刚刚发现CNode.org支持HTTP访问
发布于 6 天前 作者 dou4cc 346 次浏览 来自 问答

是不是个安全bug?

10 回复

@dou4cc 浏览器会自动跳 https。http 是留给某些测试场景或者爬虫的。保证了浏览器always使用https的话,我觉得这应该不算一个安全隐患吧?

@alsotang 根本就不跳转!

@dou4cc 你的浏览器不认 hsts,这是我们网站的问题还是你这个浏览器的问题?

然而我用的已经是firefox nightly了,CNode应该提供其他跳转方式,至少让登录信息和HTTP分开,毕竟hsts有首屏泄露信息的风险。@alsotang

@dou4cc 是的,有泄露首屏信息的风险。我们没有做的那么严谨。https 只提供了大概的安全性。

@dou4cc firefox nightly 竟然不识别 hsts。。。。晕

@alsotang hsts因为设计有问题,才少有浏览器实现。

回到顶部