-
Notifications
You must be signed in to change notification settings - Fork 1.6k
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
非TLS登陆的安全问题 #48
Comments
额,官方的登录页面http://music.163.com/ ,就是非TLS登陆。 |
嘛……理论上来讲能用TLS就用TLS当然是Best Practice,但是实践上很多国内公司都做不到,其实这的确是一个很不负责任的表现. 像github, G+, facebook这种网站且不说登录页面TLS,更是实现了全域TLS,可见在这方面的安全重要性. 另一方面来讲,虽然我没有调查过,但是我相信网易既然有TLS登陆的接口(https://music.163.com/api/login ),就应该是在使用的…… 我强烈怀疑网易自己的手机/Windows客户端是TLS登陆的,至于网页端不这么做纯粹因为他们觉得用网页端的人少…… 我觉得我们的项目的安全性还是要向Windows客户端看齐的…… |
嗯,没错,客户端经过抓包确实是TLS登陆的,但是 Ubuntu 证书错误的确是个问题,本人平时并不使用 Ubuntu。 在没找到解决方案之前,所以只能临时去掉了TLS登陆,毕竟先得保证 Ubuntu 用户能用才能再考虑可能存在的安全问题。 |
没问题,我可以比较方便的接触Ubuntu环境,回头有空就看看…… 不过我觉得如果是证书错误的话,优先尝试https登陆,出错再Drop back回http登陆或许也可以是一个方案? |
看来是urllib3更新引起的 |
这这情况一般是把证书指纹内嵌到软件中,在建立 SSL 连接的时候校验一下服务端的证书是否与预置的相等 |
@typcn 但是这样的话,服务端要是换证书了软件也得更新后才能用啊…… |
一般证书至少都是一年换的吧。。。 |
ae9a745 这个commit中为了回避证书错误问题而改用了未加密的http代理,可能引入安全问题.
某君曾言,"没有加密的身份验证都是耍流氓",我觉得还是加密比较好...
至于ubuntu下的证书错误问题,我觉得应该检查以下几点解决:
The text was updated successfully, but these errors were encountered: