- https://mail.163.com/ 会强行跳转到 http
- 页面上显示「正使用 SSL 登录」,然而只是在 http 页面里面用了一个 https 的 iframe
- 攻击者只要篡改 http 页面,即可轻易伪造登录框
所以,网易的同学为什么不在 mail.163.com 开启 https 访问?
This topic created in 3196 days ago, the information mentioned may be changed or developed.
 | 1 zrt Aug 27, 2017 好像 https://mail.163.com/ 可以用,就是广告加载不出来? |
 | 2 FrankFang128 OP 我打开直接变成 http @zrt |
 | 3 zsj950618 Aug 27, 2017 所以为什么还要用网易邮箱? |
 | 4 solidsnake Aug 27, 2017 via iPhone 网易用的老流氓的证书 |
| 5 FrankFang128 OP @zsj950618 只是想嘲讽一下网易的开发。我用 Gmail + QQ |
 | 6 Hardrain Aug 28, 2017 网易邮箱登录时的 POST 包似乎走了 SSL 但是这种页面本身用 http 且还有走 http 的 JS 的 一被注入岂不完蛋 明文的凭据都能获取到吧 |
 | 7 benjix Oct 9, 2017 |
| 8 FrankFang128 OP @benjix 有不安全的脚本 |
Select Language