作者sjerrysss (Jerry)
看板Soft_Job
标题[请益] 电商网站能不用HTTPS吗?
时间Wed May 20 12:39:31 2020
路过一个生医公司的购物页面
发现居然不是用https
https://i.imgur.com/v8q6V8P.jpg
不过我也没有送出订单就是了
最近有个在做手工艺品的朋友来找我讨论
说想开个品牌网站
里面可能会有类似的网购服务(虽然我觉得不必要)
所以这阵子我也对这些电商感到兴趣
但还不是很了解
想请教各位是不是有新技术取代https
还是说这生医的网站只是单纯没用https而已?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.233.20.34 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1589949573.A.DFC.html
1F:→ hegemon: 一定要用https啦...05/20 12:44
2F:推 aidansky0989: 笑死05/20 12:48
3F:→ jobintan: 没钱的用Let's encrypt应付先。05/20 12:49
我来研究一下
4F:→ jobintan: 不过如果用来赚钱的话,还是想法子筹钱买EV SSL呗。05/20 12:50
5F:推 king22649: 他有https版本05/20 12:51
6F:→ jobintan: 不然就用shopline这种现成的电商平台。05/20 12:51
7F:推 king22649: 凭证是有效的~ 但图片没https05/20 12:53
请问如何看凭证是否有效?
8F:推 aleelyle: 看出多少钱05/20 12:56
该公司的官方网站是有https的
但购物页面反而没有 蛮有趣的
※ 编辑: sjerrysss (118.233.20.34 台湾), 05/20/2020 13:01:31
※ 编辑: sjerrysss (118.233.20.34 台湾), 05/20/2020 13:01:53
10F:→ guanting886: 就算不用 certbot 上 CloudFlare 也可以走 https 05/20 13:12
12F:推 guanting886: SSL 凭证内容点锁头应该都会显示内容 05/20 13:14
13F:推 king22649: chrome 左上 + console debug 就知道大概问题在哪了 很 05/20 13:15
14F:→ king22649: 闲可以那工具扫一下 我猜有其他漏洞 05/20 13:15
15F:推 guanting886: 但真有问题,例如:过期、CT有错、电脑缺根凭证之类 05/20 13:16
16F:→ guanting886: 的 05/20 13:16
17F:→ guanting886: 浏览器第一时间会挡下不给你连线 05/20 13:16
18F:→ king22649: free https 用traefik reverse proxy + letsencrypt就o 05/20 13:18
19F:→ king22649: k了 traefik docker支援不错 不过不知道有没有漏洞 毕 05/20 13:18
20F:→ king22649: 竟接出docker.sock给traefik用 感觉毛毛der 05/20 13:18
21F:→ superpandal: 可以 咚咚咚 05/20 13:46
22F:推 philip80220: 星聚点的线上刷卡付费也不是https… 05/20 14:09
23F:推 leo5916267: 应该没差吧?金流那块有就好了 05/20 14:31
24F:推 pig0038: 没全站HTTPS不会有被网域绑架,导向非官方金流页面的疑 05/20 15:39
25F:→ pig0038: 虑吗? 05/20 15:39
26F:推 max9527: 没用被骇客看到就等於自家大门敞开 05/20 16:21
27F:推 neo5277: 有人想裸奔,是他的自由 05/20 16:33
28F:推 guanting886: 他这个网站有 HTTPS 但是没有 Force SSL 05/20 16:58
29F:→ guanting886: 有人说网站没有 SSL 金流有就好 没差吧 05/20 16:58
30F:→ guanting886: 那麽你的网站在特定的网路环境下 很有可能会遇上两 05/20 16:59
31F:→ guanting886: 个问题 05/20 16:59
32F:→ guanting886: 例如:你的帐号密码会因为连线过程未使用加密 HTTP 05/20 17:00
33F:→ guanting886: 封包会被拦截 有心人可以从里面得到 Form Data 来 05/20 17:00
34F:→ guanting886: 知道你帐号密码 05/20 17:00
35F:→ guanting886: 有些系统会因为安全强度要求 会在送出前做一定程度 05/20 17:02
36F:→ guanting886: 自制加密or混淆 但这种状况很少见 大部分的系统不会 05/20 17:02
37F:→ guanting886: 做处理 05/20 17:02
