V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
taobibi
V2EX  ›  站长

为什么现在还有学校的网站不弄 HTTPS?

  •  
  •   taobibi · 2020-04-26 18:36:13 +08:00 · 5734 次点击
    这是一个创建于 1678 天前的主题,其中的信息可能已经有所发展或是发生改变。
    证书现在有这么多免费版本,为啥不升级 https ?因为太麻烦?
    54 条回复    2020-05-21 17:29:43 +08:00
    maemual
        1
    maemual  
       2020-04-26 18:37:44 +08:00
    因为领导不懂。
    shansing
        2
    shansing  
       2020-04-26 18:37:46 +08:00
    学校网站?用 DV ?
    jin7
        3
    jin7  
       2020-04-26 18:37:57 +08:00   ❤️ 2
    还是上古的 php5.2 为啥要升级 为啥要给自己找麻烦呢 工资不是照样发么
    Jooooooooo
        4
    Jooooooooo  
       2020-04-26 18:38:11 +08:00
    不需要
    opengps
        5
    opengps  
       2020-04-26 18:39:47 +08:00 via Android   ❤️ 4
    你说对了,真的是太麻烦,学校还有很多其他系统,得用付费的泛域名证书,免费的多太累维护起来
    maemual
        6
    maemual  
       2020-04-26 18:39:51 +08:00
    曾经有个学校内的项目,挂在学校里面。学校不知道从哪里买的全校服务安全扫描服务,扫描了网站。给出的安全报告是,HTTPS 网站支持的 SSL/TLS 版本有安全漏洞,要求修复。最后修复方案是干掉 HTTPS 。。。
    also24
        7
    also24  
       2020-04-26 18:42:23 +08:00 via Android   ❤️ 7
    对于一个已经稳定运行的系统,维护者需要听到的是 需根解损 。

    需要性
    为什么要对现有系统做修改?
    目前的系统是否满足使用?
    现有系统是否已经引发了某些问题?

    根属性
    这些问题是否是未修改的点引发的?

    解决力
    进行修改是否能解决以上问题?

    损益比
    进行修改需要投入哪些成本?
    进行修改是否会引入其它风险?
    为了这些问题,是否值得投入这些成本?
    MaiKuraki
        8
    MaiKuraki  
       2020-04-26 18:49:05 +08:00
    央视网还是 http,flash
    ccbikai
        9
    ccbikai  
       2020-04-26 19:02:19 +08:00 via iPhone
    Takuron
        10
    Takuron  
       2020-04-26 19:04:42 +08:00 via Android
    这个我不关心,我希望 flash 赶紧死。
    有的时候 chrome 或者 edge 的自带的 flash 检测非国际直接停用
    anguiao
        11
    anguiao  
       2020-04-26 19:04:54 +08:00 via Android   ❤️ 1
    @ccbikai www.gov.cn 已经有 HTTPS 了,只是没有强制跳转。
    之前有个骚操作,HTTPS 跳转 HTTP 。
    huaxianyan
        12
    huaxianyan  
       2020-04-26 19:13:04 +08:00
    之前做过这块的业务,他们不是很关心 HTTP 还是 HTTPS,但是做等保做护网多了 HTTPS 就意味着多了漏洞的可能性,反正现在目前来说没有强制要求必须要用 HTTPS,只要不在 HTTP 下干出敏感信息不加密或者弱加密的蠢事,反而不太能找茬
    loading
        13
    loading  
       2020-04-26 19:26:55 +08:00   ❤️ 2
    我知道几个学校的网站都是学生维护,曾经出现某学生毕业后,倒退几十年。
    ruixue
        14
    ruixue  
       2020-04-26 19:29:43 +08:00   ❤️ 1
    第一次听说“多了 HTTPS 就意味着多了漏洞的可能性”,是我孤陋寡闻了吗,难道 HTTPS 不能增加安全性反而是与安全背道而驰?有没有人能详细解释一下原因
    cjpjxjx
        15
    cjpjxjx  
       2020-04-26 19:29:54 +08:00 via iPhone
    能完美兼容 Chrome 和干掉 flash 就知足了
    ZRS
        16
    ZRS  
       2020-04-26 19:31:51 +08:00
    多做多错
    Cavolo
        17
    Cavolo  
       2020-04-26 19:34:12 +08:00 via iPhone
    BingoXuan
        18
    BingoXuan  
       2020-04-26 19:57:09 +08:00 via Android   ❤️ 1
    工程学经验:如果某个东西没有坏,就不要动它。
    Rxianbei
        19
    Rxianbei  
       2020-04-26 20:17:25 +08:00   ❤️ 2
    我看了一下,清华大学是有 https 的,而南京师范大学没有。这说明 https 概率和学校的优秀程度呈现正相关。这也符合我们的基本认知,基本可以解决这个问题—— [为什么有的大学还没有 https] ,因为 [大学垃圾] 。
    hoyixi
        20
    hoyixi  
       2020-04-26 20:24:30 +08:00
    有些氛围,你多做一点上面没吩咐的,万一出了事,哪怕和你做的事八竿子打不着,你很可能成为背锅侠。
    像狗一样,吩咐一点做一点,最安全。
    xjq
        21
    xjq  
       2020-04-26 20:25:16 +08:00 via Android
    免费的通配符证书很爽
    chotow
        22
    chotow  
       2020-04-26 21:27:10 +08:00
    当年在学校网络中心的时候,搞了一台服务器搭反向代理,给 IP 不富裕的学校带来了温暖。
    同时,还「自作主张」地上了 Let's Encrypt 的证书,虽然后来有个别网站在某些老师的 Windows XP 下出现了问题,马上撤掉 HTTPS……
    现在就只剩下几个比较现代化的站点(比如统一授权)开着 HTTPS 了。
    huaxianyan
        23
    huaxianyan  
       2020-04-26 21:38:23 +08:00   ❤️ 1
    @ruixue 上了 HTTPS 就要检查 HTTPS 相关的检查项,不上则不查,有一些领导出于多一查不如少一查,基本都是不做的
    Cielsky
        24
    Cielsky  
       2020-04-26 22:02:04 +08:00
    一是学校大部分都是老师牵头,学生开发
    二是大部分都是内网,隔三岔五就崩溃,使用 HTTPS 意义也不是很大
    iasuna
        25
    iasuna  
       2020-04-26 22:03:10 +08:00 via iPhone
    领导根本不知道 https 是啥

