1月10日晚上,正当微信朋友圈被微信公开课PRO版的“我和微信的故事”刷屏之时,突然有消息曝出并迅速扩散,称公开课应用链接会盗取微信号和支付宝号。随后,各地警方、腾讯、支付宝等陆续进行辟谣。但是,事件造成的影响并没有消散,大量的人信以为真,腾讯官方证实上百万用户解绑微信捆绑的银行卡或提现。(以上报道引自深圳特区报)
虽然腾讯紧急辟谣,但仍有很多网友心存疑虑。这本是腾讯一次精心策划的线上营销,但却换来百万人解绑银行卡的惨重代价。在此,CFCA安全工程师也不禁为腾讯叫屈,因为微信公开课PRO版其实是经过SSL证书保护的HTTPS安全页面。
为了更直观的检测公开课页面的安全性,我们先在电脑端打开公开课的链接:
打开公开课链接,点击锁形图标(安全锁)就可以查看页面SSL证书的信息。这张证书有何作用?首先是标识身份,证明此页面是属于weixin.qq.com的微信官方链接。其次就是地址栏中的HTTPS,这代表着加密传输,例如您的微信数据会被活动页面调取,数据在调取传输的过程中得到加密,不会被第三方截获。这张SSL证书是腾讯向如CFCA这样的第三方数字证书认证机构申请的,在申请时需要提供加盖企业公章的公司资料,且经过审核后才能获颁,所以这张SSL证书像***一样具有唯一性,无法被伪造。
好了,页面有安全证书证明其是微信官方发布的,还经过了加密,但为什么仍被怀疑成诈骗页面呢?首先是SSL证书在我国网站的普及率太低,绝大多数网站都未安装,间接导致公众对此知之甚少,缺乏检查页面安全证书的意识。其次是微信的一个缺陷,也就是用微信打开网页链接,无法查看网址,也就无法查看HTTPS和安全锁标识,还需要用户点选“在浏览器中打开”才能查看,未免麻烦。
一方面,CFCA安全工程师要为腾讯使用SSL证书提高页面安全性的举措点赞(希望所有网站都能效仿);另一方面,也希望今后如使用微信打开网页,微信界面能显示链接或HTTPS等安全标识,利于用户辨别真伪。毕竟如果有人做了一个和公开课高度相似的页面,用户若还需用浏览器打开进行区分,实在有违用户体验。
原文地址:http://11356664.blog.51cto.com/11346664/1754560