[請益] 電商網站能不用HTTPS嗎？

hegemon05/20 12:44一定要用https啦...

aidansky098905/20 12:48笑死

jobintan05/20 12:49沒錢的用Let's encrypt應付先。

jobintan05/20 12:50不過如果用來賺錢的話，還是想法子籌錢買EV SSL唄。

king2264905/20 12:51他有https版本

jobintan05/20 12:51不然就用shopline這種現成的電商平臺。

king2264905/20 12:53憑證是有效的～ 但圖片沒https

aleelyle05/20 12:56看出多少錢

guanting88605/20 13:11https://certbot.eff.org

guanting88605/20 13:12就算不用 certbot 上 CloudFlare 也可以走 https

guanting88605/20 13:13https://www.cloudflare.com/zh-tw/ssl/

guanting88605/20 13:14SSL 憑證內容點鎖頭應該都會顯示內容

king2264905/20 13:15chrome 左上 + console debug 就知道大概問題在哪了 很

king2264905/20 13:15閒可以那工具掃一下 我猜有其他漏洞

guanting88605/20 13:16但真有問題，例如：過期、CT有錯、電腦缺根憑證之類

guanting88605/20 13:16的

guanting88605/20 13:16瀏覽器第一時間會擋下不給你連線

king2264905/20 13:18free https 用traefik reverse proxy + letsencrypt就o

king2264905/20 13:18k了 traefik docker支援不錯 不過不知道有沒有漏洞 畢

king2264905/20 13:18竟接出docker.sock給traefik用 感覺毛毛der

superpandal05/20 13:46可以 咚咚咚

philip8022005/20 14:09星聚點的線上刷卡付費也不是https…

leo591626705/20 14:31應該沒差吧？金流那塊有就好了

pig003805/20 15:39沒全站HTTPS不會有被網域綁架，導向非官方金流頁面的疑

pig003805/20 15:39慮嗎？

max952705/20 16:21沒用被駭客看到就等於自家大門敞開

neo527705/20 16:33有人想裸奔，是他的自由

guanting88605/20 16:58他這個網站有 HTTPS 但是沒有 Force SSL

guanting88605/20 16:58有人說網站沒有 SSL 金流有就好 沒差吧

guanting88605/20 16:59那麼你的網站在特定的網路環境下 很有可能會遇上兩

guanting88605/20 16:59個問題

guanting88605/20 17:00例如：你的帳號密碼會因為連線過程未使用加密 HTTP

guanting88605/20 17:00 封包會被攔截 有心人可以從裡面得到 Form Data 來

guanting88605/20 17:00知道你帳號密碼

guanting88605/20 17:02有些系統會因為安全強度要求 會在送出前做一定程度

guanting88605/20 17:02自製加密or混淆 但這種狀況很少見 大部分的系統不會

guanting88605/20 17:02做處理

guanting88605/20 17:02另一種情況是 封包會帶有 cookie

guanting88605/20 17:03有心人只要把 session id 抽出來就可以代替該使用者

guanting88605/20 17:03進行登入

guanting88605/20 17:04通常有些安全係數做比較高的 會去檢查IP來源跟過往、

guanting88605/20 17:04地區 或是 User Agent 不同 如果不同 就要求重新登入

guanting88605/20 17:04 或做更進階的驗證程序

guanting88605/20 17:05 https://i.imgur.com/nwXYofO.jpg

guanting88605/20 17:06所以 你覺得全站有沒有必要SSL 要 尤其是你有使用

guanting88605/20 17:06者登入機制的那類平台應該要有

guanting88605/20 17:07不過原文的網站其實是有SSL的 只是沒有導過去

guanting88605/20 17:07原PO可以去反應一下 給個建議或許也不錯

guanting88605/20 17:08這家牌子我喝過XD 但是沒空寫這個反應

zased05/20 17:48這很簡單：1.憑證沒有問題，是被認可的憑證 2.僅是沒有開

zased05/20 17:48啟HSTS

zased05/20 17:49開啟HSTS，那個警告就會消失了

bill020505/20 18:51有無https只差在傳送資料過程中有沒有被加密 不過沒有ht

bill020505/20 18:51tps還是不會想用

lovez04wj0605/20 23:13不走SSL,不用HTTPS哪間金流會讓你用？？？

lovez04wj0605/20 23:14只是不會全站都用，但一定都會有的

x00003200105/21 00:04都2020年了還有人不是預設https阿

sppmg05/21 00:12借問，經濟部網頁 https://www.ipas.org.tw/ 為什麼 fx 無

sppmg05/21 00:12法驗證但 chrome 可以？

superpandal05/21 04:23可以阿 作法比較不一樣而已 嘻嘻嘻 高估https了

mathrew05/21 06:35連我們公司都走 https 了，你電商還不走 https

b8504031205/21 06:50不走 https 是要被看光嗎

ted123105/21 07:57.....啊有免費的憑證服務 你為何不用呢？

king2264905/21 13:27不走https有些串接可能不能用

SlimeEditor05/21 14:30經濟部網頁那個 現在只留3個cipher suite 我猜是

SlimeEditor05/21 14:30firefox都不支援的關係 導致無法建立連線

wahahahaaa05/21 17:03去提醒他一下拉

kingofsdtw05/21 19:58土匪綁架user買cer

kingofsdtw05/21 19:58digrst不好嗎？

pizzahut05/21 23:50經濟部網頁 第二代GCA憑證 火狐沒有要自行下載吧

pizzahut05/22 00:10剛測試了一下，重裝憑證不行，當我沒有說，拍謝@@

aldy12005/22 00:18不安全的警示是因為 mixed content ，而不是因為沒有用 h

aldy12005/22 00:18ttps

guanting88605/22 00:24早期瀏覽器只要有抓到網頁有login form之類的東西會

guanting88605/22 00:24自動提示這個網頁不安全 並不是

guanting88605/22 00:25mixed content 甚至可以說在很早期的IE就實作跳轉上

guanting88605/22 00:26現在是照著

guanting88605/22 00:26https://developer.mozilla.org/zh-TW/docs/Web/Secu

guanting88605/22 00:26rity/Mixed_content

guanting88605/22 00:27規格

guanting88605/22 00:30不過裝 SSL 沒什麼成本 而且還能運用伺服器自帶的 HT

guanting88605/22 00:30TP2 模組 提供 HTTPS 連線真的會比較好

guanting88605/22 00:35只有少數為了高併發或逼主機CPU使用量到極限

guanting88605/22 00:35會優先使用HTTP 不使用HTTPS

guanting88605/22 00:35^^ 高並發

mrji3g4xjp605/29 07:10免費的撐著用 我司就是