我以为这种金融机构网站都是强制使用 HTTPS 的，没想到平安银行 web 端竟然没有强制使用

有 ssl ，只是普通页面没有强制跳转 ssl 而已，网银页面就强制 ssl 了

我试了一下，登录页面那里就强制使用 https 了

登陆页面开始强制。我以前某一分钟和你有一样的疑惑

大部分银行都没做

中国银行需要 https 吗？不都是要安装插件。

现在四大行只剩建行那么逆天在主站禁用 HTTPS 了，用了也给你跳转回去的那种。
然后建行的手机银行也是最反人类的风控。

@jim9606 招行和交行 it 不见得比四大差

这不就体现出了“弱势”群体的弱了么

居然不是全站 HTTPS ？银行这种单位居然不用 HSTS ？

正常网站都应该强制 HTTPS 了，这种还用着 HTTP 的银行完全没有安全意识可言

人家直接把你首页中间人了，把登录按钮劫持去钓鱼网站，你在真正的登录页面搞 HTTPS 有啥用

@Biggoldfish #10

确实。。

似乎嗅到一股商机。

试想，我在星巴克开着 WiFi 热点（名称和星巴克的一模一样），我的信号强度高，别人会自动连上我的热点，这很容易办法。

然后，我的电脑里什么行都有，DNS 我也就给你指向我开的银行，尽管来登录吧。

@x77 太刑了

@x77 教唆罪，是指以劝说、利诱、授意、怂恿、收买、威胁等方法，将自己的犯罪意图灌输给本来没有犯罪意图的人，致使其按教唆人的犯罪意图实施犯罪，教唆人，即构成教唆犯罪。

@x77 《商机》

等个大佬实操

这年头还用电脑浏览器处理银行业务的个人用户已经基本没有了，而且银行系统基本上都是不出问题就不会轻易去动的，要不是智能手机普及带来的移动端浪潮，各家银行好歹都新做了手机 APP ，不然用老古董的网银，弄不好还得在电脑装上各家银行的网银助手，只能用 IE 浏览器来转账呢

@findme #14 这不更像 “传授犯罪方法罪”

登录页面就有 https 了，但之前建行还在用 RSA 这种没有前向保密的密钥交换方式我也是服了，刚刚去看了一下终于用上了 ECDHE 这个安全密钥交换方式了，但就是不用 X25519 椭圆曲线还在用 P256 ，不知道这条曲线疑似有 NSA 后门？

@x77 这都老生常谈了。

@findme 如果你痛恨五彩缤纷的世界，那你看到的都是丑恶

公共 wifi 进网银等等直接切 4/5G

@jim9606 #6 建行的手机银行最差，没有之一。

@rsy
讲个笑话，部分银行官网的手机 app 下载页也没有上 https ，要是存在恶意中间人的话可以直接给用户装上钓鱼 app

PC 端早就是不如狗的地位了，银行懒得处理也是很正常的。
包括各位狂吹的招行，功能早就往移动端迁了。PC 端单纯就不像阿里那么激进直接给你屏蔽了。

@snw
还有一些银行的手机短信短链接也没加 https （点名招行）

@x77 十年前在学校的时候就玩烂的东西了。老师上课点名，不想让点名数据 post 成功，就在教室里搞 arp 攻击。老师登录的点名平台就是伪造的，不仅当时看不出来问题，还能顺带抓一波老师的常用密码。

就是这么烂

@tin3w5 #26 局域网内，应该可以直接嗅探同网段的所有 http请求，包括 post 的明文数据。不用伪造平台这么麻烦吧？

@fox0001 要的是让老师不要把点名信息 post 到真的服务器上

@jim9606 农行也是不遑多让