这是一个创建于 4548 天前的主题,其中的信息可能已经有所发展或是发生改变。
国外网站基本上从注册到登录都把链接做成 https, 为什么国内从门户网站,到小型 online store 都很少使用 https? 一直都想不通啊
 | 1 pfitseng 2013 年 11 月 5 日 via Android 贵 不重视 |
 | 2 chairuosen 2013 年 11 月 5 日  1 记得DNSPOD用 |
 | 3 octopus_new OP @pfitseng 小网站还说得过去, 但是对于新浪,网易这种网站钱肯定不是问题, 而且 https 这种对于大网站肯定也不会存在不重视的问题吧? 贵和不重视完全说不通啊 |
| 4 octopus_new OP @chairuosen 看了, DNSPOD 确实用, 但是这也算是极少数了吧 |
 | 5 shiny PRO 举例:cnzz 不支持 https(几个月前,现在已经可以了);百度分享、多说之类的服务不支持 https;很多 CDN 不支持;购买证书太贵;很少有大的主机商卖证书;互联网相关法律不健全,安全意识薄弱;使用 ssl 的社会风气缺乏。 |
| 6 shiny PRO 还有,国内独立 ip 量少,而 https 在低级浏览器里 hosts 支持有问题。 能列出一堆可能的因素。 |
| 7 shiny PRO 再比如,百度收录 https 有问题? |
 | 8 cctvsmg 2013 年 11 月 5 日 主要是安全意识薄弱,稍微有整站https的就吹个天大的牛皮“银行级别加密” 就连webqq出来好长时间都不支持https,就算是现在也是默认不开,打开了以后有相当多的流量不走https,简直无语。 |
 | 9 tension 2013 年 11 月 5 日 |
 | 10 sweethotdog 2013 年 11 月 5 日 方便监听明文 |
| 11 octopus_new OP @cctvsmg 是啊, 这个我觉得挺难理解的. 如果是小站点买不起 wildcard ssl也就罢了(虽然可以买一些初级的 SSL), 门户站的服务为什么也不加 SSL 就很理解不了了, 至少 SSL 在很大程度上可以保护用户的信息. |
| 12 tension 2013 年 11 月 5 日 本来想搞EV SSL 国外 130刀 都买了,结果不支持中国公司 国内一个EV SSL 卖**的几千块甚至上万块 没见过钱一样!!! |
 | 13 suziewong 2013 年 11 月 5 日 支付宝 |
| 14 octopus_new OP @tension 土豪你这是在赤裸裸的打广告啊, 哈哈. 不过我看了一下, 网站本身并不强制使用 https, 而且用户登录也不强制 https, 这 SSL 钱花的不值啊, 呵呵. |
| 15 shiny PRO @octopus_new 你可以访问网易的ssl看,CDN加证书代价也很大。 |
| 16 octopus_new OP @sweethotdog 是的, 我也有这种考虑, 是不是 GOV 并不支持网站使用 https...... |
| 17 octopus_new OP |
| 18 pfitseng 2013 年 11 月 5 日 via Android @octopus_new 你要考虑到cdn ,而且ssl 影响性能。总之,布ssl 比较麻烦又增加支出,但对用户是透明的,不增长利润。webqq 自己搞了个vhttp,属于旁门。gov 应该是多虑了,根本不用操这心,具体看csdn 。 |
| 19 tension 2013 年 11 月 5 日 @octopus_new 我想设置强制SSL 来着,但是不会设置... |
| 20 octopus_new OP |
| 21 octopus_new OP @tension 我晕, 你这 web 系统是自己开发的还是用的第三方的程序啊, 怎么不会设置呢......, 这么多牛头人, 随便问一下就搞定了吧, 哈哈 |
| 22 octopus_new OP @pfitseng 我觉得可能还是不重视, 和CDN或者性能什么的都没关系, 都是上市的门户网站, 连 SSL 这点钱或者性能问题都搞不定, 那还门户个毛啊. |
| 23 shiny PRO @octopus_new 因为ssl要独立ip而cdn已经把证书给12306了。 |
 | 24 icyalala 2013 年 11 月 5 日 大公司弄个证书还是没问题的。 SSL很影响性能,增加了工程的部署难度,增加了前端的开发难度,增加了流量。 这些都是钱啊!!对用户的安全性提升却是很少。。 顶多登录时用个SSL,保证你登录安全就行了。。至于隐私?呵呵 |
