非TLS登陆的安全问题 #48
Comments
|
额,官方的登录页面http://music.163.com/ ,就是非TLS登陆。 |
|
嘛……理论上来讲能用TLS就用TLS当然是Best Practice,但是实践上很多国内公司都做不到,其实这的确是一个很不负责任的表现. 像github, G+, facebook这种网站且不说登录页面TLS,更是实现了全域TLS,可见在这方面的安全重要性. 另一方面来讲,虽然我没有调查过,但是我相信网易既然有TLS登陆的接口(https://music.163.com/api/login ),就应该是在使用的…… 我强烈怀疑网易自己的手机/Windows客户端是TLS登陆的,至于网页端不这么做纯粹因为他们觉得用网页端的人少…… 我觉得我们的项目的安全性还是要向Windows客户端看齐的…… |
|
嗯,没错,客户端经过抓包确实是TLS登陆的,但是 Ubuntu 证书错误的确是个问题,本人平时并不使用 Ubuntu。 在没找到解决方案之前,所以只能临时去掉了TLS登陆,毕竟先得保证 Ubuntu 用户能用才能再考虑可能存在的安全问题。 |
|
没问题,我可以比较方便的接触Ubuntu环境,回头有空就看看…… 不过我觉得如果是证书错误的话,优先尝试https登陆,出错再Drop back回http登陆或许也可以是一个方案? |
|
看来是urllib3更新引起的 |
|
这这情况一般是把证书指纹内嵌到软件中,在建立 SSL 连接的时候校验一下服务端的证书是否与预置的相等 |
|
@typcn 但是这样的话,服务端要是换证书了软件也得更新后才能用啊…… |
|
一般证书至少都是一年换的吧。。。 |
ae9a745 这个commit中为了回避证书错误问题而改用了未加密的http代理,可能引入安全问题.
某君曾言,"没有加密的身份验证都是耍流氓",我觉得还是加密比较好...
至于ubuntu下的证书错误问题,我觉得应该检查以下几点解决:
The text was updated successfully, but these errors were encountered: