添加的内容 删除的内容
(→取票后的火车票的退票、改签: // Edit via Wikiplus) |
(→验证码: // Edit via Wikiplus) 标签:消歧义链接 |
||
(未显示同一用户的1个中间版本) | |||
| 第80行: | 第80行: | ||
后来,12306网站的验证码又升级为图片验证码,其数量多达581种,按照要输入两个关键词的登录规则,用户将有机会尝试336980道不同验证码题目机会,而一次性输入正确的仅为8%,两次成功的比例为27%,65%的人需要三次甚至四次以上才能输对,部分网民为此用[[Adobe Photoshop]]等软件制作恶搞版验证码以示讽刺。<ref>{{cite web|url=http://www.sohu.com/a/48133938_119911|title=抛开网络恶搞文化 理性看待12306图片验证|publisher=搜狐|date=2015-12-13|accessdate=2018-08-05}}</ref>不过,铁路部门官方回应表示,正在向上级汇报情况,作出相应的调整方案<ref>{{Cite web |url=http://tech.sina.com.cn/i/2015-12-09/doc-ifxmihae9335082.shtml |title=验证码输入正确率仅8% 12306的题你会做几道? |accessdate=2015-12-09 |publisher=南方都市报 |date=2015-12-09 |language=zh-cn }}</ref><ref>{{Cite web |url=http://life.china.com.cn/2015-12/09/content_37270890.htm |title=12306图片验证码被吐槽 回应称将作出相应调整 |accessdate=2015-12-09 |publisher=中国新闻网 |date=2015-12-09 |language=zh-cn }}</ref>。2015年12月10日,中国铁路总公司表示,12306网站将对图片验证码中的图片的清晰度和分辨率进行调整,并剔除错误率较高的图片<ref>{{Cite news |url=http://news.163.com/15/1210/10/BAFH6LMO00014Q4P.html |title=铁总回应:剔除12306图形验证码错误率较高的图片 |accessdate=2018-08-05 |author=法制晚报 |publisher=网易 |date=2015-12-10 |language=zh-cn }}</ref>。 |
后来,12306网站的验证码又升级为图片验证码,其数量多达581种,按照要输入两个关键词的登录规则,用户将有机会尝试336980道不同验证码题目机会,而一次性输入正确的仅为8%,两次成功的比例为27%,65%的人需要三次甚至四次以上才能输对,部分网民为此用[[Adobe Photoshop]]等软件制作恶搞版验证码以示讽刺。<ref>{{cite web|url=http://www.sohu.com/a/48133938_119911|title=抛开网络恶搞文化 理性看待12306图片验证|publisher=搜狐|date=2015-12-13|accessdate=2018-08-05}}</ref>不过,铁路部门官方回应表示,正在向上级汇报情况,作出相应的调整方案<ref>{{Cite web |url=http://tech.sina.com.cn/i/2015-12-09/doc-ifxmihae9335082.shtml |title=验证码输入正确率仅8% 12306的题你会做几道? |accessdate=2015-12-09 |publisher=南方都市报 |date=2015-12-09 |language=zh-cn }}</ref><ref>{{Cite web |url=http://life.china.com.cn/2015-12/09/content_37270890.htm |title=12306图片验证码被吐槽 回应称将作出相应调整 |accessdate=2015-12-09 |publisher=中国新闻网 |date=2015-12-09 |language=zh-cn }}</ref>。2015年12月10日,中国铁路总公司表示,12306网站将对图片验证码中的图片的清晰度和分辨率进行调整,并剔除错误率较高的图片<ref>{{Cite news |url=http://news.163.com/15/1210/10/BAFH6LMO00014Q4P.html |title=铁总回应:剔除12306图形验证码错误率较高的图片 |accessdate=2018-08-05 |author=法制晚报 |publisher=网易 |date=2015-12-10 |language=zh-cn }}</ref>。 |
||
