敬告身边不了解网络的朋友,不要偷懒去用那个狗屎一样的铁道部购票网站:http://www.12306.cn。
我第一眼就震惊了需要信任一个完全没有安全和权威可言的自签名根证书,所以之后的一切流程都没有执行,什么实名注册、在线付款,根本不可信任。
用这个网站注册和付款的对于自身信息和网银都极其不安全。
中国人真是太可怜又太老实了,基数那么大,骗子总是有市场。
我不是因为看了天涯的文章才写这个博客,我平时不看天涯,似乎也没有帐号。
几个月前第一次听说铁道部出了购票网站想去试试的时候,第一眼就把我惊呆了,当时就痛恨这个网站!
忽然想起来年关将至大家都在买票,需要提醒身边的朋友,为了更方便的解释,才去Google了一下,搜到了那篇文章。
天涯上面的一个帖子,说的还算清楚:http://www.tianya.cn/publicforum/content/free/1/2354452.shtml
关于根证书,百度说的可以看看:http://baike.baidu.com/view/554880.htm
Entries (RSS)
博主自己都不懂..
很明显12306用了iframe, https是在框架内使用而已
我只是看到要信任铁道部的根证书就放弃了。
并不是他们买不起证书,而是有其他一些原因,
ssl证书提供商一般都是从外国的,
你觉得把每天几十亿的交易网站的加密工作放到外国人手上更安全??
而且这网站包括购票人的 身份证,姓名,出生日期,手机号码,地址,以及网银…….
“我第一眼就震惊了需要信任一个完全没有安全和权威可言的自签名根证书,所以之后的一切流程都没有执行,什么实名注册、在线付款,根本不可信任。”
证书并不能说明什么,骗子完全可以去花几百块钱买一个”权威认证”的ssl证书,然后再花几百块钱仿一个只有界面没有功能的12306网站,在百度推广打下广告,坐等收钱了…..
是可以,证书可以购买。
以你的例子,假设你信任12306,骗子买了个12308的证书做了个12308的网站让你去上当,结果你自己没有看清网址上两者的区别就相信了,这就是犯了一个错误。淘宝上也有类似的事情,大把大把。
这个时候就要看你是否信任这个12308的网站。只信任证书,或者只信任网站,都是不安全的。
证书是真的,网站是骗子网站,那证书就是为骗子网站服务的,这个网站不可信。
证书是假的,网站是真的,比如某些你信任的网站,有时候受到攻击时会有类似问题发生。说明你信任的网站被攻击了。
根证书的危险在于,一旦你信任它,它就有可能利用你的信任去任意伪造其他网站的证书。关于cnnic的根证书,网络上之前就有讨论,可以自己搜。
网络安全知识不普及的话,总是有人会上当受骗的。
一,我还就是不信任中国这套系统。中国人用ebay, amazon, paypal的人还是大把大把,也没听到这些在用的人喊不安全。
二,中国cnnic证书吧,其实这个我也信不过。
三,你说那些iframe问题和支付系统问题,我承认在这个系统下是https传输的,那又如何?
自己做的系统,包含证书在内,技术上就真的无懈可击超越国际认可的证书机构么?修改一下:自签名的证书,更容易被伪造或者滥用。我说的不安全不是指明文传输,而是技术水平不可信任。四,如果一天真的有那么多有效点击和购票,还会有那么多人买不到票么?这个数据里面多少水分,又有多少是无效的/购票不成功的?
以前看过一个文章,说中国的身份证制造技术是用的日本的技术,而且是全部在日本制作的。没有证实过,不过我觉得可能性很大。
所以说到把什么信息放在中国人手里还是外国人手里,都是扯谈。
我用paypal,ebay和amazon,我也没觉得不安全,虽然确实存在这种可能性。因为上网的话就无法避免风险。
另外,买火车票要身份证号码,本来是个好事,但是一旦车票丢了,有个号码能给你免费或者工本费补票么?又是一个笑话了。
信息安全问题不在于你我,而是在于”领导”觉得不安全
再者,ssl只是个证书 并不涉及具体技术,你牵扯到技术问题就更没谱了.
ebay, amazon, paypal,godaddy我也用,现在看来是安全的,如果真是特殊情况(例如国家PK.)还能保证你的资金安全么?
