很无聊，八一八国内的互联网安全(1) 证书

本人金融互联网行业三流架构师一只，后面解释。

我不知道国内的互联网安全该咋评论，在我看来，到处是坑，没一处坚固防线，除了那堵那个啥我实在不了解。

安全隐患排名：
   第一名：国内那个最大的人肉运输票据网站
   第二名：国内那个最大的金融证书。。。
   第三名：A家(B,T,J三家不做评论，B的金融=0,T的金融感觉~=0，虽然WX很火，J在我眼里就是个小朋友在玩火)
  
   传统行业别笑，各大网银别以为你们安全，来来来看我咋搞！

第一名：
   当之无愧啊，攻击从这里开始，冒充这个，甚至都不冒充直接mod_proxy代理这个网站，只替换根证书下载路径。。。
   好了，当你用的时候，下载的是哥做的自签名证书，当然签发者我可以做的和那个SinoXXX一模一样的，没法冒充的是指纹，但是，你咋告诉客户你证书指纹是啥？您的网站不是https，so...你发布的指纹信息可以被我过滤成我的，SO....，各大网银注意：我可以用这个根证书签发一堆你们网银域名的证书，谁从我这里下载过根证书，你个人电脑的安全全部完蛋咯。

第二名：
   这个安全漏洞比较隐蔽，原理同上，未使用HTTPS，下载链接可以被替换成恶意的，但用户群体小，影响不了几个，之所以放在第二，是因为他是为金融机构服务的啊。

第三名：
   好久没用他家软件，现在不知道有没这个问题，我说的是他家的那个C-C通讯软件，当年电脑上安装个WW，居然受信任根证书颁发机构里出现了他家的自签名证书(说实话这个我很佩服，当年windows装根证书都是要弹出一个N大的对话框要你确认的，不知道他们咋绕过去的，不了解win，不做多余评论)。这里别人的利用价值没有，但是：你家没有CA资质，您的根证书私钥咋保管的？同1,您可以用您的根证书签发一堆网银地址的根证书，然后冒充他们。。。，我不以恶意揣摩别人，但您保证能接触到私钥的都能恪守职业操守吗？

跟着，各大银行来了：
   不管什么原因，各大网银都喜欢把手机银行apk文件放在自己服务器上，但您用https会死吗？因为你没https，我可以用域名欺骗/Ip欺骗等把你下载地址指到我的，and so on ...


三流架构师说：
   个人是个数学白痴，之所以坐在架构师这个位置，不是靠我能作出什么东西。我对程序有严重的强迫证（其实是打垃圾产品经理的脸)，我讨厌任何在我代码中出现的无用的东西，讨厌做一大堆全是BUG的功能，我做东西唯一的要求是稳定。
   另：一流二流的别笑，我从不用国产框架，原因吗，功能多，BUG.size = 功能.size * 功能.size * 功能.size, DOC.size = sqrt(功能.size), tests.size = 0
   我唯一会追求的，不让我的小弟干重复的活，我是特别讨厌同样的代码出现在各种地方，别跟我说copy,paste，抱歉我基本是cut-pastle，delete
  



JAVAEYE BUG出现，哈哈(我积分0)，不能在海阔天空发帖，那这个谁猜猜咋来的？