我们相信:世界是美好的,你是我也是。平行空间的世界里面,不同版本的生活也在继续...

和讯作为国内知名的金融信息平台,目前对https的处理可能还存在一些问题。例如:在下面这个频道 http://zhibo.hexun.com/ 里面,点击登陆和注册的时候,注意看左上角的“安全”和“不安全”的提示。

苏南大叔:从“和讯登陆注册”谈“chrome对http环境下的密码输入处理” - hexun-chrome-https-1
从“和讯登陆注册”谈“chrome对http环境下的密码输入处理”(图6-1)

苏南大叔:从“和讯登陆注册”谈“chrome对http环境下的密码输入处理” - hexun-chrome-https-2
从“和讯登陆注册”谈“chrome对http环境下的密码输入处理”(图6-2)

苏南大叔:从“和讯登陆注册”谈“chrome对http环境下的密码输入处理” - hexun-chrome-https-3
从“和讯登陆注册”谈“chrome对http环境下的密码输入处理”(图6-3)

大家可以发现,当页面上出现了密码输入框的时候,chrome会对http的网站,提示“不安全”。当密码输入框的属性从password变成text的时候,chrome就会去除其“不安全”的提示。所以,可以推断:chrome的判断标准是页面dom中是否存在input type="password"。

那么这么提示的根源是什么呢?就是要大力推广https。http和https除了默认端口号不一样外,当然实质上,https是个加密的协议,里面的数据是无法被拦截的。(真的嘛?其实也可以被拦截,苏南大叔曾经做过实验,完美拦截https的明文。以后可以和大家讲https的明文拦截)而http的数据包是明文传输的,其实网络上的任何一个节点,都能轻松截获你的密码。(是不是吓坏了?)

所以chrome对于https的这个提示,也不是空穴来风。

那么话锋一转,为啥,这种情况下,和讯为什么还不全面启用http呢?还放任浏览器提示http不安全?大家知道,大网站都是启用cdn的,而cdn实际上是在网络上放了无数的备份缓存节点。对于文字新闻类的页面,一般都是要启用cdn的。这样,会对用户比较友好,加快访问速度。然而,对于启用cdn的页面,我们如果同时启用https的话,就涉及到一个证书分发的问题。企业是否愿意把https的证书交给第三方提供cdn服务的公司呢?这个是个“仁者见仁智者见智”的问题。

不过,其实和讯也是有提供https的注册页面的。例如:https://reg.hexun.com/regname.aspx 所以说,为啥没有全面启用https,这个嘛。你懂的。附上两个ping的截图。可以看到reg.hexun.com也是同时启用了cdn和https的。那么他的cdn里面就可能配置了某些回源策略了。你懂的。

苏南大叔:从“和讯登陆注册”谈“chrome对http环境下的密码输入处理” - hexun-chrome-https-4
从“和讯登陆注册”谈“chrome对http环境下的密码输入处理”(图6-4)

不过似乎,这两个不同的频道,动用了两家cdn?这个这个嘛.....似乎,zhibo频道是使用了阿里云的CDN。而reg这个栏目,使用了知道创宇的加速乐业务。当然,也不排除reg部署在阿里云上面,但是不使用阿里云的cdn,而转向使用加速乐的CDN服务。

随手分析一下而已,当然了,运维部门自有其考虑,我们就是多虑一下下而已~当然了,最后说说,好像http的这些网站,从部署的角度看,已经部署了https,就仅仅是没有安装证书而已。不信?把http换成https试试看。

当然了,最后表个态:大网站就更要注重用户体验哦~ 让大家放心才是硬道理。毕竟是个金融类的服务平台,是要和money打交道的,是不是?大家都有个定心丸,才ok。

好吧,以和讯的一篇文章,来结束这篇文章吧。链接:http://bank.hexun.com/2017-02-14/188134355.html 截图,自己看哦。哈哈~

苏南大叔:从“和讯登陆注册”谈“chrome对http环境下的密码输入处理” - hexun-chrome-https-5
从“和讯登陆注册”谈“chrome对http环境下的密码输入处理”(图6-5)

苏南大叔:从“和讯登陆注册”谈“chrome对http环境下的密码输入处理” - hexun-chrome-https-6
从“和讯登陆注册”谈“chrome对http环境下的密码输入处理”(图6-6)

如果本文对您有帮助,或者节约了您的时间,欢迎打赏瓶饮料,建立下友谊关系。
本博客不欢迎:各种镜像采集行为。请尊重原创文章内容,转载请保留作者链接。

 【福利】 腾讯云最新爆款活动!1核2G云服务器首年50元!

 【源码】本文代码片段及相关软件,请点此获取更多信息

 【绝密】秘籍文章入口,仅传授于有缘之人   和讯    cdn