QQ网站登录的RSA加密传输缺陷分析

hidecloud发布于 2007-11-23 21:23:49| 次阅读 字体: 打印预览

腾讯QQ

感谢匿名人士的投递
QQ网站登录处没有使用https进行加密,而是采用了RSA非对称加密来保护传输过程中的密码以及敏感信息的安全性。 QQ是在javascript中实现整个过程的。这个想法非常新颖,但是也是存在严重缺陷的。如果被黑客利用,则可能被捕获明文密码。
分析报告如下:

Author: axis
Date: 2007-11-23
Team: http://www.ph4nt0m.org  (http://pstgroup.blogspot.com)
Corp: Alibaba B2B Corp / Infomation Security

这个想法非常新颖,详细可以参考云舒写过的 《RSA非对称加密的一些非常规应用》,地址为http://www.icylife.net/yunshu/show.php?id=471

这个原理简单描述为下:
1. 在server端生成一对RSA密钥,包括public key 和 private key
2. public key传输给客户端浏览器, 客户端浏览器用public key加密敏感数据,比如密码;加密后的密文传回给server,然后server用 private key解密。
3. 注意private key只保存在server端,而public key则分发给所有人。 由于 private key只有server知道,所以密文即使被截获了,也无法解开。

这个解决方案其实还是非常好的,至少他防住了大部分的攻击,但是为什么说它是无法替代https,是有缺陷的呢?

因为这个方案无法防止中间人攻击 (man-in-the-middle)。

攻击过程如下:
1. 攻击者通过MIM(比如arp欺骗等)劫持server与客户端浏览器之间的http包
2. 攻击者生成一对伪造的RSA密钥: fake public key/fake private key
3. 攻击者将js文件中的public key替换为fake public key,并传输给客户端浏览器
4. 客户端浏览器用 fake public key加密敏感数据,比如密码,并将加密后的数据传输给攻击者
5. 攻击者用fake private key解密,获得明文密码等
6. 攻击者用server的public key加密明文数据,并传送给server

整个过程中不会出现任何提示,而用户的明文数据则被窃取了!

而luoluo则提出来一个更邪恶的想法(顺便在这里祝luoluo今天生日快乐!),他提出可以直接将加密的介质修改。

比如,如果是用js在做加密,则修改js,如果是用flash或java applert做加密,则替换flash或applet,直接去掉这种加密机制,捕获明文密码。

那么为什么说https是不可替代的呢? 因为当实施中间人攻击的时候,浏览器会提示证书已改变(具体参考云舒的关于https安全性的文章),这种机制是内建在浏览器里的,攻击者无力改变它。所以这种报警是非常有意义的。

而如果像QQ一样使用js进行RSA加密传输,实施中间人攻击的时候,是不会有任何提示的,一切都会在用户不知情的情况下发生。

这种情况和以前windows的RDP中间人攻击情况一样: 当使用3389端口的rdp协议登录时候,证书改变的时候没有任何提示。

而相对设计比较安全的ssh协议,ssl协议等,则都会针对证书改变做出提示,防止中间人攻击。

所 以,QQ的这个方案只能保护传输过程中一般的sniffer攻击,但是考虑到当今网络环境下,大部分的sniffer都是基于arp欺骗的,所以这种保护 机制其实是非常脆弱的。它只能对抗目前已知的arp sniffer软件,而对专门开发的替换关键字的软件,则无法有效防御。一旦这种专门针对QQ网站登录的sniffer软件被开发出来并且提供下载,灾难 就不远了。

不过这个方案还是有积极意义的,除去不能抵抗中间人攻击的缺陷外,其他方面都比较完美,特别是成本低廉。如果与https结合使用来防止中间人攻击的话,整个方案就更完美了。

之前曾与朋友戏言QQ是否会因为我这一篇文章而多花费几百万的经费去购买https证书和https硬件加速服务器,现在让我们拭目以待,看看QQ是否是真正的用户至上。

希望QQ能越做越好。

64


 

对本文中的事件或人物打分
  • Currently.0.00/5
  • 1
  • 2
  • 3
  • 4
  • 5

当前平均分: 打分后显示

-5-4-3-2-1012345
对本篇新闻报道的质量打分

当前平均分: 1.7(3 次打分)