再说我也没有否认国外的技术啊,国外的技术确实先进的多!
现在这套系统确实很烂,我也这么觉得,
但是我们应该给它留出一段时间去改进,去优化,而不是一口否定它
你这点说的很对,就是“领导”觉得不安全,另一点是这些领导觉得自己特别不安全。
ssl其实是个协议,技术上来说,都是信任证书,没有技术上的差别,我之前说的确实不准确,因该说,信任一个烂根证书,更容易被人作假。
你说到的国家pk,那就不是我们能控制的了。
这套系统,我第一次听说的时候就想用,结果根证书让我无法接受。我期待它的改进,只要能解决根证书这个根本问题,我就愿意尝试。
说白了,我宁可在支付宝/淘宝上面交易火车票,也不愿意莫名其妙加一个根证书。
实际上cnnic那个证书事件并没有那么可怕.
可怕的是电脑上还有QQ,360,等等一些狗腿子时刻监视着
是的,cnnic没有那么可怕,它说的只是一种可能性。
我电脑上没有qq,浏览器里面用web qq或者虚拟机里面用腾讯tm,至于360、迅雷什么的就根本不可能在我电脑上装。
现在web功能强浏览器用的多,客户端功能减弱,网站和浏览器的安全性就显得更加重要,因此也就更需要留意根证书。
我以前也把cnnic根证书禁用了,后来重装系统就懒得搞了。
就像之前说的一样,要同时信任一个网站和一个证书,安全才真正起效。
我用https只访问我信任的网站或者全球性的大网站,google ,facebook, twitter, amazon, paypal, hotmail…这样一来,即使有伪造的网站和伪造的证书,对我的影响也非常小。因为我既不信任它们,也不使用它们。
我非常希望愿意妥协并且使用网络购票系统,并且希望看到他们能改进和优化,但是任何妥协都是有原则和底线的。
大多数人不懂根证书,但对于懂技术和安全的人来说,根证书恰恰是一个原则和底线。
那些“领导”也是不懂技术和原则的,所以他们用屁股决定使用自签名的证书。
12306和购票系统是分开独立的,所以才用了iframe嵌套进去, 这都能被人喷…..
更何况一天14亿的PV根本不是一般人能想象出来的,
14亿什么概念?
国内”比较”大的电子商务网站 京东,每天PV不过3000W而已,而12306的pv是它的40多倍,
虽然京东是有好几年的历史了,但是前段时间的抢购依然是卡的要死,
更何况12306这样一个只有半年运营历史的系统?
真是枪打出头鸟,12306现在就是出头鸟,博主就是那种见风是雨的人, 自己都搞不清楚就开始骂开了,强烈鄙视
我不能去接受一个我不信任的根证书,至于这个网站是否真的安全,我还没有考虑那么多。
如果你能说服我信任它的根证书,我才会继续考虑购票系统的安全问题。
我不是因为看了天涯的文章才写这个博客,我平时不看天涯,似乎也没有帐号。
几个月前第一次听说铁道部出了购票网站想去试试的时候,第一眼就把我惊呆了,当时就痛恨这个网站!
我是忽然想起来年关将至大家都在买票,需要提醒身边的朋友,为了更方便的解释,才去Google了一下,搜到了那篇文章。
关于支付系统,其实铁道部老老实实的用目前国内大家最信任的支付宝或网银,既安全(安全永远是相对的,不要跟我追求绝对的安全)又便捷,我想只是铁道部不愿意被支付宝分走一杯羹吧。
另一点,每天在支付宝上买东西的人,难道会比在铁道部网站上买票的人还少?真不知道那个数据是从什么地方冒出来的?一天几十亿次在线支付交易,全国人民还是买不到火车票,我就当听笑话了。
汗 鐵道部不愧是鐵道部 網上訂票 電話訂票都還是這鐵老大的作風…
轉載下? 提醒下朋友..
我是用的,用下来还是挺方便,就是证书问题让人质疑他们的专业性,哪天数据库被盗可能性很高。
其实证书是个原则问题,这些“领导”不明白这一点,网站做得再好,如果用一个自签名的证书就不具备公信力。