所谓安全

今天有个朋友转了篇博文给我看,

http://blog.kangkang.org/wordpress/index.php/archives/207

深表赞同, 国内这些职业搞安全的, 就会搞些usb key/键盘驱动这种噱头来唬用户, 可是一点基本的安全素养都没有, 我也举个小例子好了, 其实这是跟朋友聊天聊出来的:

Jimmy: sb写的sb玩意
淘宝也一个德行
这些家伙都会用驱动监听键盘
但是淘宝连https都不会用
Black: ….
Jimmy: 淘宝那个控件在非ie浏览器都不能用
于是你在非ie浏览器下点那个安全模式登录就没控件
只是把页面切到https模式
Black: 然后就sb了
Jimmy: 重点就在这里了
那个登录界面是https的
但是你敲完密码点登录提交那个url
不是https的

taobao

贴个图以示证明, 有兴趣可以自己验证, 用Chrome很方便, 在淘宝的登录界面点一下那个安全登录, 如上所说, 因为只有IE支持那个破ActiveX安全控件, 页面并不会切换到安全登录模式, 但是看地址栏已经显示https://login.taobao.com/member/login.jhtml, 然后现在在登录按钮上右击, inspect element, 你就能看到上面那段代码了.

Advertisements

No comments yet

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s

%d 博主赞过: