V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
FlowMEMO
V2EX  ›  SSL

国内有哪些网站是你认为应该已经部署 https 了但是**居然**没有的

  •  1
     
  •   FlowMEMO · 2016-11-28 20:35:56 +08:00 · 9164 次点击
    这是一个创建于 2899 天前的主题,其中的信息可能已经有所发展或是发生改变。

    中国最流行的两个社交网站还有最流行的邮箱服务都没开 https ,我觉得以这几个网站的规模是在不合适。

    还有哪些?

    58 条回复    2017-01-17 10:07:55 +08:00
    coolrc
        1
    coolrc  
       2016-11-28 20:39:31 +08:00 via Android
    狗东
    DoraJDJ
        2
    DoraJDJ  
       2016-11-28 20:41:25 +08:00
    www.bilibili.com

    嗯,我就是跟逸睿国度过不去。你逸都开始用 HTML5 、 Vue.js 等新技术了,为何再不跟点 HTTPS 大潮?


    @coolrc https://www.jd.com/
    FlowMEMO
        3
    FlowMEMO  
    OP
       2016-11-28 20:42:13 +08:00
    @coolrc 同意. 这种购物网站虽然有 https 但是不自动跳转依然不合理
    digimoon
        4
    digimoon  
       2016-11-28 20:43:37 +08:00
    各大银行的首页?
    terry0314
        5
    terry0314  
       2016-11-28 20:44:17 +08:00
    @DoraJDJ https://www.bilibili.com 也能访问,不过好多静态文件都是 http 的。
    lelsetsuna
        6
    lelsetsuna  
       2016-11-28 20:44:25 +08:00
    京东依然不是全站 https ,手机用流量 app 必被劫持广告,什么流量加油站之类的
    muziki
        7
    muziki  
       2016-11-28 20:46:05 +08:00 via iPhone
    网易云音乐
    某次心血来潮想引个播放链接,赫然发现居然不支持 https ,自己代理小麻烦,只好作罢
    coolrc
        8
    coolrc  
       2016-11-28 20:46:41 +08:00 via Android
    @FlowMEMO 狗东 https 只是防运营商劫持的,实际的购物页面根本没加密,先调到 https 的 301 页面,然后再跳到 http 的首页,用户还是得手动加 https 前缀,不是很懂狗东,为了节省服务器开支?
    xfspace
        9
    xfspace  
       2016-11-28 20:55:51 +08:00 via Android
    “开 HTTPS ,你就是要我放弃 IE6 用户咯?”🌚🌚
    honeycomb
        10
    honeycomb  
       2016-11-28 20:59:29 +08:00 via Android
    @xfspace
    本该如此,而且臭名昭著的淘宝已经做到了
    何况可以单独为 IE6 的 UA 设定例外
    ToughGuy
        11
    ToughGuy  
       2016-11-28 20:59:31 +08:00
    @xfspace

    很明显不是这个原因, 针对 IE6 设置个 301 跳转不就行了。
    pandachow
        12
    pandachow  
       2016-11-28 21:02:43 +08:00
    我司也不是。。。。
    FlowMEMO
        13
    FlowMEMO  
    OP
       2016-11-28 21:10:25 +08:00
    @pandachow 能说说原因吗?
    d7101120120
        14
    d7101120120  
       2016-11-28 22:12:12 +08:00
    B 站视频用了 https
    alect
        15
    alect  
       2016-11-28 22:13:22 +08:00
    我一直觉得国内没流行 SSL 的原因是 IP 资源匮乏价格太过于昂贵,特别是这些大网站需要用 CDN ,价格更是离谱。
    megatron
        16
    megatron  
       2016-11-28 22:20:31 +08:00
    电信的 189.cn ,简直开玩笑。
    isCyan
        17
    isCyan  
       2016-11-28 22:22:19 +08:00 via Android
    @alect 我觉得问题在于国内还有一大波人在用 XP 等不支持 SNI 的系统,不然就没有兼容性问题了, SNI 可以共享 IP
    liyafe1997
        18
    liyafe1997  
       2016-11-28 22:27:32 +08:00
    @terry0314 说明正在测试全站 https 了,不久的将来就会自动跳转。当年百度和淘宝也是一模一样的现象。
    haitang
        19
    haitang  
       2016-11-28 22:58:49 +08:00   ❤️ 1
    虽然楼主已经说了,但我还是必须要说 mail.163.com , https 跳转到 http ,强制开 https 居然登录页都刷不出, F12 看了下,登录的 iframe 居然是 http 的,明明支持 https
    imn1
        20
    imn1  
       2016-11-28 23:01:28 +08:00
    大部分银行,我认为应该全站 ssl
    isnowify
        21
    isnowify  
       2016-11-28 23:08:56 +08:00 via iPad
    b 站 html5 播放器已经使用 https
    wdlth
        22
    wdlth  
       2016-11-28 23:16:33 +08:00
    https://www.123xx.gov.cn/
    然后进去选地区的时候, https 没了……
    azh7138m
        23
    azh7138m  
       2016-11-28 23:19:09 +08:00 via Android
    @coolrc 装一个 HTTPS everywhere 就好了
    580a388da131
        24
    580a388da131  
       2016-11-28 23:49:25 +08:00 via Android
    微博和 QQ 空间两个,出于现实考虑,不推 https 还可以理解,但 163 邮箱不支持就完全不能理解了。
    xbb7766
        25
    xbb7766  
       2016-11-28 23:58:28 +08:00   ❤️ 1
    各大银行应该全站 SSL+HSTS (然而并没有)
    几个运营商的网上营业厅也应该 SSL
    狗东虽然支持 https ,然而没有 HSTS ,而且部分页面默认也是 HTTP 。看看人家淘宝、亚马逊全站 HTTPS 了都。

