这是一个创建于 4022 天前的主题,其中的信息可能已经有所发展或是发生改变。
国外网站基本上从注册到登录都把链接做成 https, 为什么国内从门户网站,到小型 online store 都很少使用 https? 一直都想不通啊
 |
1
pfitseng 2013-11-05 18:50:12 +08:00 via Android
贵
不重视 |
 |
2
chairuosen 2013-11-05 18:52:15 +08:00  1
记得DNSPOD用
|
 |
3
octopus_new OP @pfitseng 小网站还说得过去, 但是对于新浪,网易这种网站钱肯定不是问题, 而且 https 这种对于大网站肯定也不会存在不重视的问题吧? 贵和不重视完全说不通啊
|
|
4
octopus_new OP @chairuosen 看了, DNSPOD 确实用, 但是这也算是极少数了吧
|
 |
5
shiny 2013-11-05 19:02:36 +08:00
举例:cnzz 不支持 https(几个月前,现在已经可以了);百度分享、多说之类的服务不支持 https;很多 CDN 不支持;购买证书太贵;很少有大的主机商卖证书;互联网相关法律不健全,安全意识薄弱;使用 ssl 的社会风气缺乏。
|
|
6
shiny 2013-11-05 19:04:17 +08:00
还有,国内独立 ip 量少,而 https 在低级浏览器里 hosts 支持有问题。
能列出一堆可能的因素。 |
|
7
shiny 2013-11-05 19:08:44 +08:00
再比如,百度收录 https 有问题?
|
 |
8
cctvsmg 2013-11-05 19:10:06 +08:00
主要是安全意识薄弱,稍微有整站https的就吹个天大的牛皮——“银行级别加密”
就连webqq出来好长时间都不支持https,就算是现在也是默认不开,打开了以后有相当多的流量不走https,简直无语。 |
 |
9
tension 2013-11-05 19:11:31 +08:00
|
 |
10
sweethotdog 2013-11-05 19:12:35 +08:00
方便监听明文
|
|
11
octopus_new OP @cctvsmg 是啊, 这个我觉得挺难理解的. 如果是小站点买不起 wildcard ssl也就罢了(虽然可以买一些初级的 SSL), 门户站的服务为什么也不加 SSL 就很理解不了了, 至少 SSL 在很大程度上可以保护用户的信息.
|
|
12
tension 2013-11-05 19:14:24 +08:00
本来想搞EV SSL 国外 130刀 都买了,结果不支持中国公司
国内一个EV SSL 卖**的几千块甚至上万块 没见过钱一样!!! |
 |
13
suziewong 2013-11-05 19:15:25 +08:00
支付宝
|
|
14
octopus_new OP @tension 土豪你这是在赤裸裸的打广告啊, 哈哈. 不过我看了一下, 网站本身并不强制使用 https, 而且用户登录也不强制 https, 这 SSL 钱花的不值啊, 呵呵.
|
|
15
shiny 2013-11-05 19:19:19 +08:00 via iPhone
@octopus_new 你可以访问网易的ssl看,CDN加证书代价也很大。
|
|
16
octopus_new OP @sweethotdog 是的, 我也有这种考虑, 是不是 GOV 并不支持网站使用 https......
|
|
17
octopus_new OP |
|
18
pfitseng 2013-11-05 19:24:58 +08:00 via Android
@octopus_new 你要考虑到cdn ,而且ssl 影响性能。总之,布ssl 比较麻烦又增加支出,但对用户是透明的,不增长利润。webqq 自己搞了个vhttp,属于旁门。gov 应该是多虑了,根本不用操这心,具体看csdn 。
|
|
19
tension 2013-11-05 19:27:42 +08:00
@octopus_new 我想设置强制SSL 来着,但是不会设置...
|
|
20
octopus_new OP |
|
21
octopus_new OP @tension 我晕, 你这 web 系统是自己开发的还是用的第三方的程序啊, 怎么不会设置呢......, 这么多牛头人, 随便问一下就搞定了吧, 哈哈
|
|
22
octopus_new OP @pfitseng 我觉得可能还是不重视, 和CDN或者性能什么的都没关系, 都是上市的门户网站, 连 SSL 这点钱或者性能问题都搞不定, 那还门户个毛啊.
|
|
23
shiny 2013-11-05 20:00:23 +08:00 via iPhone
@octopus_new 因为ssl要独立ip而cdn已经把证书给12306了。
|
 |
24
icyalala 2013-11-05 20:08:07 +08:00
大公司弄个证书还是没问题的。
SSL很影响性能,增加了工程的部署难度,增加了前端的开发难度,增加了流量。 这些都是钱啊!!对用户的安全性提升却是很少。。 顶多登录时用个SSL,保证你登录安全就行了。。至于隐私?呵呵 |
|
25
octopus_new OP @shiny 你在说什么呢, 这个和12306有什么关系?
