从“和讯登陆注册”谈“chrome对http环境下的密码输入处理”

我们相信：世界是美好的，你是我也是。平行空间的世界里面，不同版本的生活也在继续...

和讯作为国内知名的金融信息平台，目前对https的处理可能还存在一些问题。例如：在下面这个频道 http://zhibo.hexun.com/ 里面，点击登陆和注册的时候，注意看左上角的“安全”和“不安全”的提示。

大家可以发现，当页面上出现了密码输入框的时候，chrome会对http的网站，提示“不安全”。当密码输入框的属性从password变成text的时候，chrome就会去除其“不安全”的提示。所以，可以推断：chrome的判断标准是页面dom中是否存在input type="password"。

那么这么提示的根源是什么呢？就是要大力推广https。http和https除了默认端口号不一样外，当然实质上，https是个加密的协议，里面的数据是无法被拦截的。（真的嘛？其实也可以被拦截，苏南大叔曾经做过实验，完美拦截https的明文。以后可以和大家讲https的明文拦截）而http的数据包是明文传输的，其实网络上的任何一个节点，都能轻松截获你的密码。（是不是吓坏了？）

所以chrome对于https的这个提示，也不是空穴来风。

那么话锋一转，为啥，这种情况下，和讯为什么还不全面启用http呢？还放任浏览器提示http不安全？大家知道，大网站都是启用cdn的，而cdn实际上是在网络上放了无数的备份缓存节点。对于文字新闻类的页面，一般都是要启用cdn的。这样，会对用户比较友好，加快访问速度。然而，对于启用cdn的页面，我们如果同时启用https的话，就涉及到一个证书分发的问题。企业是否愿意把https的证书交给第三方提供cdn服务的公司呢？这个是个“仁者见仁智者见智”的问题。

不过，其实和讯也是有提供https的注册页面的。例如：https://reg.hexun.com/regname.aspx 所以说，为啥没有全面启用https，这个嘛。你懂的。附上两个ping的截图。可以看到reg.hexun.com也是同时启用了cdn和https的。那么他的cdn里面就可能配置了某些回源策略了。你懂的。

不过似乎，这两个不同的频道，动用了两家cdn？这个这个嘛.....似乎，zhibo频道是使用了阿里云的CDN。而reg这个栏目，使用了知道创宇的加速乐业务。当然，也不排除reg部署在阿里云上面，但是不使用阿里云的cdn，而转向使用加速乐的CDN服务。

随手分析一下而已，当然了，运维部门自有其考虑，我们就是多虑一下下而已~当然了，最后说说，好像http的这些网站，从部署的角度看，已经部署了https，就仅仅是没有安装证书而已。不信？把http换成https试试看。

当然了，最后表个态：大网站就更要注重用户体验哦~ 让大家放心才是硬道理。毕竟是个金融类的服务平台，是要和money打交道的，是不是？大家都有个定心丸，才ok。

好吧，以和讯的一篇文章，来结束这篇文章吧。链接：http://bank.hexun.com/2017-02-14/188134355.html 截图，自己看哦。哈哈~

如果本文对您有帮助，或者节约了您的时间，欢迎打赏瓶饮料，建立下友谊关系。
本博客不欢迎：各种镜像采集行为。请尊重原创文章内容，转载请保留作者链接。