1
oh 2017-06-30 10:18:50 +08:00
可以,前提是打开网址的时候就以 https 打开,否则如果是 http 之后响应 301 跳转 https 的,那照样劫持。
|
2
JarvisTang OP |
3
miyuki 2017-06-30 10:30:22 +08:00 via Android
基本上可以,我国运营商目前基本还没有劫持 https 的
你还可以加入 HSTS 列表,让浏览器直接强制选用 https 进行连接 |
4
kldsz 2017-06-30 10:53:40 +08:00
你看最近几年几个大的电商网站改成全 https 了,那不就是对付各路流氓么 →_→
|
5
tony1016 2017-06-30 11:11:49 +08:00
并不绝对,但是会好很多
1.因为 EV 证书没有起到应有作用,还是可能存在 DNS 污染来钓鱼替换的可能 2.购买了流氓的证书,用户又使用了流氓出的浏览器,那也还是会被耍流氓的风险 |
6
taineric 2017-06-30 12:45:40 +08:00 via Android
@tony1016 都控制浏览器了,为什么还要控制证书?如果没控制浏览器,在谷歌 CT 的监视下被发现证书就没了。
|
7
gen900 2017-06-30 14:51:50 +08:00 via iPhone
uri 参数被篡改了,用 https 有什么区别吗? uri 本身又不加密
|
8
otakustay 2017-06-30 15:15:56 +08:00
HTTPS 能确保不被**中间人**劫持,但是对于端劫持依旧是毫无办法的
|
9
lan894734188 2017-06-30 17:18:15 +08:00 via Android
滥发证书导致中间人的可能
而且大三元浏览器不检查证书… |
10
googlebot 2017-06-30 17:23:53 +08:00 via Android
Url 本身是明文,别人能改,
如果 url 放置的网页是 https,中间人不好改, |
11
Devmingwang 2017-06-30 18:48:36 +08:00
https 一般没办法被篡改(除非有这个 https 证书的密钥或者是 https 证书颁发者的密钥并且配合 dns 劫持设置反向代理),但是可以和 http 一样连接被重置。
|