|
|
26
octopus_new OP @icyalala 按照你这么一说, 那 Google 的 SSL 有什么意义? 国外公司用 SSL 有什么意义?
|
 |
27
clippit 2013-11-05 20:10:26 +08:00
此外别忘了天朝整体的网络基础,一些落后地区HTTPS的连接成功率很低,更别说手机上了
|
 |
28
Zhang 2013-11-05 20:10:33 +08:00
方便监听
|
 |
29
felix021 2013-11-05 20:12:27 +08:00
对于登录而言,https其实不是必须的,可以很容易避免重放攻击。
|
 |
30
pubby 2013-11-05 20:12:54 +08:00
小网站搞ssl很容易,大网站分布式的搞https是很麻烦的事情
偶尔给你登陆地址弄个https已经很不错了 :P |
|
31
icyalala 2013-11-05 20:15:00 +08:00
|
|
32
octopus_new OP 1
我发现大家都在说什么什么 CDN https 部署困难, 什么登录意义不大, 难道 facebook, twitter, Google, Amazone 部署 SSL 就特简单? 意义不大为什么海外公司都在用, 难道有钱没地方花了? 理解不了啊......
|
|
33
octopus_new OP @icyalala 说来说去还是不重视......, 意义和钱都不是关键
|
 |
34
coosir 2013-11-05 20:23:29 +08:00
打开http://www.126.com ,登录框下方显示“正使用SSL登”,但是明显不是https啊,而且表单post地址也不是https。难道有js会自动改变post地址?请前端高手来剖析下代码 - -
|
|
35
coosir 2013-11-05 20:24:56 +08:00
另外打算将我管理的网站的用户登录部分采用https了,https://mostlink.com
|
 |
36
webflier 2013-11-05 20:29:54 +08:00
你从哪儿看到国内门户网站都不用https的?你看看谁家的登陆功能不走https的?
你不能指望新浪网易整站都走https吧?看个新闻走https有意思吗? 要说国外,你看看yahoo和msn的门户能走https? 请您移步去访问https://www.yahoo.com和https://www.msn.com看看 |
|
37
octopus_new OP 1
@webflier 从讨论的一开始我有说"整站"这个词么? 看阁下这语气是来打架来了? 作为保护用户信息的方式, 难道在客户登录的时候不应该使用 SSL 加密么? 你用 https://www.sina.com.cn 访问和用 https://www.yahoo.com 访问看看结果一样么, 雅虎直接返回 http, 而 sina 直接无法显示, 这不正说明国内网站不重视 https 连接么? 实在是不理解我踩到您哪里了, 让您这么不爽......
|
|
38
octopus_new OP @coosir 我觉得使用 https 是一个网站重视用户信息最基本的表现, 我发现国外用户更倾向于使用有 ssl 加密的网站, 好像国内在用户这一块大家就很少 care.
|
|
39
webflier 2013-11-05 21:02:27 +08:00
@octopus_new 在我看来,国内的大部分大网站登陆都是走https的。所以我不觉得他们做的有什么问题。而你说国内门户网站很少走https,那请问你指的是什么?你这个结论是怎么来的?
雅虎直接返回 http, 而 sina 直接无法显示,这只能说明他们都不支持https. 我语气不好,我向你道歉。 |
|
40
octopus_new OP @webflier weibo.com就不走 https, 而且微博貌似还要求了实名制. https://mail.163.com 在我这里也无法访问. 而且我从一开始也并没有说"都", 你从一开始的进入这个讨论就已经问题重重了......
|
|
41
webflier 2013-11-05 21:19:07 +08:00
@octopus_new
豁然开朗 原来你以为https://mail.163.com不能访问,就说明在http://mail.163.com/上的登陆动作是不安全的,不走https的? 我错了。。。。真的。。。。真不该插一脚的。。。。 |
 |
42
hzlzh 2013-11-05 21:28:14 +08:00
|
|
43
octopus_new OP 2
|
 |
44
coagent 2013-11-05 21:41:04 +08:00 via iPhone
在登录框搞个要用户去勾的SSL登录选项,本身就是用户体验的问题。
|
|
45
tension 2013-11-05 21:45:10 +08:00 1
@octopus_new 已经强制到HTTPS了!
|
|
46
octopus_new OP @tension 你这服务真心给力啊, 土豪, 说干就干啊, 哈哈 :)
|
|
47
octopus_new OP @coagent 是的, 感觉国内网站的体验不那么好, 这么多年好像改变也很缓慢. 可能公司大了一点点变动都变得很困难吧.
|
|
48
tension 2013-11-05 21:54:32 +08:00
|
 |
49
046569 2013-11-05 22:01:31 +08:00
抠字眼的话LZ这个是伪命题,当然意思大家都明白.