-5-4-3-2-1012345
现在评论本文
共 99 条评论,显示 96 条
第1楼 匿名人士 发表于 2007-11-23 21:26:04
分析顶个球用!
回复 支持(7) 反对(45)   举报
第2楼 匿名人士 发表于 2007-11-23 21:27:56
如果你发给TC的CTO可以直接获得XX万封口费,不过现在难说喽
回复 支持(106) 反对(4)   举报
第3楼 匿名人士 发表于 2007-11-23 21:28:20
挺贱的一个人
回复 支持(7) 反对(18)   举报
第4楼 匿名人士 发表于 2007-11-23 21:28:34
直接拉到底回复

看不懂
回复 支持(9) 反对(8)   举报
第5楼 匿名人士 发表于 2007-11-23 21:28:54
你前面自己都说了是在server端生成的一对密钥。后面你自己提的攻击方案却说是:2. 攻击者生成一对伪造的RSA密钥: fake public key/fake private key
攻击者生成的 server端根本就不认同。。你这描述也太简单了。
回复 支持(3) 反对(32)   举报
第6楼 匿名人士 发表于 2007-11-23 21:31:08
觉得腾讯可能花钱改进的点反对,其余点右上角X
回复 支持(4) 反对(41)   举报
第7楼 匿名人士 发表于 2007-11-23 21:32:39
让TX掏钱给用户提供安全,几乎不可能。
回复 支持(50) 反对(6)   举报
第8楼 YidingHe 发表于 2007-11-23 21:33:00
你还没搞清楚,通过 ARP 欺骗,攻击者已经成为 server 端了,这一点非 https 是无法察觉到的。
回复 支持(62) 反对(1)   举报
第9楼 匿名人士 发表于 2007-11-23 21:34:55
luoluo则提出来一个更邪恶的想法(顺便在这里祝luoluo今天生日快乐! )





莫名奇妙,不知所云,如果你的办法奏效,请把JS代码发上来再分析
回复 支持(2) 反对(18)   举报
第10楼 匿名人士 发表于 2007-11-23 21:37:54
无语,腾迅做到这一步已经很不错了,你自己在局域网内被arp劫持是你自己的问题,就算用登陆全部换https,如果你真的被ARP劫持了,那人伪造一个http下的登陆框,绝大多数人看到qq.com,也不会有任何疑心的。归根结底,想要防止密码被盗,最终要使自己小心,让腾迅花再大的功夫都是杯水车薪。
回复 支持(7) 反对(27)   举报
第11楼 multiple19... 发表于 2007-11-23 21:39:17
(顺便在这里祝luoluo今天生日快乐! )



我联想到了……“马尔蒂尼今天生日快乐! ! ! ”

嗯 原理我看懂了,有道理的,说白了就是可以直接伪装截获密码,但是还更高级一些,这个RSA加密传输……缺陷不小
回复 支持(10) 反对(3)   举报
第12楼 匿名人士 发表于 2007-11-23 21:41:14
server端认不认同没关系,可以搞到明文密码是主要的
回复 支持(5) 反对(1)   举报
第13楼 匿名人士 发表于 2007-11-23 21:43:01
作者是说伪造服务端把,
回复 支持(0) 反对(1)   举报
第14楼 maer 发表于 2007-11-23 21:48:28
我加密算法学了三遍了

问楼主一个弱智的问题:

用户的隐私数据通过RSA传到server端,可以通过私钥解密

那么反过来,server端传到客户端呢? 众所周知RSA好是好,但是非产慢,只适合一些小数据,例如对称密钥的分发 。难道是每个QQ里都有一个庞大的解密机构?
回复 支持(1) 反对(8)   举报
第15楼 c.w. 发表于 2007-11-23 21:48:50
5楼的朋友,他的意思是伪造了一个SERVER端,然后把截获的明文密码用真正SERVER端的PB加密再发给服务器,对服务器来说是代替了真正的客户端。典型的中间人攻击
回复 支持(17) 反对(1)   举报
第16楼 匿名人士 发表于 2007-11-23 21:49:34
如果某些浏览器修改版(比如MX)作者在其修改版中插入相关站点的过滤包,直接修改QQ站点的登陆功能,就有可能直接让你将密码明文发给修改版浏览器的作者了。由此看来还是不要用修改版浏览器比较好。
回复 支持(17) 反对(1)   举报
第17楼 c.w. 发表于 2007-11-23 21:51:12
10楼的朋友,更“邪恶”的想法是把网页中的相关加密代码删除后再发给客户端,然后客户端传过来的就是未经PB加密的明文密码。。。
回复 支持(5) 反对(1)   举报
第18楼 匿名人士 发表于 2007-11-23 21:52:32
既然前提是:已经能够拦截和伪造传输的数据