但这样的验证方式给[[视障人士]]带来了不便。在12306网站的验证码升级为图片验证码后,引发全国各地百余名视障人士给铁总写联名建议信,呼吁加强[[网頁亲和力|网站无障碍]]建设,不过铁总对此一直未予回应。2016年1月,有一名视障人士状告中国铁路总公司、中国铁路信息技术中心和中国铁道科学研究院,要求提供无障碍验证服务,同时索赔110元打车费和1元精神损失费。而中国工信部颁布的《网站设计无障碍技术要求》规定了“如果网页中存在非文本验证码,则应提供适合多种[[残疾人]]和有特殊需求的健全人使用的不离开当前操作界面的替代表现形式”<ref>{{Cite web|author=刘小英|url=http://finance.sina.com.cn/chanjing/gsnews/2016-01-26/doc-ifxnurxp0021592.shtml|title=12306验证码难辨遭视障人士起诉|accessdate=2016年1月26日|publisher=每日经济新闻|date=2016年1月26日|language=zh-cn}}</ref>。2016年9月,北京海淀法院对此案一审宣判,驳回陈文全部诉讼请求<ref>{{Cite web|url=http://news.ifeng.com/a/20160929/50044001_0.shtml|title=盲人因难辨12306图形验证码状告铁总 请求全被驳回|accessdate=2016年9月29日|publisher=北京青年报|date=2016年9月29日|language=zh-cn}}</ref>。 |
但这样的验证方式给[[视障人士]]带来了不便。在12306网站的验证码升级为图片验证码后,引发全国各地百余名视障人士给铁总写联名建议信,呼吁加强[[网頁亲和力|网站无障碍]]建设,不过铁总对此一直未予回应。2016年1月,有一名视障人士状告中国铁路总公司、中国铁路信息技术中心和中国铁道科学研究院,要求提供无障碍验证服务,同时索赔110元打车费和1元精神损失费。而中国工信部颁布的《网站设计无障碍技术要求》规定了“如果网页中存在非文本验证码,则应提供适合多种[[残疾人]]和有特殊需求的健全人使用的不离开当前操作界面的替代表现形式”<ref>{{Cite web|author=刘小英|url=http://finance.sina.com.cn/chanjing/gsnews/2016-01-26/doc-ifxnurxp0021592.shtml|title=12306验证码难辨遭视障人士起诉|accessdate=2016年1月26日|publisher=每日经济新闻|date=2016年1月26日|language=zh-cn}}</ref>。2016年9月,北京海淀法院对此案一审宣判,因铁路售票不仅有互联网方式,原告的公平购票权、自由出行权并未受到侵害,且验证码设计的本意并非基于残障的歧视,驳回陈文全部诉讼请求<ref>{{Cite web|url=http://news.ifeng.com/a/20160929/50044001_0.shtml|title=盲人因难辨12306图形验证码状告铁总 请求全被驳回|accessdate=2016年9月29日|publisher=北京青年报|date=2016年9月29日|language=zh-cn}}</ref>。 |
||
2016年12月10日,中国铁路总公司表示,为迎接2017年[[春运]],铁路部门将对12306网站进行扩容改造,同时推出在购票环节减少使用验证码的措施,近六成车票发售时旅客不再需要输入验证码<ref>{{Cite web|url=http://gd.qq.com/a/20161211/006764.htm|title=12306网站扩容改造 近六成春运车票网购无需验证码|accessdate=2016-12-11|publisher=深圳特区报|date=2016-12-11|language=zh-cn}}</ref>。而后到2018年春运,网站购票需要验证码的比例压缩到15%以下,并且图形验证码随每日热门线路的出现而动态出现;同年底,为迎接2019年春运,铁路部门对12306上出现的验证码进行了再优化策略,验证码的出现将控制在5%到10%左右,且仅在热门车次的售票中出现<ref>{{Cite web|url=http://www.xinhuanet.com/politics/2018-12/25/c_1123898797.htm|title=12306验证码出现率压缩至5%至10% 仅在最热门车次售票中出现|accessdate=2018-12-25|publisher=北京青年报|date=2018-12-25|language=zh-cn}}</ref>。 |
2016年12月10日,中国铁路总公司表示,为迎接2017年[[春运]],铁路部门将对12306网站进行扩容改造,同时推出在购票环节减少使用验证码的措施,近六成车票发售时旅客不再需要输入验证码<ref>{{Cite web|url=http://gd.qq.com/a/20161211/006764.htm|title=12306网站扩容改造 近六成春运车票网购无需验证码|accessdate=2016-12-11|publisher=深圳特区报|date=2016-12-11|language=zh-cn}}</ref>。而后到2018年春运,网站购票需要验证码的比例压缩到15%以下,并且图形验证码随每日热门线路的出现而动态出现;同年底,为迎接2019年春运,铁路部门对12306上出现的验证码进行了再优化策略,验证码的出现将控制在5%到10%左右,且仅在热门车次的售票中出现<ref>{{Cite web|url=http://www.xinhuanet.com/politics/2018-12/25/c_1123898797.htm|title=12306验证码出现率压缩至5%至10% 仅在最热门车次售票中出现|accessdate=2018-12-25|publisher=北京青年报|date=2018-12-25|language=zh-cn}}</ref>。 |
||
| 第90行: | 第90行: | ||
