安全 大部分网站的 HTTPS 都是起到安慰用户的作用?

hooopo · 2013年06月11日 · 最后由 hooopo 回复于 2013年06月20日 · 7161 次阅读

http://www.douban.com/people/Hoooopo/status/1173447062/ 比如豆瓣:

豆瓣的 HTTPS 好像没有起到什么作用吧?虽然登陆和注册 form 的 action 是 HTTPS 的,但是登陆和注册页面是 HTTP 的,这样中间人就可以通过篡改 HTTP 页面的内容来获取表单数据了..

那不是脱了裤子放屁么...上 https 还会增加一些成本的

云梯的登录注册页都是强制跳 https 的,而且所有 https 页面的资源 (js, css, image) 也都是 https 的,待虎跑吐槽 :-P

国内支持 https 访问资源的云存储只有阿里云 OSS 一家,说明大家都不注重这个。 我们原先买了又拍云的服务,问又拍云如何 https 方式访问资源,结果答复我们说,又拍云网站后台支持 https -_-|||

#2 楼 @kgen 云梯是个好网站。。。 嗯 静态文件也要 HTTPS 传输的,要不就 mixed content 了。

#2 楼 @kgen 又拍的 api 认证都是走 http 的,而且是传 username 和 password,就算用了他们的签名验证,也走 http,那签名后的数据仍然能够被窃取.... 刚看了他们 Wiki,貌似说 api 支持 https 了

米人就买 akamai CDN, 不过只有电话销售略奇葩

正经网站都是全站 https。

#3 楼 @hooopo 虎跑如此高度评价,我就安心了 XD

#4 楼 @huobazi 他们最早的 API 文档是只有 http 的,当时被吓到了。

#5 楼 @luikore 穷人一直听说 akamai,却从未买过,不知道大概什么价。

#6 楼 @jimrokliu 一般只有后台和登陆注册会 https,其他都是 http 的,否则负载能力会下降一半,而且很多 cache 都不好做。

我们是全站 https 的,存储这块用的是七牛,支持 https 的访问。

#9 楼 @kgen 我也不知道,估计是 sales 试探客户底线而定的,可以打电话问问...

#11 楼 @iamroody 七牛的问过,他家只给需要 https 的用户单独开通,当时觉得让人担忧。

#12 楼 @luikore 虽然企业市场都是这么搞的,但真心不喜欢这种生意风格。

#13 楼 @kgen 目前我们是使用他们的 https 的功能。话说国内市场好多的在线服务对 https 支持都不是很好,比如社交化分享,他们要引用的 js 代码都是 http 的。

#15 楼 @iamroody 是的,社交网络分享代码,国外是清一色 https,国内是清一色 http

#16 楼 @kgen 这些也就罢了,有时候需要申请微博或 qq 的开放接口,需要验证网站的真实性,https 的网站他们都验证不出来,要么得私下联系客服,要么就得暂时把 https 给关了。

#17 楼 @iamroody 国内大企业的技术啊……

#15 楼 @iamroody #16 楼 @kgen

其实很简单的,意识问题吧:

window._ga_init = function() {
    var ga = document.createElement('script');
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    ga.setAttribute('async', 'true');
    document.documentElement.firstChild.appendChild(ga);
};

#17 楼 @iamroody 逼停客户 https 这太奇葩了

#19 楼 @hooopo 我个人想象不到一台 server 同时支持 http 和 https 访问会有多大的难度,难道因为还得买证书的缘故?

#21 楼 @iamroody 我猜他们想要 304 请求多些。节约。

#22 楼 @huobazi 你是西安的,话说西安搞 ruby 的很少啊

#23 楼 @iamroody 哦我不知道用的公司多不,我工作用.net 的。

#19 楼 @hooopo 双斜线 url 的好处

<script async src="//www.google-analytics.com/ga.js"></script>

#25 楼 @luikore GA 的俩主机名不一样啊。

#26 楼 @huobazi google https www 是可以的 :)

这种搞法用 HTTPS 和不用是没有区别的..

需要 登录 后方可回复, 如果你还没有账号请 注册新账号