| 25 octopus_new OP @shiny 你在说什么呢, 这个和12306有什么关系? |
| 26 octopus_new OP @icyalala 按照你这么一说, 那 Google 的 SSL 有什么意义? 国外公司用 SSL 有什么意义? |
 | 27 clippit 2013 年 11 月 5 日 此外别忘了天朝整体的网络基础,一些落后地区HTTPS的连接成功率很低,更别说手机上了 |
 | 28 Zhang 2013 年 11 月 5 日 方便监听 |
 | 29 felix021 2013 年 11 月 5 日 对于登录而言,https其实不是必须的,可以很容易避免重放攻击。 |
 | 30 pubby 2013 年 11 月 5 日 小网站搞ssl很容易,大网站分布式的搞https是很麻烦的事情 偶尔给你登陆地址弄个https已经很不错了 :P |
| 31 icyalala 2013 年 11 月 5 日 |
| 32 octopus_new OP 1 我发现大家都在说什么什么 CDN https 部署困难, 什么登录意义不大, 难道 facebook, twitter, Google, Amazone 部署 SSL 就特简单? 意义不大为什么海外公司都在用, 难道有钱没地方花了? 理解不了啊...... |
| 33 octopus_new OP @icyalala 说来说去还是不重视......, 意义和钱都不是关键 |
 | 34 coosir 2013 年 11 月 5 日 打开http://www.126.com ,登录框下方显示“正使用SSL登”,但是明显不是https啊,而且表单post地址也不是https。难道有js会自动改变post地址?请前端高手来剖析下代码 - - |
| 35 coosir 2013 年 11 月 5 日 另外打算将我管理的网站的用户登录部分采用https了,https://mostlink.com |
 | 36 webflier 2013 年 11 月 5 日 你从哪儿看到国内门户网站都不用https的?你看看谁家的登陆功能不走https的? 你不能指望新浪网易整站都走https吧?看个新闻走https有意思吗? 要说国外,你看看yahoo和msn的门户能走https? 请您移步去访问https://www.yahoo.com和https://www.msn.com看看 |
| 37 octopus_new OP 1 @webflier 从讨论的一开始我有说"整站"这个词么? 看阁下这语气是来打架来了? 作为保护用户信息的方式, 难道在客户登录的时候不应该使用 SSL 加密么? 你用 https://www.sina.com.cn 访问和用 https://www.yahoo.com 访问看看结果一样么, 雅虎直接返回 http, 而 sina 直接无法显示, 这不正说明国内网站不重视 https 连接么? 实在是不理解我踩到您哪里了, 让您这么不爽...... |
| 38 octopus_new OP @coosir 我觉得使用 https 是一个网站重视用户信息最基本的表现, 我发现国外用户更倾向于使用有 ssl 加密的网站, 好像国内在用户这一块大家就很少 care. |
| 39 webflier 2013 年 11 月 5 日 @octopus_new 在我看来,国内的大部分大网站登陆都是走https的。所以我不觉得他们做的有什么问题。而你说国内门户网站很少走https,那请问你指的是什么?你这个结论是怎么来的? 雅虎直接返回 http, 而 sina 直接无法显示,这只能说明他们都不支持https. 我语气不好,我向你道歉。 |
| 40 octopus_new OP @webflier weibo.com就不走 https, 而且微博貌似还要求了实名制. https://mail.163.com 在我这里也无法访问. 而且我从一开始也并没有说"都", 你从一开始的进入这个讨论就已经问题重重了...... |
| 41 webflier 2013 年 11 月 5 日 @octopus_new 豁然开朗 原来你以为https://mail.163.com不能访问,就说明在http://mail.163.com/上的登陆作是不安全的,不走https的? 我错了。。。。真的。。。。真不该插一脚的。。。。 |
 | 42 hzlzh PRO |
| 43 octopus_new OP 2 |
 | 44 coagent 2013 年 11 月 5 日 via iPhone 在登录框搞个要用户去勾的SSL登录选项,本身就是用户体验的问题。 |