那为何不直接伪造一个QQ.com网站,骗对方登陆记录密码不就得了?哪用这么麻烦还要学习加密算法。
回复 支持(3) 反对(6)   举报
第19楼 slice 发表于 2007-11-23 21:52:56
你没看明白;攻击者截获了public key替换为一个fake public key让用户加密,攻击者有对应的假fake private key当然能够解密截获的用户数据。然后用开始截获的public key加密解密后的数据返回给服务器。
回复 支持(4) 反对(1)   举报
第20楼 匿名人士 发表于 2007-11-23 21:54:12
不懂装懂 鉴定完毕
回复 支持(3) 反对(3)   举报
第21楼 c.w. 发表于 2007-11-23 21:54:28
15楼的朋友,你说的是一种思路,应该是类似MT的过滤包技术吧,这个可以自己判断是否采用过滤包(当然不排除写浏览器的人恶意设下陷阱,不过可能性不大),而现实威胁是建立在ARP欺骗基础上的攻击。
回复 支持(1) 反对(0)   举报
第22楼 slice 发表于 2007-11-23 21:56:06
作用不同,这个可以在局域网中神不知鬼不觉的把其他人QQ密码盗了。

更本不用骗人家登录啥冒牌网站,如果公司,网吧,可以想象。
回复 支持(3) 反对(0)   举报
第23楼 匿名人士 发表于 2007-11-23 21:56:14
qq很废品 . 越来越多的广告.

程序捆绑软件越来越多.

功能就模仿msn.
回复 支持(4) 反对(3)   举报
第24楼 jason 发表于 2007-11-23 22:10:26
之前曾与朋友戏言QQ是否会因为我这一篇文章而多花费几百万的经费去购买https证书和https硬件加速服务器.???





那你就拭目以待吧.
回复 支持(6) 反对(0)   举报
第25楼 abc 发表于 2007-11-23 22:20:17
首先申请本人绝不是枪手,不关是说这个,其它的也一样。



分析是没有用的,给出代码。

或怕给代码会造成很大影响,那弄个实际的环境出来让我们测试一把。 有些东西说的容易,在真正实践时还是会碰到某些问题。 国外还有理论造出隐形衣了呢。
回复 支持(5) 反对(9)   举报
第26楼 匿名人士 发表于 2007-11-23 22:27:27
不光是QQ网站登录=

只要通过HTTP协议的登录密码的都能有漏洞=

记得01年的时候有个163邮箱密码探测器的东西=

就是利用ARP的 只不过当时很多人不知道= 再说这个东西早不是什么新鲜玩意了
回复 支持(6) 反对(0)   举报
第27楼 匿名人士 发表于 2007-11-23 22:30:55
给个漏洞利用方法啊~~
回复 支持(1) 反对(0)   举报
第28楼 匿名人士 发表于 2007-11-23 22:33:54
怎么就这么多人还不明白,我打个比方,好比TX的服务器送把锁给QQ客户端,客户端用锁把数据锁上再传给TX服务器。但现在如果黑客把这个锁给拦下了,然后换上黑客的锁(在局域网里这是很容易做到的),那么QQ客户端就会用黑客的锁把数据锁上。黑客截获数据后,直接用他自己的钥匙把数据解锁,然后复印一份,再把数据用TX服务器的锁锁上并交回去。整个过程就是这样。
回复 支持(34) 反对(0)   举报
第29楼 匿名人士 发表于 2007-11-23 22:35:51
arp防火墙软件,哪个好些?!
回复 支持(0) 反对(0)   举报
第30楼 匿名人士 发表于 2007-11-23 22:39:05
安全也要考虑成本嘛,又不是银行密码。谁会去偷不值几个钱的QQ密码?
回复 支持(0) 反对(3)   举报
第31楼 匿名人士 发表于 2007-11-23 22:42:05
别忘了QQ有密码保护。即使丢了密码也可以要回来。
回复 支持(1) 反对(0)   举报
第32楼 匿名人士 发表于 2007-11-23 23:02:46
RSA的算法很简单,可是最原始的版本是有安全性缺陷的,另外RSA的速度也比较低。有很多其他效率比它高很多的加密方案可以用,比如椭圆曲线加密。
回复 支持(2) 反对(0)   举报
第33楼 solock 发表于 2007-11-23 23:08:34
攻击者将js文件中的public key替换为fake public key,那很好,说明你中毒了,中毒了那就米话说了。
回复 支持(1) 反对(4)   举报
第34楼 匿名人士 发表于 2007-11-23 23:14:08
你就是个球
回复 支持(6) 反对(3)   举报
第35楼 匿名人士 发表于 2007-11-23 23:23:50
这下TX的临时工慌了
回复 支持(3) 反对(0)   举报
第36楼 匿名人士 发表于 2007-11-23 23:24:10
这里换啥都一样,用了ECC也挡不住中间人攻击。
回复 支持(3) 反对(0)   举报
第37楼 匿名人士 发表于 2007-11-23 23:25:52
ARP欺骗攻击懂么?

