开发者社区> 问答> 正文

HTTPS⼀定是安全的吗?

展开
收起
前端问答 2019-12-15 14:49:00 859 0
1 条回答
写回答
取消 提交回答
  • 前端问答小助手

    ⾮全站HTTPS并不安全

    以国内的⼯商银⾏为例

    image.png

    ⼯商银⾏的⾸⻚不⽀持HTTPS

    image.png

    ⽽⼯商银⾏的⽹银⻚⾯是⽀持HTTPS的

    可能有⼈会问,登录⻚⾯⽀持HTTPS不就⾏了,⾸⻚⼜没有涉及账户信息.

    其实这是⾮常不安全的⾏为,⿊客会利⽤这⼀点进⾏攻击,⼀般是以下流程:

    1. ⽤户在⾸⻚点击「登录」,⻚⾯跳转到有https的⽹银⻚⾯,但此时由于⾸⻚是http请求,所以是明⽂的,这就会被⿊客劫持
    2. ⿊客劫持⽤户的跳转请求,将https⽹银⻚⾯地址转换为http的地址再发送给银⾏

    ⽤户 <== HTTP ==> ⿊客 <== HTTPS ==> 银⾏

    此时如果⽤户输⼊账户信息,那么会被中间的⿊客获取,此时的账号密码就被泄露了

    好在是⼯商银⾏的⽹银⻚⾯应该是开启了hsts和pre load,只⽀持https,因此上述攻击暂时是⽆效的.

    2019-12-16 10:18:09
    赞同 展开评论 打赏
问答分类:
问答标签:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
CDN助力企业网站进入HTTPS时代 立即下载
低代码开发师(初级)实战教程 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载