15:23:52 +08:00
等个大佬实操
|
17
rsy 2023-07-29 15:26:20 +08:00 via Android
这年头还用电脑浏览器处理银行业务的个人用户已经基本没有了,而且银行系统基本上都是不出问题就不会轻易去动的,要不是智能手机普及带来的移动端浪潮,各家银行好歹都新做了手机 APP ,不然用老古董的网银,弄不好还得在电脑装上各家银行的网银助手,只能用 IE 浏览器来转账呢
|
19
lxcopenwrt 2023-07-29 15:40:33 +08:00
登录页面就有 https 了,但之前建行还在用 RSA 这种没有前向保密的密钥交换方式我也是服了,刚刚去看了一下终于用上了 ECDHE 这个安全密钥交换方式了,但就是不用 X25519 椭圆曲线还在用 P256 ,不知道这条曲线疑似有 NSA 后门?
|
20
SunsetShimmer 2023-07-29 15:54:00 +08:00 via Android
@x77 这都老生常谈了。
|
22
xshell 2023-07-29 16:36:09 +08:00
公共 wifi 进网银等等直接切 4/5G
|
24
snw 2023-07-29 16:44:55 +08:00 via Android
@rsy
讲个笑话,部分银行官网的手机 app 下载页也没有上 https ,要是存在恶意中间人的话可以直接给用户装上钓鱼 app |
25
AyaseEri 2023-07-29 16:50:25 +08:00
PC 端早就是不如狗的地位了,银行懒得处理也是很正常的。
包括各位狂吹的招行,功能早就往移动端迁了。PC 端单纯就不像阿里那么激进直接给你屏蔽了。 |
27
tin3w5 2023-07-29 18:00:27 +08:00 via iPhone 2
@x77 十年前在学校的时候就玩烂的东西了。老师上课点名,不想让点名数据 post 成功,就在教室里搞 arp 攻击。老师登录的点名平台就是伪造的,不仅当时看不出来问题,还能顺带抓一波老师的常用密码。
|
28
liyhu 2023-07-29 22:22:21 +08:00
就是这么烂
|