不需要你中毒,只要你所在的局域网里有一个人不小心中毒(或者他就是想偷你密码),你的密码就会被不知不觉的偷走!
回复 支持(3) 反对(0)   举报
第38楼 匿名人士 发表于 2007-11-23 23:30:04
我觉得也是这个意思
回复 支持(3) 反对(0)   举报
第39楼 匿名人士 发表于 2007-11-23 23:34:01
没看懂吧你。。
回复 支持(2) 反对(0)   举报
第40楼 匿名人士 发表于 2007-11-23 23:38:28
。。。好像还是有人不懂
回复 支持(5) 反对(0)   举报
第41楼 匿名人士 发表于 2007-11-23 23:39:50
我受不了了,按照楼主的想法,所有基于http登陆的网站全换成https好了,这样就安全了
回复 支持(4) 反对(1)   举报
第42楼 匿名人士 发表于 2007-11-23 23:42:27
补充啊,好像只要进行可逆加密,按楼主的意思推理,分析本地加密算法,然后自己写个解密算法,再截取数据,那是不是要有很大一部分的网络登录都要换了?



楼主真创意
回复 支持(1) 反对(1)   举报
第43楼 LeavingMe.... 发表于 2007-11-23 23:56:08
我觉得这篇文章完全没什么技术含量。

关键点在于截获数据包。

当大部分黑客做到这一点的时候,全世界的大部分网络应用都要担心。

绝大部分网站的加密方式要么就是(yahoo)MD5(单向)目前md5理论上是可以破解的,和QQ这种双向的(文章已经提出了破解方案)。至于SHA1等这些的在于算法的强度 只要你有办法截获数据包,你几乎或一定可以得到你想要的东西。
回复 支持(2) 反对(1)   举报
第44楼 匿名人士 发表于 2007-11-24 00:14:11
你把qq文明用语急了他说请qq用户都使用qq工具条,因为最新版的qq工具条加入了加密登陆功能,为了保障你的qq安全,请务必使用.
回复 支持(0) 反对(0)   举报
第45楼 匿名人士 发表于 2007-11-24 00:21:28
tx穷的文明用语没有钱买个证书
回复 支持(1) 反对(0)   举报
第46楼 匿名人士 发表于 2007-11-24 00:33:32
文章说的很对,没有证书的话网站本身就不能向用户提供自己的身份证明,也就无从谈起安全性。很多回复者请先了解一些基本的安全常识。
回复 支持(1) 反对(0)   举报
第47楼 匿名人士 发表于 2007-11-24 00:37:15
QQ可能保存用户密码明文,这个本身就有些不厚道了。很多人的密码用来用去就那么一两个,呵呵
回复 支持(0) 反对(0)   举报
第48楼 匿名人士 发表于 2007-11-24 01:00:06
神经病,阿里88又不做IM软件,要这样的枪有什么用?
回复 支持(2) 反对(0)   举报
第49楼 est 发表于 2007-11-24 01:26:35
文章最下面



QQ快速升级

QQ快速升级,1个小时升级到太阳, 再也不用每天为挂QQ烦恼了 Google提供的广告
回复 支持(2) 反对(0)   举报
第50楼 匿名人士 发表于 2007-11-24 02:08:48
TX用的密钥一定是4位的,那样就不慢了.-_-
回复 支持(0) 反对(0)   举报
第51楼 匿名人士 发表于 2007-11-24 02:54:06
TX不会是用超长质数做key吧,那它的服务器是挺牛的,就算分布也牛
回复 支持(0) 反对(1)   举报
第52楼 Phoenix 发表于 2007-11-24 03:11:07
luoluo,和和,生日快乐!
回复 支持(1) 反对(0)   举报
第53楼 匿名人士 发表于 2007-11-24 07:02:05
腾讯的方法感觉挺别扭。公钥应该是所有人都能看到的密码,包括攻击者。非对称加密本身就可以保证,即使公钥被篡改,通讯也是安全的。



