就像 WebQQ 登录认证用 HTTPS,其它使用 HTTP (包含JS),只要劫持篡改了其中一个关键的 JS,就可以获取到页面上用户输入的QQ号和密码了(甚至还能知道用户先输入号码还是密码),之后至于向哪发送完全随意。
This topic created in 4351 days ago, the information mentioned may be changed or developed.
 |
1
jsonline Jun 16, 2014  1
是哒,所谓半吊子说的就是这种情况。
|
 |
2
dong3580 Jun 16, 2014
我觉得这个问题类似于,你把你当前的浏览器登录的某个论坛cookie中的userid改为别人的,然后你刷新看看是不是进入了别人的账户了。
|
 |
3
treo Jun 16, 2014
类似的,登陆时JS加密用户密码再发送也没什么意义
|
|
4
treo Jun 16, 2014
Javascript Cryptography Considered Harmful
http://matasano.com/articles/javascript-cryptography/ |
 |
5
lichao Jun 16, 2014
类似的,页面本身是走 HTTP,登录时 Ajax(JSONP) 走 HTTPS 也是无意义的
|
 |
6
est Jun 16, 2014 1
> 只要劫持篡改了其中一个关键的 JS
如果都可以劫持了,自己搭个https服务器不是照样可以插入js? |
|
11
est Jun 16, 2014
|
 |
12
dndx Jun 16, 2014
|
|
13
est Jun 16, 2014
@dndx 理论是这样,大家都知道。但是你去看n年前sohu mail那个https中间人。。。。@奶罩 搞的。
如果要搞你,肯定是搞你的短板。ssl 长板再长无法弥补短板。PKI 的短板多了去了。。。。 |
 |
17
sdysj Jun 16, 2014
很明显啊,只有天朝才那么多半https网站,原因嘛,public security啊哈哈
|
 |
18
iannil Jun 16, 2014
58的登录就伪https,使用js加密用户名密码的方式登录,无实际意义。
|
 |
19
tabris17 Jun 16, 2014
增加难度而已
|
 |
20
20150517 Jun 16, 2014 via Android
等一下,你js是http但放在https,连ie都会报警的啊,说有些内容没有加密什么,你自己确认是你自己问题,你可以选择不登录
|
 |
22
alexapollo Jun 16, 2014
很早之前有碰到过这个报警,原来是这个意思
|
 |
23
dorentus Jun 16, 2014
其实中间人攻击有些情况下还是比较容易出现的。
ISP 自己搞的插广告的就不说了,比如公共 wifi 热点,没有隔离措施,同网络里的人搞个 arp 欺骗,应该就可以把使用 http 的关键的 js 劫持到自己那里了,然后不管是捕获用户在当前页面的输入、还是模拟用户行为发点内容,都随意了…… 对用户来说,只是浏览器有提示页面上有没加密的资源(但是只是警告,又不会像证书不对那样直接阻止),基本没啥意义。是,警觉的用户可能会选择不登录,但是你这站点又没有提供其它安全的登录方式……于是就只能回家才敢登录了么?…… |
 |
24
lightening Jun 16, 2014
Web QQ 不是全站 HTTP 嘛,哪有什么 HTTPS?
|
 |
26
xierch Jun 17, 2014
登录页整页 HTTPS 还好些,只是每次登录时需要用户注意一下,密码不会泄漏的不过 cookies 还是保护不了..
支付宝全站 HTTPS。不过 HTTP 转 HTTPS 用 301 可能更好一些,301 浏览器会缓存。 淘宝就很随便了,只有(部分?)登录页面是 HTTPS.. 支付宝绑定淘宝 Considered Harmful( |
 |
27
jakwings Jun 17, 2014
至少可以防止 ISP 偷偷插广告。
|
 |
28
julyclyde Jun 18, 2014
页面https、元素http,浏览器会报警的吧
|
Select Language