不要管别人用不用,自己搞的一定要用,还能顺道解决某些无良运营商污染HTTP的问题. |
 |
50
liuhang0077 2013-11-05 22:10:33 +08:00
|
|
51
octopus_new OP @046569 是啊, 我觉得 https 这个事情看上去无关紧要, 但是对于用户来讲, 至少让人感觉放心. 我之前做过两个同一领域不同公司(都是老外的公司)的online sales网站(A公司没有使用 ssl, B 公司用 ssl), A 公司 Google 排名靠前但是 online sales 每年会比 B 公司少大概300 - 500个 orders. 所以我觉得其实用户应该是在乎自己的信息的.
|
|
52
icyalala 2013-11-06 00:13:41 +08:00
正面的说一下。
SSL的作用是在浏览器和服务器之间建立一条加密的通道,防的是能接触到你和服务器之间通信的第三者,捕获到私密信息。这样说来,内容、新闻类的网站,本身没有什么私密信息,那走https毫无作用。https是作用于那些包含了私密信息通信业务的网站,比如SNS、电商、邮件、包含登陆功能的站点等。 国外的用户(注意这里是用户)非常重视个人隐私,莫不如说西方社会对隐私和安全等非常重视。我在google搜索东西,不想让别人知道,防的是谁呢?我和google肯定是相互信任的,防的就是运营商、乃至政府(政府即使想嗅探,也要偷偷滴干,不然也会惹大麻烦)。 至于说购物、登陆密码等东西,更是需要注意安全了。 这些场景下,https很有必要,用户需要,网站为了服务用户自然也是需要的。 换到国内,“隐私”这种东西变得很微妙。用户和网站之间的通信内容,需要接受政府的审查和监管。用户和网站必须舍弃一些东西才能继续生存(CNNIC证书可信吗?如果不可信https有用吗?)。 不论哪一方面,大众对于"隐私"和"安全"的认知还不够。知道https作用的用户份额非常少,以至于即使163邮箱开通了整站https,也不会产生什么影响(geek们该不用的照样不用,普通用户不会注意这种改变)。 https这种东西在国内的作用,也只限于了保证登陆的密码安全,防黑客攻击。 最后,全站https提升了开发和部署难度、提升了运维成本,最终却难以给用户带来太多好处,绝大部分用户也不会领情。。嗯,真的没必要。 |
|
54
octopus_new OP @icyalala 其实感觉这是个态度问题, alipay不就整站的 ssl 么. 就跟说:"反正给你自由你就一定比现在过得好么, 不一定的话..., 嗯, 真的没必要"一样. 是个姿态问题.
|
 |
55
breeswish 2013-11-06 08:27:36 +08:00
安全意识薄弱,配套网站不支持,……
DNSPod创始人不是在另一个帖子里说过么,DNSPod是很有安全意识的,从最初就是以很高安全标准来做的。所以DNSPod用https在意料之内。 另外,我记得百度不会收录https 以及,新浪微博组件 不支持https方式访问,等等 现在域名证书一点也不贵 wildcard都只要$8/yr |
|
56
breeswish 2013-11-06 08:30:24 +08:00
补充
国内几乎找不到一个支持https的CDN,无论免费付费的(貌似前几个月才刚刚出现一个号称支持https的,但是好像很少有人用) 也找不到一个支持https的图床/云存储(难得七牛云下有个qbox是有https的,上个月证书过期了也没人管) [所以配套服务不支持https也是制约https在国内发展的因素之一] |
 |
57
est 2013-11-06 08:34:44 +08:00
小站懒得搞,大站搞了国安要来找~~~~~~~~
|
 |
58
Eson 2013-11-06 15:26:02 +08:00
之前看163还是哪个门户,登录名和密码居然是明文传输的!
v2ex登录后还停留在登录页面,搞得我以为密码错了,试了好多遍。。 |
 |
59
huafang 2013-11-06 19:34:55 +08:00
@sweethotdog 正解
|
 |
61
hopper 2016-06-10 10:43:06 +08:00
豆瓣全站已经是全部 https 加密
|
Select Language