    这时候作为技术人员 多一事不如少一事
    Keyes
        26
    Keyes  
       2020-04-26 22:05:08 +08:00 via iPhone
    @Rxianbei 不怕南京师范大学提刀来战么 23333
    heganyuliang
        27
    heganyuliang  
       2020-04-26 22:19:52 +08:00
    @Rxianbei #19 个例证明力有限。不过我有个想法,有钱的大学有更多资源能投入到方方面面,包括网络,而有钱的大学一般也就是优秀的大学
    aver4vex
        28
    aver4vex  
       2020-04-26 22:21:46 +08:00
    升级有啥好处没?
    Rxianbei
        29
    Rxianbei  
       2020-04-26 23:04:21 +08:00 via Android
    @Keyes 随便找的啦,因为师大一般都是当地中等层次的大学。
    CheekiBreeki
        30
    CheekiBreeki  
       2020-04-26 23:17:38 +08:00 via Android
    官網沒必要,內網更沒必要,員工工資不會多,學校不重視,學校沒錢,多一事不如少一事,穩定重於一切
    abc612008
        31
    abc612008  
       2020-04-26 23:25:11 +08:00
    @opengps 免费的(如 letsencrypt )也有泛域名证书啊。还可以通过脚本(如 acme.sh )自动续期。
    learningman
        32
    learningman  
       2020-04-27 00:22:29 +08:00 via Android
    @abc612008 这玩意儿在部分早期系统上不认。
    多的不说,各位难道没有用过自己学校只支持 IE 的教务系统吗? JScript 写的那种
    shonnliberty
        33
    shonnliberty  
       2020-04-27 01:23:08 +08:00 via iPhone   ❤️ 1
    除了嫌麻烦,https 还要多占用服务器 CPU 和内存资源,增加访问压力,我看了下湖北武大,华科,武理工大都是强制跳转 https,其它的学校好像有的没强制跳转 https 或者没启用 https
    lostpg
        34
    lostpg  
       2020-04-27 02:39:38 +08:00 via Android
    @shonnliberty 今天整理密码时也发现了,鄙校除了邮箱,其他服务都没有自动 https,图书馆甚至没有 https
    ByteCat
        35
    ByteCat  
       2020-04-27 02:40:59 +08:00 via Android
    又不是不能用😂
    YadongZhang
        36
    YadongZhang  
       2020-04-27 07:01:43 +08:00 via Android
    Photoshop 都 2020 了,照相馆阿姨还用的是 CS6 版本,P 图还贼 6
    Gladoos
        37
    Gladoos  
       2020-04-27 07:33:04 +08:00 via iPhone
    https 有什么用?
    daozhihun
        38
    daozhihun  
       2020-04-27 08:07:46 +08:00
    因为领导不 care 也不懂,既不能增加学校的经费,原来的又不是不能用,改什么改
    Zy143L
        39
    Zy143L  
       2020-04-27 08:52:51 +08:00 via Android
    我们学校还是自签证书呢...
    搞的莫名其妙
    NowTime
        40
    NowTime  
       2020-04-27 09:01:30 +08:00 via iPhone
    有免费的泛域名 ssl 证书,是一个叫什么 let's ....有效期 3 个月好像,用脚本可以自动续签。

