导语:Mozilla 两周前发布了 Firefox 52,引入了在 HTTP 登录页面显示不安全警告图标的新功能。然而一个名为 www.oilandgasinternational.com 的 HTTP 网站随后向 Bugzilla 递交 bug 报告……
Mozilla 两周前发布了 Firefox 52,引入了在 HTTP 登录页面显示不安全警告图标的新功能。然而一个名为 www.oilandgasinternational.com 的 HTTP 网站随后向 Bugzilla 递交 bug 报告,称Firefox浏览器会警告他们该页面不适合传输密码。
一个名为Dgeorge的用户写到:
我并不想在登录自己网站时,会收到你的不安全登录通知,这一通知并没有经过我们允许。请立即移除这一功能。我们有自己的安全系统,15年来从来没有发生过被入侵事件。你的这一通知损害了我们的利益,有损我们读者的体验。
这个“漏洞”报告一出,引发了Reddit用户的热议,甚至有用户称该网站存在SQL注入漏洞,可以用它黑掉网站。大部分的用户表示,该网站用户的密码是明文存储的,未经过任何形式的加密措施进行加密。随后,还有网友称网站数据库已经删除。
目前,该网站还可以继续访问,但是Arc联系该网站负责人,并未收到回应。
Mozilla开发团队随后给出了回应,Firefox和Chrome浏览器都会在用户访问未经HTTPS加密的网站时给出不安全提示。HTTP 页面被认为容易遭到中间人劫持,因此 Mozilla 和 Google 都对需要输入密码的 HTTP 页面显示不安全的警告。
如果你的网站使用的是HTTP协议,那机会意味着密码是以明文的方式进行传输的。这样的话,用户密码就很容易被监听到,用户信息将会泄露。
当用户登录www.oilandgasinternational.com网站时,Firefox会在登录名称和密码框处给出如下提示:这个连接不安全,登录该网站可能会被入侵(This connection is not secure. Logins entered here could be compromised.)。
数十年前,大家更多的愿意自己的网站使用HTTP协议,因为它能保障用户信息安全。然而随着技术的进步,HTTP已经不能满足需求,可能会被黑客攻破。好在HTTPS应运而生,解决了可能会被黑客攻破的可能性,所以现在大家转而选择了HTTPS,以保障用户信息安全。对于Oil and Gas International这种还继续采用HTTP的网站,