安全性问题

鸡蛋甲

请该网站站长在进行登录的时候强制转跳到https通讯方式。
@Ycotagakar

目前根据观察，访问该网站时一定情况下会直接进行http的通讯方式。

在进行网络监听的情况下，我可以直接看到发送的数据包当中存在的自己的未完全加密的帐户密码（当然是16进制）

此情况十分恶劣需要立刻改进，目前暂无观察手机浏览下的数据包，请站长也留意一下。

迷人又可爱的原

这个时候要艾特一下大版主

鸡蛋甲

迷人又可爱的原 发表于 2020.1.8 20:13
这个时候要艾特一下大版主

你不说我也忘了，谢谢

Reherelife

这东西你看到的也只是你自己的账号呀 或者是监听你能管理的路由下面的  你又不能监听到别人的

鸡蛋甲

Reherelife 发表于 2020.1.8 20:53
这东西你看到的也只是你自己的账号呀 或者是监听你能管理的路由下面的  你又不能监听到别人的 ...

可以监听，不要小看网络黑客，又不是仅限于局域网。但毕竟是犯法，除了犯罪行为不会那么无聊看看外面的世界。

Ycotagakar

您好，久等了。
没错，从安全意义上来讲https的确远比http要安全，https也是未来的趋势。

本论坛有多个域名，一部分使用了https，一部分使用了http
例如https://erinn.world/ （会长期作为主域名使用下去）和 http://luoqi.cc/ （到2023年）
（另外还有techduinn.top和dreamcatcher.top这些一年后会舍弃的备用域名）

建议优先使用https://erinn.world/ 来访问论坛，安全性更高。如果卡顿严重则使用http://luoqi.cc/ 来访问论坛，速度更快。

那么为什么会混用呢？如果细心观察一下其他网站的话会发现相当一部分网站使用的是http而不是https，这又是为什么呢？其实上一段的话中已经给出了答案：速度。
https的通信远比http要复杂。虽然有效提高了安全性但对网络环境有着更高的要求。例如在高延迟和存在丢包的情况下打开网页的速度将会是一场噩梦。
因为线路和地理位置的不同，的确有些地区访问速度相对不佳，如果强制他们使用https的话会导致他们的浏览体验极差的。

因此，依然重复这句话：
建议优先使用https://erinn.world/ 来访问论坛，安全性更高。如果卡顿严重则使用http://luoqi.cc/ 来访问论坛，速度更快。

此外，https相当于保险箱的锁，http被外人监听窃密的前提是网络环境已经被黑了。相当于小偷从未上锁抽屉里拿钱和从保险箱里拿钱的区别，比起这个，更关键是别让小偷进家门，对吧？
如果真的很不放心，请弃用http://luoqi.cc/，只使用https://erinn.world/ 。如果需要访问http://luoqi.cc/的链接，仅需把前面的http://luoqi.cc/改成https://erinn.world/即可。

鸡蛋甲

Ycotagakar 发表于 2020.1.8 21:25
您好，久等了。
没错，从安全意义上来讲https的确远比http要安全，https也是未来的趋势。

对于加强浏览体验这点我不反对，采用80/TCP号端口确实可以提高浏览速度。

但HTTPS也有2种端口，站长可以尝试设置443/UDP端口来进行消息推送式的浏览，同样也可以提高浏览速度。

不过，仅仅是浏览的话就无关HTTP还是HTTPS了，
之所以建议使用这后者HTTPS，就只是当且仅当用户登录时产生的登陆请求，来添加保护性的“公开密钥密码”（公钥）来加密通讯内容。

在登陆时，转跳登陆界面并加密通讯，和以前YY登陆方式一样，来避免密码泄露。

如果站长要求保持HTTP 的通讯方式的话，我强烈建议禁止HTTP下的登陆请求。仅可进行浏览页面，不可发言（游客登陆）的方式来访问网站。

另外：

http被外人监听窃密的前提是网络环境已经被黑了

此句话不准确。在你进行通讯的所有路径下（Windows下tracert 指令可以确认），所有的路径上皆可以直接观察到通讯数据包，服务器通常只处理IP来分配给下级服务器，但实际上直接载入了数据包，在转移数据包完成后才会删除该数据包，所以数据包在路径上有一定存活期，这时候，网络管理员所有人都可以直观的截取数据包。并且，未被加密的数据被截取后，利用数据包上所记载的IP来进行反向探索则更为容易。废话就这么多，准确来讲，互联网上面是所有人都可以访问复制（截取）路径上的数据的，当且仅当自己的防火墙（包括路由器防火墙）被攻击后才能说明你的网络被黑。