    一句话,涉及到个人隐私的部分应该 HTTPS 而且是强制。
    AutoRip
        26
    AutoRip  
       2016-11-29 00:33:46 +08:00 via Android   ❤️ 2
    smzdm.com
    领个优惠券还要求我绑定芝麻信用进行实名认证,看到输入框敏感地抬头一看,地址栏大写的 HTTP ,祝此站早日结束生命周期🙃
    注册必须使用手机验证的网站能放弃的放弃🙃
    之前想在小米商城买东西,用以前几乎没用过的账号登录,提示我验证,注册时用的以前的手机号码已被回收,虽然可以联系现使用者代收但想想还是算了,选择申诉找回,很好,一步一步经历了各种历史信息填写到了最后,网页提示说,请上传手持身份证照片(似乎是要求手持)并等待人工审核,立马关闭网站心里怒骂小米一百次请小米原地花式螺旋爆炸 65536 次🙃
    RqPS6rhmP3Nyn3Tm
        27
    RqPS6rhmP3Nyn3Tm  
       2016-11-29 04:36:10 +08:00
    @xbb7766 登录页是有的,搞不懂银行能搞出安全控件这种高大上的东西却不愿意上全站 HTTPS
    juan8510
        28
    juan8510  
       2016-11-29 05:02:52 +08:00
    都上 https 你让网监怎么办
    shiji
        29
    shiji  
       2016-11-29 07:33:33 +08:00 via Android
    @juan8510 网监可以要求提交私钥。。。。
    Zohar
        30
    Zohar  
       2016-11-29 08:19:02 +08:00 via Android   ❤️ 3
    coolapk.com
    下载.apk 文件经常被劫持

    music.163.com
    没有 HTTPS 不方便盗链(光速逃

    各大不支持免费上 HTTPS 的 CDN
    上 HTTPS 的价格在各大 CDN 那里完全呈现三个极端:要么完全不支持,要么完全免费(哪怕流量费贵一点儿也好),还有一种就是上 HTTPS 贵的要命。

    t.cn dwz.cn 等短网址服务
    刷个微博,点个链接,强制走 t.cn 短网址跳转,这时候已经有一种被强奸的感觉了,他竟然还不支持 HTTPS …

    还有好多…
    enenaaa
        31
    enenaaa  
       2016-11-29 09:08:12 +08:00
    csdn
    zoffy
        32
    zoffy  
       2016-11-29 09:29:31 +08:00
    税局网站
    wangjiezheng
        33
    wangjiezheng  
       2016-11-29 10:29:28 +08:00   ❤️ 1
    狗东依旧不是全站 HTTPS ,当当网,贝贝网很多电商网站都没用全站启用 HTTPS 。还好我们公司明智,很早就全站接入又拍的 HTTPS 了,不用为迁移之类的费心了。
    Explorare
        34
    Explorare  
       2016-11-29 12:05:52 +08:00
    东航
    Explorare
        35
    Explorare  
       2016-11-29 12:06:07 +08:00
    东航连注册页面都是纯 HTTP 的 ( ´_ゝ`)
    alwayshere
        36
    alwayshere  
       2016-11-29 12:14:10 +08:00   ❤️ 1
    各大银行应该都不懂什么叫 HTTPS 吧,你让他们做个兼容国内使用率超一半的 webkit 浏览器的网站他们都做不出来,你还想他们做个支持 HTTPS 的,呵呵
    Eleutherios
        37
    Eleutherios  
       2016-11-29 13:03:18 +08:00 via iPhone
    @FlowMEMO 你需要 https-everywhere
    Devmingwang
        38
    Devmingwang  
       2016-11-29 14:37:19 +08:00 via Android
    10086 支持 https 惹,不过也不是全部业务支持。
    cnZary
        39
    cnZary  
       2016-11-29 15:08:02 +08:00   ❤️ 1
    QQ 的 oauth.....
    Chrisplus
        40
    Chrisplus  
       2016-11-29 15:19:36 +08:00
    @juan8510 奉旨中间人攻击

