网易严选！接单！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

工单节点使用指南

请用平和的语言准确描述你所遇到的问题

厂商的技术支持和你一样也是有喜怒哀乐的普通人类，尊重是相互的

如果是关于 V2EX 本身的问题反馈，请使用反馈节点

这是一个创建于 2588 天前的主题，其中的信息可能已经有所发展或是发生改变。

you.163.com 和 yan.163.com ，所有页面都是 80 端口 HTTP 协议，甚至连需要提交用户名和密码登录的页面都是，还有修改支付密码的页面也是……
你是一个有着资金交易和涉及用户个人隐私信息的大型电商啊！
你是买不起 CA 还是怎么回事？
在这个连个人 blog 都争相转用 HTTPS 的时代，你们为什么逆流而行呢？
小老弟，你怎么了？

页面

密码

转用

逆流

41 条回复 2018-10-10 11:19:16 +08:00

luanluan

2018-10-09 11:09:43 +08:00

肯定有人家的战略，不然呢。。。。。。。。。

run2

2018-10-09 11:11:08 +08:00

CA 是证书颁发机构-。-
https://en.wikipedia.org/wiki/Certificate_authority

应该只是没跳转，自己加 https 试试？

jhdxr

2018-10-09 11:17:06 +08:00

CA 还。。。真未必买得起。。。

yukiww233

2018-10-09 11:19:14 +08:00

确实是没加跳转

bp0

2018-10-09 11:21:25 +08:00

CA 确实买不起，还是买个证书实际点。他家的 mail 也才上 https 不久，估计严选还要等等了。

unifier

2018-10-09 11:22:28 +08:00

我这都是自动跳转到 https 的呀？这么快就改了？

sutking

/div> 2018-10-09 11:31:53 +08:00

@sobigfish
@jhdxr
@bp0 代词，不是指公司，我应该说 CA 证书是吧

sutking

2018-10-09 11:32:21 +08:00

@zacharyjia #6 我这并没有……

zoffy

2018-10-09 11:46:05 +08:00

把那些技术跟不上时代的 tech lead 们炒掉就好了

unifier

2018-10-09 12:06:07 +08:00

@sutking 不好意思，刚试了一下，好像是我的 https everywhere 开着的原因。。。

opengps

2018-10-09 12:19:43 +08:00

很多网站为了照顾老用户，http 没有 301 指向到 https，刚试了第一个网址是这个情况

CCNemo

2018-10-09 12:32:13 +08:00 via Android

能省点，就省电

tailf

2018-10-09 12:36:44 +08:00

you 使用邮箱登录，POST 的 URL 是 https://dl.reg.163.com/dl/l 没有任何问题。

大家可以散了，纯属楼主学艺不精。

XGHeaven

2018-10-09 12:37:40 +08:00

毕竟网易么......传统保守一些。

torchmu

2018-10-09 12:54:10 +08:00

登录组件、接口调用都是 https 的，问题在哪儿？

sutking

2018-10-09 14:08:06 +08:00

@tailf #13 这个怎么说？

liwl

2018-10-09 14:48:25 +08:00

https://you.163.com/ 没强制跳转而已

tailf

2018-10-09 15:01:05 +08:00

@sutking 哥，这就是 Chrome 抛出的警告而已，你在问啥，你想说啥。。。。。。

lichao

2018-10-09 15:10:40 +08:00

@sobigfish
@liwl
@torchmu

难道不应该强制跳转吗？主页面是 http，表单 POST 的 URL 是可能被篡改的。。。，这不是问题么？

lichao

2018-10-09 15:12:09 +08:00

@torchmu 接口调用都是 https 有毛用，页面是 http，接口调用的 url 是可能被篡改的

run2

2018-10-09 15:13:27 +08:00

@lichao #18 可能是要兼容 IE 老用户（说实话可能根本没几个这样的用户同时还上网购物）

lichao

2018-10-09 15:17:53 +08:00

@sobigfish

IE 老用户不能跳转吗？

没有强制跳转，甚至登录页面也是 HTTP，这个锅就是网易的，甩不掉

lichao

2018-10-09 15:22:14 +08:00

@tailf

POST 的 URL 是 https 当然有问题，这个 URL 是可能被篡改的

tailf

2018-10-09 15:23:01 +08:00

@lichao 那又怎么样，你都中间人了，什么信息拿不到，https 也能剥离出来

lichao

2018-10-09 15:25:35 +08:00

@tailf 问题在于 http 这样被中间人了，用户确实无感知的。 https 是没办法中间人的，Airbnb 就这个安全水准？

tailf

2018-10-09 15:29:59 +08:00

@lichao 攻击我就职的公司并不能让你更有理。这个行为反而显得你很那啥。

run2

2018-10-09 15:31:33 +08:00

@lichao 自然是他们的锅，我也只是猜而已，做这个决定的肯定不是运维那个级别的...

lichao

2018-10-09 15:34:17 +08:00

@tailf

Your login form posts to HTTPS, but you blew it when you loaded it over HTTP

https://www.troyhunt.com/your-login-form-posts-to-https-but-you/

没有攻击你或你的公司，仅仅是好奇！