38F:→ guanting886: 另一种情况是 封包会带有 cookie 05/20 17:02
39F:→ guanting886: 有心人只要把 session id 抽出来就可以代替该使用者 05/20 17:03
40F:→ guanting886: 进行登入 05/20 17:03
41F:→ guanting886: 通常有些安全系数做比较高的 会去检查IP来源跟过往、 05/20 17:04
42F:→ guanting886: 地区 或是 User Agent 不同 如果不同 就要求重新登入 05/20 17:04
43F:→ guanting886: 或做更进阶的验证程序 05/20 17:04
45F:→ guanting886: 所以 你觉得全站有没有必要SSL 要 尤其是你有使用 05/20 17:06
46F:→ guanting886: 者登入机制的那类平台应该要有 05/20 17:06
47F:→ guanting886: 不过原文的网站其实是有SSL的 只是没有导过去 05/20 17:07
48F:→ guanting886: 原PO可以去反应一下 给个建议或许也不错 05/20 17:07
49F:→ guanting886: 这家牌子我喝过XD 但是没空写这个反应 05/20 17:08
50F:推 zased: 这很简单:1.凭证没有问题,是被认可的凭证 2.仅是没有开 05/20 17:48
51F:→ zased: 启HSTS 05/20 17:48
52F:→ zased: 开启HSTS,那个警告就会消失了 05/20 17:49
53F:推 bill0205: 有无https只差在传送资料过程中有没有被加密 不过没有ht 05/20 18:51
54F:→ bill0205: tps还是不会想用 05/20 18:51
55F:推 lovez04wj06: 不走SSL,不用HTTPS哪间金流会让你用??? 05/20 23:13
56F:→ lovez04wj06: 只是不会全站都用,但一定都会有的 05/20 23:14
57F:→ x000032001: 都2020年了还有人不是预设https阿 05/21 00:04
59F:→ sppmg: 法验证但 chrome 可以? 05/21 00:12
60F:→ superpandal: 可以阿 作法比较不一样而已 嘻嘻嘻 高估https了 05/21 04:23
61F:推 mathrew: 连我们公司都走 https 了,你电商还不走 https 05/21 06:35
62F:推 b85040312: 不走 https 是要被看光吗 05/21 06:50
63F:推 ted1231: .....啊有免费的凭证服务 你为何不用呢? 05/21 07:57
64F:推 king22649: 不走https有些串接可能不能用 05/21 13:27
65F:→ SlimeEditor: 经济部网页那个 现在只留3个cipher suite 我猜是 05/21 14:30
66F:→ SlimeEditor: firefox都不支援的关系 导致无法建立连线 05/21 14:30
67F:→ wahahahaaa: 去提醒他一下拉 05/21 17:03
68F:推 kingofsdtw: 土匪绑架user买cer 05/21 19:58
69F:→ kingofsdtw: digrst不好吗? 05/21 19:58
70F:推 pizzahut: 经济部网页 第二代GCA凭证 火狐没有要自行下载吧 05/21 23:50
71F:推 pizzahut: 刚测试了一下,重装凭证不行,当我没有说,拍谢@@ 05/22 00:10
72F:推 aldy120: 不安全的警示是因为 mixed content ,而不是因为没有用 h 05/22 00:18
73F:→ aldy120: ttps 05/22 00:18
74F:推 guanting886: 早期浏览器只要有抓到网页有login form之类的东西会 05/22 00:24
75F:→ guanting886: 自动提示这个网页不安全 并不是 05/22 00:24
76F:→ guanting886: mixed content 甚至可以说在很早期的IE就实作跳转上 05/22 00:25
77F:→ guanting886: 现在是照着 05/22 00:26
79F:→ guanting886: rity/Mixed_content 05/22 00:26
80F:→ guanting886: 规格 05/22 00:27
81F:推 guanting886: 不过装 SSL 没什麽成本 而且还能运用伺服器自带的 HT 05/22 00:30
82F:→ guanting886: TP2 模组 提供 HTTPS 连线真的会比较好 05/22 00:30
83F:推 guanting886: 只有少数为了高并发或逼主机CPU使用量到极限 05/22 00:35
84F:→ guanting886: 会优先使用HTTP 不使用HTTPS 05/22 00:35
85F:→ guanting886: ^^ 高并发 05/22 00:35
86F:推 mrji3g4xjp6: 免费的撑着用 我司就是 05/29 07:10