一般情况下,应该是服务器用用户的公钥给需要加密的数据a加密,用户收到后用自己的私钥解密,得到数据。在这种情况下,即使有MIM,攻击者也不能篡改数据,因为所有数据都是经过了加密的,不像文中那样,服务器公钥明文传送。一旦篡改,用户就无法用自己的私钥解密数据a。

说实话,我觉得腾讯的做法更像是在用对称加密。而且是很拙劣的对称加密,密钥交换都用明文。这就像是在大街上大声告诉你街对面的同伴一件事,如果那个同伴耳朵不好,就问一下他旁边的人刚才说的是什么,旁边的人就说:“他告诉你,给你旁边那个人一张100元的钞票。”然后这个人就真的傻呼呼地给了。
回复 支持(1) 反对(1)   举报
第54楼 匿名人士 发表于 2007-11-24 07:44:22
貌似 cnbeta的高手很多啊?
回复 支持(0) 反对(0)   举报
第55楼 匿名人士 发表于 2007-11-24 07:45:18
貌似 cn-beta高手很多啊
回复 支持(1) 反对(0)   举报
第56楼 sdff 发表于 2007-11-24 07:58:05
"它只能对抗目前已知的arp sniffer软件,而对专门开发的替换关键字的软件,则无法有效防御。"

总要留给Wall

(专门开发的替换关键字{链接}的软件)解密吧,说不说也知道,TOM SKYPE的解密也是直接交给Wall
的,不说原理也知道这个问题。
回复 支持(0) 反对(0)   举报
第57楼 匿名人士 发表于 2007-11-24 08:06:31
看不懂! 我只知道cnBeta经常无法登陆!

提示服务器返回数据为零字节,然后什么缓存服务器是另一个人负责的,留下一个邮箱。。

是不是经常被人黑啊
回复 支持(0) 反对(1)   举报
第58楼 匿名人士 发表于 2007-11-24 08:50:52
很有道理
回复 支持(0) 反对(0)   举报
第59楼 匿名人士 发表于 2007-11-24 08:53:34
虽然没什么技术含量,但可以肯定的是你根本就没技术。
RSA是双向的,但这只是加密算法中的一个中间过后层。你怎么知道不是MD5后再RSA的。
回复 支持(0) 反对(1)   举报
第60楼 冬天来了 发表于 2007-11-24 09:08:43
哎,安全啊。。。
回复 支持(0) 反对(0)   举报
第61楼 匿名人士 发表于 2007-11-24 09:13:10
我的X在左上角...
回复 支持(0) 反对(0)   举报
第62楼 LeavingMe.... 发表于 2007-11-24 09:16:39
说来说去,你不就是在说算法强度么?

这向来都是算法的问题。

我说的关键点在于只要你有办法截获数据包,你几乎或一定可以得到你想要的东西。
回复 支持(0) 反对(0)   举报
第63楼 lalala 发表于 2007-11-24 09:44:33
不知道腾讯是怎么做的,不过有一点可以肯定:楼上绝大部分人把密钥交换过程与保密通信过程弄混淆了,有人提到MD5破解的问题,单向Hash实现明文被坎掉了,自己去复习Hash实现。另外,不要动不动就RSA,要说清楚是RSA协议,差别大的很,看的我都累。



无论是SSL/Kerberos/SET等安全协议都有密钥交换的过程,SSL握手、Kerberos在Windows域中的用户密码hash以及TGT等手段的运用,都试图保障密钥交换过程安全。这里高手多,肯定有人知道像Differ-Hellman基于素数模的密钥交换方式,以及古老有缺陷的像N-S系列协议、甚至一些具有重放攻击缺陷的RPC/大嘴青蛙等,这些都是密钥交换协议。用于密钥交换而非通信保密。

我只想说,如果要保证密钥交换绝对安全是非常困难的,然而即便是最简单的2方对称密钥传输协议RPC(修订版)要想做重放攻击也是有很多条件限制的。与其把时间和精力花在这上面,不如去多写几个盗号软件来的方便。
回复 支持(0) 反对(1)   举报
第64楼 匿名人士 发表于 2007-11-24 10:05:18
密码 保护能破的了吗?
回复 支持(0) 反对(0)   举报
第65楼 香蕉王子 发表于 2007-11-24 10:11:25
好专业啊,完全看不懂。
回复 支持(0) 反对(0)   举报
第66楼 1 发表于 2007-11-24 10:45:45
.
回复 支持(0) 反对(0)   举报
第67楼 1 发表于 2007-11-24 10:46:48
.





