共计 745 个字符,预计需要花费 2 分钟才能阅读完成。
在隔壁 #71 #74 回复过了,但估计很难被人看到,所以单开个帖:
https://www.v2ex.com/t/1043320
github 的问题也不是没被暴出来过:
https://zhuanlan.zhihu.com/p/36603247
单就传输信道而言,https 能解决中间人问题,明文在这个用户前端到厂商之间的 https 信道范围内没问题。
单就 github 而言,因为有二次验证,所以即使拿到密码了换个设备也登陆不上,所以有一定合理性。但 v 站没有二次验证,用明文我个人观点不太赞成
安全不只是传输信道,传输信道中间人之外还有社工、复杂的人生场景,例如有人借用你电脑的时候给你设置了个代理或者装了马拿到了你的帐号密码,以后说不定做什么坏事,这就属于传输信道之外的安全场景了。
用了 https 就明文只解决信道安全问题,用明文至少意味着:
- 用户应该尽量管理好自己设备的安全
- 用户到厂商之间的 https 信道之外的处理流程上,厂商应该确保安全,例如上面引用的文章里提到的 github 爆出来的问题
另外更简单的一个思考,如果不用明文、我们实现上增加了什么成本,带来了收益,有什么损失?
- 成本:几乎没有增加额外成本
- 收益:安全强度提高了
- 损失:安全上没损失,但厂商不知道你明文,至于厂商知道你明文有什么好处,自己脑补吧
很多人都是觉得:有人用明文,尤其是有大站例如 github 用明文,所以就是对的,根本没考虑过信道之外的安全,也没有考虑大站是否有额外的安全策略例如二次验证,也没有去统计对比,是不是所有大站都用明文、或者用明文的大站占据绝大多数,也没有去区别不同站的类型和对安全的需求等级,比如是否涉及资金安全的,例如金融类、电商类相关的接口
再用脚想一想,如果 https+ 明文就安全了,为啥还要有二次验证之类的额外的安全策略?
正文完