当浏览器检测到其根证书库当中没有“SRCA”这个证书时,就出于安全性的因素阻止用户访问网站。为此,12306网站要求用户手动安装根证书以便浏览器放行<ref>{{Cite web |url= http://blog.csdn.net/zhangxy221/article/details/7961863 |title= 12306在线买火车票为什么需要安装根证书 |author= |date= 2012年9月10日 |publisher= |language= zh-cn |accessdate= |quote= }}</ref>。此方法并非对所有浏览器有效,在使用某些浏览器时用户需要单独进行设置。 |
当浏览器检测到其根证书库当中没有“SRCA”这个证书时,就出于安全性的因素阻止用户访问网站。为此,12306网站要求用户手动安装根证书以便浏览器放行<ref>{{Cite web |url= http://blog.csdn.net/zhangxy221/article/details/7961863 |title= 12306在线买火车票为什么需要安装根证书 |author= |date= 2012年9月10日 |publisher= |language= zh-cn |accessdate= |quote= }}</ref>。此方法并非对所有浏览器有效,在使用某些浏览器时用户需要单独进行设置。 |
||
另外,每个SSL[[数字证书]]都有一个密钥。一般密钥一旦失窃,正规认证机构及系统厂商就会宣布此证书无效<ref>{{Cite web|url= http://www.yesky.com/20010323/1219415.shtml|title= 微软数字证书失窃,用户又该遭殃?|author= |date= 2001年3月23日|publisher= |language= zh-cn|accessdate= |quote= }}</ref>。对于较小的认证机构,一般为证书设立一个[[证书吊销列表]](CRL)<ref>{{Cite web |url= https://www.wosign.com/FAQ/CRL_OSCP.htm |title= 什么是证书吊销列表(CRL)? 吊销列表起什么作用 ? |author= WoSign |date= |publisher= |language= zh-cn |accessdate= |quote= }}</ref>,当密钥失窃时,证书会自动被列为失效。SRCA的证书没有CRL,系统厂商也不会专门为此发布一个更新<ref>{{Cite web |url= http://www.8844.com/html/news/anquan/zixun/2011/09-10/373415.html |title= 安全证书失窃被废 独留Google.com证书 |author= |date=2011年9月10日 |publisher= |language= zh-cn |accessdate= |quote= }}{{deadlink}}</ref>。因此黑客可能会利用这个密钥以SRCA的身份发放证书。一旦黑客把这个证书颁发给了一些恶意网站,安装了SRCA证书的浏览器将放行这些网站,无法抵御由此引发的恶意攻击 |
另外,每个SSL[[数字证书]]都有一个密钥。一般密钥一旦失窃,正规认证机构及系统厂商就会宣布此证书无效<ref>{{Cite web|url= http://www.yesky.com/20010323/1219415.shtml|title= 微软数字证书失窃,用户又该遭殃?|author= |date= 2001年3月23日|publisher= |language= zh-cn|accessdate= |quote= }}</ref>。对于较小的认证机构,一般为证书设立一个[[证书吊销列表]](CRL)<ref>{{Cite web |url= https://www.wosign.com/FAQ/CRL_OSCP.htm |title= 什么是证书吊销列表(CRL)? 吊销列表起什么作用 ? |author= WoSign |date= |publisher= |language= zh-cn |accessdate= |quote= }}</ref>,当密钥失窃时,证书会自动被列为失效。SRCA的证书没有CRL,系统厂商也不会专门为此发布一个更新<ref>{{Cite web |url= http://www.8844.com/html/news/anquan/zixun/2011/09-10/373415.html |title= 安全证书失窃被废 独留Google.com证书 |author= |date=2011年9月10日 |publisher= |language= zh-cn |accessdate= |quote= }}{{deadlink}}</ref>。因此,如果中国铁路用于签发SRCA的密钥失窃,黑客可能会利用这个密钥以SRCA的身份发放证书。一旦黑客把这个证书颁发给了一些恶意网站,安装了SRCA证书的浏览器将放行这些网站,无法抵御由此引发的恶意攻击。 |
||
当用户开始进行支付时(访问到pay.12306.cn),中国铁路客户服务中心则会向用户出示一份[[Verisign]]签发的有效证书,但这只能保证用户在支付时的安全。 |
当用户开始进行支付时(访问到pay.12306.cn),中国铁路客户服务中心则会向用户出示一份[[Verisign]]签发的有效证书,但这只能保证用户在支付时的安全。 |
||