| 45 tension 2013 年 11 月 5 日 1 @octopus_new 已经强制到HTTPS了! |
| 46 octopus_new OP @tension 你这服务真心给力啊, 土豪, 说干就干啊, 哈哈 :) |
| 47 octopus_new OP @coagent 是的, 感觉国内网站的体验不那么好, 这么多年好像改变也很缓慢. 可能公司大了一点点变动都变得很困难吧. |
| 48 tension 2013 年 11 月 5 日 |
 | 49 046569 2013 年 11 月 5 日 抠字眼的话LZ这个是伪命题,当然意思大家都明白. 不要管别人用不用,自己搞的一定要用,还能顺道解决某些无良运营商污染HTTP的问题. |
 | 50 liuhang0077 2013 年 11 月 5 日 |
| 51 octopus_new OP @046569 是啊, 我觉得 https 这个事情看上去无关紧要, 但是对于用户来讲, 至少让人感觉放心. 我之前做过两个同一领域不同公司(都是老外的公司)的online sales网站(A公司没有使用 ssl, B 公司用 ssl), A 公司 Google 排名靠前但是 online sales 每年会比 B 公司少大概300 - 500个 orders. 所以我觉得其实用户应该是在乎自己的信息的. |
| 52 icyalala 2013 年 11 月 6 日 正面的说一下。 SSL的作用是在浏览器和服务器之间建立一条加密的通道,防的是能接触到你和服务器之间通信的第三者,捕获到私密信息。这样说来,内容、新闻类的网站,本身没有什么私密信息,那走https毫无作用。https是作用于那些包含了私密信息通信业务的网站,比如SNS、电商、邮件、包含登陆功能的站点等。 国外的用户(注意这里是用户)非常重视个人隐私,莫不如说西方社会对隐私和安全等非常重视。我在google搜索东西,不想让别人知道,防的是谁呢?我和google肯定是相互信任的,防的就是运营商、乃至政府(政府即使想嗅探,也要偷偷滴干,不然也会惹大麻烦)。 至于说购物、登陆密码等东西,更是需要注意安全了。 这些场景下,https很有必要,用户需要,网站为了服务用户自然也是需要的。 换到国内,“隐私”这种东西变得很微妙。用户和网站之间的通信内容,需要接受政府的审查和监管。用户和网站必须舍弃一些东西才能继续生存(CNNIC证书可信吗?如果不可信https有用吗?)。 不论哪一方面,大众对于"隐私"和"安全"的认知还不够。知道https作用的用户份额非常少,以至于即使163邮箱开通了整站https,也不会产生什么影响(geek们该不用的照样不用,普通用户不会注意这种改变)。 https这种东西在国内的作用,也只限于了保证登陆的密码安全,防黑客攻击。 最后,全站https提升了开发和部署难度、提升了运维成本,最终却难以给用户带来太多好处,绝大部分用户也不会领情。。嗯,真的没必要。 |
| 54 octopus_new OP @icyalala 其实感觉这是个态度问题, alipay不就整站的 ssl 么. 就跟说:"反正给你自由你就一定比现在过得好么, 不一定的话..., 嗯, 真的没必要"一样. 是个姿态问题. |
 | 55 breeswish 2013 年 11 月 6 日 安全意识薄弱,配套网站不支持,…… DNSPod创始人不是在另一个帖子里说过么,DNSPod是很有安全意识的,从最初就是以很高安全标准来做的。所以DNSPod用https在意料之内。 另外,我记得百度不会收录https 以及,新浪微博组件 不支持https方式访问,等等 现在域名证书一点也不贵 wildcard都只要$8/yr |
| 56 breeswish 2013 年 11 月 6 日 补充 国内几乎找不到一个支持https的CDN,无论免费付费的(貌似前几个月才刚刚出现一个号称支持https的,但是好像很少有人用) 也找不到一个支持https的图床/云存储(难得七牛云下有个qbox是有https的,上个月证书过期了也没人管) [所以配套服务不支持https也是制约https在国内发展的因素之一] |
 | 57 est 2013 年 11 月 6 日 小站懒得搞,大站搞了国安要来找~~~~~~~~ |
 | 58 Eson 2013 年 11 月 6 日 之前看163还是哪个门户,登录名和密码居然是明文传输的! v2ex登录后还停留在登录页面,搞得我以为密码错了,试了好多遍。。 |
 | 59 huafang 2013 年 11 月 6 日 @sweethotdog 正解 |
 | 61 hopper 2016 年 6 月 10 日 豆瓣全站已经是全部 https 加密 |
Select Language