我不赞成 HTTPS-all-the-things,但我相信你那里有些误解。
"HTTPS 不是一个神奇的解决方案,它不能阻止你的服务提供商被黑客攻击,如果黑客掌握了服务器的数据,HTTPS 也不能阻止他们滥用它。"
没错,但这是另一层防御,这才是安全的全部意义所在。你不应该启用 HTTPS 就万事大吉,你应该将它作为你的整体安全的一部分来做,同时进行密码哈希、设置安全 cookie 等。
"HTTPS 不能帮助你 [内容完整性]"
会的!它可以帮助防止中间人攻击。你可以拥有地球上最安全的网站,但如果你以明文传输信息,任何人都可以看到它,并可能在传输过程中修改它。
其余的都是一样的,你似乎认为 HTTPS 被提议作为一个解决方案,而它只是解决方案的一部分,而且实际上是非常重要的一部分,不应该被忽视。
我认为我们都最重视我们银行和电子邮件的密码,但你是对的,我们都应该更加重视我们的密码,而不是一开始看到的那样。
这里有 Brian Krebs 的几篇文章,作为黑客帐户用途的示例
https://krebsonsecurity.com/2013/06/the-value-of-a-hacked-email-account/ https://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revi…
发表的评论
我不赞成 HTTPS-all-the-things,但我相信你那里有些误解。
"HTTPS 不是一个神奇的解决方案,它不能阻止你的服务提供商被黑客攻击,如果黑客掌握了服务器的数据,HTTPS 也不能阻止他们滥用它。"
没错,但这是另一层防御,这才是安全的全部意义所在。你不应该启用 HTTPS 就万事大吉,你应该将它作为你的整体安全的一部分来做,同时进行密码哈希、设置安全 cookie 等。
"HTTPS 不能帮助你 [内容完整性]"
会的!它可以帮助防止中间人攻击。
你可以拥有地球上最安全的网站,但如果你以明文传输信息,任何人都可以看到它,并可能在传输过程中修改它。
其余的都是一样的,你似乎认为 HTTPS 被提议作为一个解决方案,而它只是解决方案的一部分,而且实际上是非常重要的一部分,不应该被忽视。
我认为我们都最重视我们银行和电子邮件的密码,但你是对的,我们都应该更加重视我们的密码,而不是一开始看到的那样。
这里有 Brian Krebs 的几篇文章,作为黑客帐户用途的示例
https://krebsonsecurity.com/2013/06/the-value-of-a-hacked-email-account/
https://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revi…