    甚至直接要求秘钥备案?
    jason19659
        41
    jason19659  
       2016-11-29 15:33:05 +08:00
    hilence
        42
    hilence  
       2016-11-29 15:56:48 +08:00
    多了去了
    Quaintjade
        43
    Quaintjade  
       2016-11-29 16:18:31 +08:00
    各大银行的软件下载地址。基本上就算你访问的是 https ,下载链接还是 http 的。
    当然有没有添加其他校验方法就不知道了。
    jj123456
        44
    jj123456  
       2016-11-29 17:27:09 +08:00
    全站 HTTPS 加密的的改造是非常麻烦,成本也会比较高。
    FlowMEMO
        45
    FlowMEMO  
    OP
       2016-11-29 21:28:31 +08:00
    @Eleutherios 以前用过,没部署 https 的网站的还是没用. 而且装了之后我微博都等不上去
    FlowMEMO
        46
    FlowMEMO  
    OP
       2016-11-29 21:31:27 +08:00
    @linzianplay 真够可以的...


    @jj123456 所以我想说的是那些大网站. 比较一下,同等规模的国外大站基本都部署 https 了
    stabc
        47
    stabc  
       2016-11-29 21:33:18 +08:00
    微博这种我猜是有关部门不让 SSL 吧,毕竟要监控舆情
    phpcyy
        48
    phpcyy  
       2016-11-30 09:40:54 +08:00
    @FlowMEMO 京东支持自动跳转 https 了,昨天还不行,是不是看到了你的这条回复?
    jj123456
        49
    jj123456  
       2016-11-30 10:16:44 +08:00
    @FlowMEMO 自从 Let's Encrypt 出来之后,国外的网站基本上都上了 HTTPS , New York Times, yelp , Netflix , 还专门做过全站 HTTPS 的文章分享,国内,如果我没有记错,携程信用卡支付都是走的 HTTP 协议。
    FlowMEMO
        50
    FlowMEMO  
    OP
       2016-11-30 14:37:42 +08:00
    @phpcyy 哈哈哈不清楚。不过很多子域名还是没自动跳转,比如 http://a.jd.com/
    Hardrain
        51
    Hardrain  
       2016-12-01 20:59:28 +08:00   ❤️ 1
    1.狗东
    2.知乎——有 SSL 但有 Openssl Oracle Padding 漏洞,Qualys SSL Labs 评级为 F
    3.jie.360.cn ——评级也是 F
    Hardrain
        52
    Hardrain  
       2016-12-03 18:46:01 +08:00
    @alect 可以 SNI 啊
    maye526
        53
    maye526  
       2016-12-05 10:32:27 +08:00
    @jj123456 用又拍云啊,提供域名和证书就可以全站 HTTPS 了
    jj123456
        54
    jj123456  
       2016-12-05 10:56:36 +08:00
    @maye526 在 cdn 上面放了密钥对,如果密钥对泄漏了怎么办?
    maye526
        55
    maye526  
       2017-01-06 10:04:57 +08:00
    @jj123456 主要看气质哈哈哈,任何平台都有安全风险的啊,不过没听过他们家出问题,如果你很在意这个……我还真不知道百分百保险的办法嗯……
    ghost444
        56
    ghost444  
       2017-01-14 17:15:29 +08:00
    @DoraJDJ @jason19659 现在 B 站有 https 了
    jj123456
        57
    jj123456  
       2017-01-16 17:46:42 +08:00
    @maye526 让我想到每一次在 app store 里面看到支付宝的更新日志,从来都没有提及他们修复了多少安全漏洞,都是增加了多少新功能:)
    maye526
        58
    maye526  
       2017-01-17 10:07:55 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3094 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 14:02 · PVG 22:02 · LAX 06:02 · JFK 09:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.