淘宝登陆是https的链接,但是天猫不是https(http://login.tmall.com/) 虽然有浏览器安全控件登陆,但是那个勾可能会被用户勾掉,此时密码不是赤裸裸的暴露在协议中了么……(POST请求中的TPL_password字段。。)
为什么不走https协议呢?是淘宝的疏忽还是有什么其他我不了解的原因?
这个静态登录表单 ( http://login.tmall.com ) 不需要用 https 进行传输,
真正post 过去的目的地 ( https://login.taobao.com/member/login.jhtml ) 已经使用了 https,
所以是安全的 :)
这是个静态文件,真正的登录是在这个静态文件里嵌入的iframe来实现的
你认为别人截获你的请求然后暴露了淘宝的密码对你资金有什么影响呢。支付宝只要不被侵入。我们就是安全的。不过确实是不对的。相对于amazon来说淘宝算个不错的C2C平台呢。