1月10日晚上,正當微信朋友圈被微信公開課PRO版的“我和微信的故事”刷屏之時,突然有消息曝出並迅速擴散,稱公開課應用鏈接會盜取微信號和支付寶號。隨後,各地警方、騰訊、支付寶等陸續進行闢謠。但是,事件造成的影響並沒有消散,大量的人信以爲真,騰訊官方證實上百萬用戶解綁微信捆綁的銀行卡或提現。(以上報道引自深圳特區報)
雖然騰訊緊急闢謠,但仍有很多網友心存疑慮。這本是騰訊一次精心策劃的線上營銷,但卻換來百萬人解綁銀行卡的慘重代價。在此,CFCA安全工程師也不禁爲騰訊叫屈,因爲微信公開課PRO版其實是經過SSL證書保護的HTTPS安全頁面。
爲了更直觀的檢測公開課頁面的安全性,我們先在電腦端打開公開課的鏈接:
打開公開課鏈接,點擊鎖形圖標(安全鎖)就可以查看頁面SSL證書的信息。這張證書有何作用?首先是標識身份,證明此頁面是屬於weixin.qq.com的微信官方鏈接。其次就是地址欄中的HTTPS,這代表着加密傳輸,例如您的微信數據會被活動頁面調取,數據在調取傳輸的過程中得到加密,不會被第三方截獲。這張SSL證書是騰訊向如CFCA這樣的第三方數字證書認證機構申請的,在申請時需要提供加蓋企業公章的公司資料,且經過審覈後才能獲頒,所以這張SSL證書像***一樣具有唯一性,無法被僞造。
好了,頁面有安全證書證明其是微信官方發佈的,還經過了加密,但爲什麼仍被懷疑成詐騙頁面呢?首先是SSL證書在我國網站的普及率太低,絕大多數網站都未安裝,間接導致公衆對此知之甚少,缺乏檢查頁面安全證書的意識。其次是微信的一個缺陷,也就是用微信打開網頁鏈接,無法查看網址,也就無法查看HTTPS和安全鎖標識,還需要用戶點選“在瀏覽器中打開”才能查看,未免麻煩。
一方面,CFCA安全工程師要爲騰訊使用SSL證書提高頁面安全性的舉措點贊(希望所有網站都能效仿);另一方面,也希望今後如使用微信打開網頁,微信界面能顯示鏈接或HTTPS等安全標識,利於用戶辨別真僞。畢竟如果有人做了一個和公開課高度相似的頁面,用戶若還需用瀏覽器打開進行區分,實在有違用戶體驗。