    ssl 部署大概只要 web server 层做修改吧,然后强制跳转至 http 。然后将页面引用 http 资源改成 https,嫌麻烦如果用的是 nginx 可以替换。

    但也并不是都可以用如 nginx 的内容替换去将 http 改成 https,有些可能必须要改源码,管理员没啥事应该不会有闲情去改吧...

    如果是我,手头几十个站点,没有利益让我改可能真懒得改
    ajaxfunction
        41
    ajaxfunction  
       2020-04-27 09:24:17 +08:00
    @NowTime 脚本自动签这种事情极其不靠谱,你的明白万一因为 https 过期带来的 后果是很严重的,app 小程序业务直接停摆,那就是事故了
    cnkuner
        42
    cnkuner  
       2020-04-27 09:39:46 +08:00 via Android
    学校网站加 https 相比之前有哪些提升吗?
    学校重要通知和教学事物走内部 OA,是内网访问。
    加 https 增加服务器运算量。
    各类劫持也不是 https 就能完全解决的。
    我觉得还是需求不够迫切。
    Coioidea
        43
    Coioidea  
       2020-04-27 10:39:03 +08:00
    学校还有 WINXP 呢,不能随便就上 https 了

    @YadongZhang 虚假的 PS 玩家——真实的 PS 带师😀
    sadfQED2
        44
    sadfQED2  
       2020-04-27 13:22:54 +08:00 via Android   ❤️ 1
    @loading 哈哈,是的,我当年就是维护学校网站的人,我毕业后交给另外一个学弟了,我维护的时候还修复了好多漏洞,改了上古页面 ui
    TypeError
        45
    TypeError  
       2020-04-27 13:26:44 +08:00 via Android   ❤️ 2
    一堆垃圾健康码都没 HTTPS,明文发送身份证号手机号
    7gugu
        46
    7gugu  
       2020-04-27 15:24:42 +08:00 via Android
    其实对于学校的破网站,也不见得用 https 有啥作用。天天就是发一堆无用的通告,上了 https 还容易造成兼容问题,还不如不搞
    Navee
        47
    Navee  
       2020-04-27 19:27:00 +08:00
    因为目前不需要,等校长的小姨子的二舅的儿子来的时候再升级吧
    daimiaopeng
        48
    daimiaopeng  
       2020-04-28 10:37:34 +08:00 via Android
    又不是不能用 (滑稽)
    DogBear
        49
    DogBear  
       2020-04-28 15:25:11 +08:00 via Android
    没有出现大问题为什么要改(
    咱学校甚至于支付系统和统一身份验证系统都没有 https, 腾讯企业邮也没有上传证书
    taobibi
        50
    taobibi  
    OP
       2020-04-30 20:40:01 +08:00
    @TypeError 身份信息这么重要的事情不 HTTPS 么?
    shiny
        51
    shiny  
       2020-05-02 05:26:15 +08:00
    @chotow 记得配置 ecc + rsa 双证书,可以解决 XP 兼容性问题。
    wazon
        52
    wazon  
       2020-05-13 11:45:54 +08:00
    一定程度上取决于学校的网络中心给不给力: https://mp.weixin.qq.com/s/RpOHlRvs0Lg-MHCJ22Rguw
    Vhc001
        53
    Vhc001  
       2020-05-15 10:49:54 +08:00
    @abc612008 #31 你举错例子了。Let's Encrypt 在国内被 DNS 污染,使用它证书的网站打开要 4 秒+,我是通过在服务器上修改 hosts 文件解决这个问题的
    cco
        54
    cco  
       2020-05-21 17:29:43 +08:00
    学校就算了,,,管理这些东西的人可能还不了解 https,另外,喝茶看报纸不香么?搞这玩意干嘛,还得掉头发。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2583 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 04:40 · PVG 12:40 · LAX 20:40 · JFK 23:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.