作者sjerrysss (Jerry)
看板Soft_Job
標題[請益] 電商網站能不用HTTPS嗎?
時間Wed May 20 12:39:31 2020
路過一個生醫公司的購物頁面
發現居然不是用https
https://i.imgur.com/v8q6V8P.jpg
不過我也沒有送出訂單就是了
最近有個在做手工藝品的朋友來找我討論
說想開個品牌網站
裡面可能會有類似的網購服務(雖然我覺得不必要)
所以這陣子我也對這些電商感到興趣
但還不是很了解
想請教各位是不是有新技術取代https
還是說這生醫的網站只是單純沒用https而已?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.233.20.34 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1589949573.A.DFC.html
1F:→ hegemon: 一定要用https啦...05/20 12:44
2F:推 aidansky0989: 笑死05/20 12:48
3F:→ jobintan: 沒錢的用Let's encrypt應付先。05/20 12:49
我來研究一下
4F:→ jobintan: 不過如果用來賺錢的話,還是想法子籌錢買EV SSL唄。05/20 12:50
5F:推 king22649: 他有https版本05/20 12:51
6F:→ jobintan: 不然就用shopline這種現成的電商平臺。05/20 12:51
7F:推 king22649: 憑證是有效的~ 但圖片沒https05/20 12:53
請問如何看憑證是否有效?
8F:推 aleelyle: 看出多少錢05/20 12:56
該公司的官方網站是有https的
但購物頁面反而沒有 蠻有趣的
※ 編輯: sjerrysss (118.233.20.34 臺灣), 05/20/2020 13:01:31
※ 編輯: sjerrysss (118.233.20.34 臺灣), 05/20/2020 13:01:53
10F:→ guanting886: 就算不用 certbot 上 CloudFlare 也可以走 https 05/20 13:12
12F:推 guanting886: SSL 憑證內容點鎖頭應該都會顯示內容 05/20 13:14
13F:推 king22649: chrome 左上 + console debug 就知道大概問題在哪了 很 05/20 13:15
14F:→ king22649: 閒可以那工具掃一下 我猜有其他漏洞 05/20 13:15
15F:推 guanting886: 但真有問題,例如:過期、CT有錯、電腦缺根憑證之類 05/20 13:16
16F:→ guanting886: 的 05/20 13:16
17F:→ guanting886: 瀏覽器第一時間會擋下不給你連線 05/20 13:16
18F:→ king22649: free https 用traefik reverse proxy + letsencrypt就o 05/20 13:18
19F:→ king22649: k了 traefik docker支援不錯 不過不知道有沒有漏洞 畢 05/20 13:18
20F:→ king22649: 竟接出docker.sock給traefik用 感覺毛毛der 05/20 13:18
21F:→ superpandal: 可以 咚咚咚 05/20 13:46
22F:推 philip80220: 星聚點的線上刷卡付費也不是https… 05/20 14:09
23F:推 leo5916267: 應該沒差吧?金流那塊有就好了 05/20 14:31
24F:推 pig0038: 沒全站HTTPS不會有被網域綁架,導向非官方金流頁面的疑 05/20 15:39
25F:→ pig0038: 慮嗎? 05/20 15:39
26F:推 max9527: 沒用被駭客看到就等於自家大門敞開 05/20 16:21
27F:推 neo5277: 有人想裸奔,是他的自由 05/20 16:33
28F:推 guanting886: 他這個網站有 HTTPS 但是沒有 Force SSL 05/20 16:58
29F:→ guanting886: 有人說網站沒有 SSL 金流有就好 沒差吧 05/20 16:58
30F:→ guanting886: 那麼你的網站在特定的網路環境下 很有可能會遇上兩 05/20 16:59
31F:→ guanting886: 個問題 05/20 16:59
32F:→ guanting886: 例如:你的帳號密碼會因為連線過程未使用加密 HTTP 05/20 17:00
33F:→ guanting886: 封包會被攔截 有心人可以從裡面得到 Form Data 來 05/20 17:00
34F:→ guanting886: 知道你帳號密碼 05/20 17:00
35F:→ guanting886: 有些系統會因為安全強度要求 會在送出前做一定程度 05/20 17:02
36F:→ guanting886: 自製加密or混淆 但這種狀況很少見 大部分的系統不會 05/20 17:02
37F:→ guanting886: 做處理 05/20 17:02
