- https://mail.163.com/ 会强行跳转到 http
- 页面上显示「正使用 SSL 登录」,然而只是在 http 页面里面用了一个 https 的 iframe
- 攻击者只要篡改 http 页面,即可轻易伪造登录框
所以,网易的同学为什么不在 mail.163.com 开启 https 访问?
This topic created in 3213 days ago, the information mentioned may be changed or developed.
 |
1
zrt Aug 27, 2017
好像 https://mail.163.com/ 可以用,就是广告加载不出来?
|
 |
2
FrankFang128 OP 我打开直接变成 http
@zrt |
 |
3
zhsj Aug 27, 2017
所以为什么还要用网易邮箱?
|
 |
4
solidsnake Aug 27, 2017 via iPhone
网易用的老流氓的证书
|
|
5
FrankFang128 OP @zsj950618 只是想嘲讽一下网易的开发。我用 Gmail + QQ
|
 |
6
Hardrain Aug 28, 2017
网易邮箱登录时的 POST 包似乎走了 SSL
但是这种页面本身用 http 且还有走 http 的 JS 的 一被注入岂不完蛋 明文的凭据都能获取到吧 |
 |
7
benjix Oct 9, 2017
|
|
8
FrankFang128 OP @benjix 有不安全的脚本
|
Select Language