刚刚发现CNode.org支持HTTP访问
是不是个安全bug?
10 回复
@dou4cc 浏览器会自动跳 https。http 是留给某些测试场景或者爬虫的。保证了浏览器always使用https的话,我觉得这应该不算一个安全隐患吧?
@alsotang 根本就不跳转!
有图有真相
@alsotang @CoderIvan 有图有真相
@dou4cc 你的浏览器不认 hsts,这是我们网站的问题还是你这个浏览器的问题?
然而我用的已经是firefox nightly了,CNode应该提供其他跳转方式,至少让登录信息和HTTP分开,毕竟hsts有首屏泄露信息的风险。@alsotang
@dou4cc 是的,有泄露首屏信息的风险。我们没有做的那么严谨。https 只提供了大概的安全性。
@dou4cc firefox nightly 竟然不识别 hsts。。。。晕
@alsotang hsts因为设计有问题,才少有浏览器实现。