.
回复 支持(0) 反对(0)   举报
第68楼 匿名人士 发表于 2007-11-24 10:57:57
.





. .
回复 支持(0) 反对(0)   举报
第69楼 GG 发表于 2007-11-24 11:08:23
说几点琐事.

1.ph4nt0m这个组织,国内公认是民间网安组织中最好之一,就算说到国外,也是有所共识的.就算在国内比不上xfocus,whitecell,0x557这些老牌组织.也差不多了.因此文章的权威性应该不用怀疑.

2.axis是ph4的头,文章抬头说到的Alibaba B2B Corp,和阿里巴巴公司无关,只不过axis在此公司做安全方面工作而已.

3.luoluo(顺便再次祝他昨日生日快乐),云舒都是ph4的成员,也是yahoo的安全工作人员.此文章发布在ph4的网页上,也未想到被转载到cb上来,默认受众者都是对网安方面有所了解的.所以对其中的人物术语未加说明. 相信各位有点密码学和网络工程基础的就能看懂,不能看懂的,也无所谓.就当看个新闻而已.恐怕不需要对以上几点乱加指责吧?
回复 支持(12) 反对(0)   举报
第70楼 czy 发表于 2007-11-24 11:27:31
写得太好了,牛呀。。。。
回复 支持(1) 反对(0)   举报
第71楼 匿名人士 发表于 2007-11-24 11:32:07
费那个劲干嘛?拿锤子指着他脑壳,不告诉密码就敲下去不久完了么!
回复 支持(0) 反对(0)   举报
第72楼 GG 发表于 2007-11-24 11:38:21
czy牛也来了.呵呵

混水不趟咯.壁上观,壁上观.
回复 支持(0) 反对(0)   举报
第73楼 匿名人士 发表于 2007-11-24 11:42:59
“多花费几百万的经费去购买https证书和https硬件加速服务器”



用不了那么多钱! 而且HTTPS加速器不是必须的。(这是给我们gov 部门的报价吧)
回复 支持(0) 反对(0)   举报
第74楼 匿名人士 发表于 2007-11-24 12:14:48
难得看到技术性文章
回复 支持(0) 反对(0)   举报
第75楼 Sal 发表于 2007-11-24 12:27:31
其实这个倒也是,完美是不可能的,但是有补救措施还是管用的,当然如果没有密码保护,必须申诉的时候,就不是技术问题了,而是人品问题。而且更多的盗号方法是监控键盘,https对这个情况就没办法了。。。
回复 支持(1) 反对(0)   举报
第76楼 Fucker 发表于 2007-11-24 12:57:26
看到czy牛牛了。。

luoluo 生日快乐! !



cnbeta 的用户群体好强大! 人才辈出! !
回复 支持(0) 反对(0)   举报
第77楼 匿名人士 发表于 2007-11-24 13:16:01
文明—用语
回复 支持(0) 反对(0)   举报
第78楼 匿名人士 发表于 2007-11-24 13:25:39
发现楼上很多人想盗QQ
回复 支持(1) 反对(0)   举报
第79楼 匿名人士 发表于 2007-11-24 15:07:04
https证书要几百万?1-2万就够了吧
回复 支持(0) 反对(0)   举报
第80楼 匿名人士 发表于 2007-11-24 17:48:11
真傻,都arp劫持了,还搞那些东西干嘛,要什么有什么了都。楼主是来炫耀技术的?

另外,qq80%以上的登陆都有https的,他们内部不统一罢了,80%的登陆都是跳转到https://acccount.qq.com了,你居然会认为他们没钱。。。他们技术总监文明用语而已。
回复 支持(0) 反对(0)   举报
第81楼 匿名人士 发表于 2007-11-24 20:36:45
qq废品 !
回复 支持(1) 反对(0)   举报
第82楼 匿名人士 发表于 2007-11-24 22:49:47
恐难以实现