akw28888 wrote:
證書不是google.com的會直接提示錯誤
然後就是一般你也不能在信任機構上簽發一個google.com的SSL證書
之前中國CNNIC就自己簽發一個google的SSL證書 搞到後來就是火狐直接不信任CNNIC簽發的證書了
當然 自己簽的造假證書當然更不會提示信任嘛
有空注意一下吧,很多防毒軟體早就都已經這樣搞https中間人。
瀏覽器安全性設定過低(甚至是預設值就會),導致使用者根本不知道也沒跳警告視窗的到處都是,Firefox跟Chrome都是這樣。
(不過設的太高,大多數人反而會抓狂。「允許」按鈕無限暢飲 XDD...)
除非把滑鼠移到瀏覽器的加密相關資訊,才會發現有
。比如說明明是google的頁面,加密資訊卻是avast! .....
啥?安全性警告???
完全沒有任何警告,瀏覽器加密鎖頭圖示,也沒有異常的圖示出來引起注意。
(比如說google自家的Chrome,上https://www.google.com,乍看加密資訊似乎好像沒任何問題。
但再仔細一查...咦??「這網站的身份已通過Avast ROOT驗證」??!!
)而且證書部份,對大型網路設備商來說,搞一個正式的可信任證書不難。
不然就client上網時,直接跳說明頁面,告訴使用者要怎樣才能上網(內容是教client去信任自簽證書)。
不接受=不能上網,保證99.9%的公眾wifi使用者都會乖乖配合簽賣身契。
反正能上網,使用者根本不會在乎自己被賣了哪些東西...
