如何看待網易郵箱仍然默認使用http，不採用https?

12-28

為什麼網易沒有魄力，全面啟用https？

謝邀。

其實有不少 HTTP 的登錄頁，登錄提交的請求還是通過 HTTPS，網易郵箱就是其中一個（當然這樣仍然不安全）。

我們先來分析一下登錄請求：

在點擊「登錄」前清空請求記錄，然後點擊登錄之後的截圖。可見登錄這個操作觸發了 2 個請求（後兩個是驗證碼相關請求）。

詳細查看這兩個請求：

第一個請求是通過 HTTPS，但是僅提交了郵箱地址和一些其它參數（我是用的密碼是 "abcdefg" ），這個請求返回了一個 "tk" 和其它數據（不在截圖中）。

第二個請求也是 HTTPS，並且應該提交了某種加密 / hash 之後的密碼（pw），和前一個請求所返回的 tk。所以我猜測這個過程是實現了某種 challenge-response 認證，即第一個請求服務端返回一個隨機的 token，客戶端頁面的腳本用用戶的密碼和這個 token （並可能加上其它信息）一起加密 / hash 並提交到服務端，這樣可以防止重放攻擊（參數明文傳送的情況下，TLS 本身就可以防止重放）。

這個提交流程可以有助於保證用戶密碼的安全，但這是基於登錄頁面載入時沒有被篡改的情況下。被篡改的登錄頁面可以輕易地發請求到第三方伺服器等。

HTTPS 的一個和加密同樣重要的功能就是確認數據完整性。安全通信協議的保密性和完整性都是必備的屬性。

我的看法：對於郵箱這種涉及如此大量個人信息的服務，沒有全站 HTTPS，這體現的是安全意識的問題，我是不會使用的

糾正一下，不是沒有魅力。
查看原文：https://www.infinisign.com/news/firefox-quantum-let-ssl-popular

直接看
Pc端登錄前有勾選全程ssl，應該是考慮慢慢過渡