刚刚发现CNode.org支持HTTP访问 - CNode技术社区

是不是个安全bug？

dou4cc 1楼•6 天前

alsotang 2楼•6 天前

@dou4cc 浏览器会自动跳 https。http 是留给某些测试场景或者爬虫的。保证了浏览器always使用https的话，我觉得这应该不算一个安全隐患吧？

dou4cc 3楼•5 天前

@alsotang 根本就不跳转！

CoderIvan 4楼•4 天前

有图有真相

dou4cc 5楼•4 天前

@alsotang @CoderIvan 有图有真相未命名.PNG

alsotang 6楼•4 天前

@dou4cc 你的浏览器不认 hsts，这是我们网站的问题还是你这个浏览器的问题？

dou4cc 7楼•4 天前

然而我用的已经是firefox nightly了，CNode应该提供其他跳转方式，至少让登录信息和HTTP分开，毕竟hsts有首屏泄露信息的风险。@alsotang

alsotang 8楼•4 天前

@dou4cc 是的，有泄露首屏信息的风险。我们没有做的那么严谨。https 只提供了大概的安全性。

alsotang 9楼•4 天前

@dou4cc firefox nightly 竟然不识别 hsts。。。。晕

dou4cc 10楼•4 天前

@alsotang hsts因为设计有问题，才少有浏览器实现。

回到顶部