38F:→ guanting886: 另一種情況是 封包會帶有 cookie 05/20 17:02
39F:→ guanting886: 有心人只要把 session id 抽出來就可以代替該使用者 05/20 17:03
40F:→ guanting886: 進行登入 05/20 17:03
41F:→ guanting886: 通常有些安全係數做比較高的 會去檢查IP來源跟過往、 05/20 17:04
42F:→ guanting886: 地區 或是 User Agent 不同 如果不同 就要求重新登入 05/20 17:04
43F:→ guanting886: 或做更進階的驗證程序 05/20 17:04
45F:→ guanting886: 所以 你覺得全站有沒有必要SSL 要 尤其是你有使用 05/20 17:06
46F:→ guanting886: 者登入機制的那類平台應該要有 05/20 17:06
47F:→ guanting886: 不過原文的網站其實是有SSL的 只是沒有導過去 05/20 17:07
48F:→ guanting886: 原PO可以去反應一下 給個建議或許也不錯 05/20 17:07
49F:→ guanting886: 這家牌子我喝過XD 但是沒空寫這個反應 05/20 17:08
50F:推 zased: 這很簡單:1.憑證沒有問題,是被認可的憑證 2.僅是沒有開 05/20 17:48
51F:→ zased: 啟HSTS 05/20 17:48
52F:→ zased: 開啟HSTS,那個警告就會消失了 05/20 17:49
53F:推 bill0205: 有無https只差在傳送資料過程中有沒有被加密 不過沒有ht 05/20 18:51
54F:→ bill0205: tps還是不會想用 05/20 18:51
55F:推 lovez04wj06: 不走SSL,不用HTTPS哪間金流會讓你用??? 05/20 23:13
56F:→ lovez04wj06: 只是不會全站都用,但一定都會有的 05/20 23:14
57F:→ x000032001: 都2020年了還有人不是預設https阿 05/21 00:04
59F:→ sppmg: 法驗證但 chrome 可以? 05/21 00:12
60F:→ superpandal: 可以阿 作法比較不一樣而已 嘻嘻嘻 高估https了 05/21 04:23
61F:推 mathrew: 連我們公司都走 https 了,你電商還不走 https 05/21 06:35
62F:推 b85040312: 不走 https 是要被看光嗎 05/21 06:50
63F:推 ted1231: .....啊有免費的憑證服務 你為何不用呢? 05/21 07:57
64F:推 king22649: 不走https有些串接可能不能用 05/21 13:27
65F:→ SlimeEditor: 經濟部網頁那個 現在只留3個cipher suite 我猜是 05/21 14:30
66F:→ SlimeEditor: firefox都不支援的關係 導致無法建立連線 05/21 14:30
67F:→ wahahahaaa: 去提醒他一下拉 05/21 17:03
68F:推 kingofsdtw: 土匪綁架user買cer 05/21 19:58
69F:→ kingofsdtw: digrst不好嗎? 05/21 19:58
70F:推 pizzahut: 經濟部網頁 第二代GCA憑證 火狐沒有要自行下載吧 05/21 23:50
71F:推 pizzahut: 剛測試了一下,重裝憑證不行,當我沒有說,拍謝@@ 05/22 00:10
72F:推 aldy120: 不安全的警示是因為 mixed content ,而不是因為沒有用 h 05/22 00:18
73F:→ aldy120: ttps 05/22 00:18
74F:推 guanting886: 早期瀏覽器只要有抓到網頁有login form之類的東西會 05/22 00:24
75F:→ guanting886: 自動提示這個網頁不安全 並不是 05/22 00:24
76F:→ guanting886: mixed content 甚至可以說在很早期的IE就實作跳轉上 05/22 00:25
77F:→ guanting886: 現在是照著 05/22 00:26
79F:→ guanting886: rity/Mixed_content 05/22 00:26
80F:→ guanting886: 規格 05/22 00:27
81F:推 guanting886: 不過裝 SSL 沒什麼成本 而且還能運用伺服器自帶的 HT 05/22 00:30
82F:→ guanting886: TP2 模組 提供 HTTPS 連線真的會比較好 05/22 00:30
83F:推 guanting886: 只有少數為了高併發或逼主機CPU使用量到極限 05/22 00:35
84F:→ guanting886: 會優先使用HTTP 不使用HTTPS 05/22 00:35
85F:→ guanting886: ^^ 高並發 05/22 00:35
86F:推 mrji3g4xjp6: 免費的撐著用 我司就是 05/29 07:10