V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
RangerWolf
V2EX  ›  宽带症候群

弱弱的问下, https 有助于减轻运营商的流量劫持吗?

  •  
  •   RangerWolf · 2016-02-19 12:02:34 +08:00 · 6478 次点击
    这是一个创建于 3193 天前的主题,其中的信息可能已经有所发展或是发生改变。
    同样是江苏的移动用户,被劫持得痛苦万分
    22 条回复    2016-02-21 00:15:54 +08:00
    Strikeactor
        1
    Strikeactor  
       2016-02-19 12:03:10 +08:00
    miyuki
        2
    miyuki  
       2016-02-19 12:03:53 +08:00


    劫持花式推动国内 https 建设
    v1024
        3
    v1024  
       2016-02-19 12:04:44 +08:00
    如果没有 DNS 劫持,就能根治。
    965380535
        4
    965380535  
       2016-02-19 12:06:10 +08:00
    湖北移动表示暂时没有劫持
    RangerWolf
        5
    RangerWolf  
    OP
       2016-02-19 12:07:52 +08:00
    @v1024 现在想的是先能解决问题先~ 根治在于缺少监管~

    有位大神在 /t/255534 描述了很详细的收集证据的方法,但是我还是不太会。。。
    RangerWolf
        6
    RangerWolf  
    OP
       2016-02-19 12:08:01 +08:00
    @965380535 lucky man
    RangerWolf
        7
    RangerWolf  
    OP
       2016-02-19 12:09:04 +08:00
    @Strikeactor
    @miyuki 有推荐好用的扩展自动搞定这个事情吗?

    我搜了下,还需要我手动的把相应的域名加进去~ 不知道有没有什么更方便的方法
    965380535
        8
    965380535  
       2016-02-19 12:09:54 +08:00
    @RangerWolf 一直觉得 移动这么垃圾(指的是互联互通和自带墙)的网 好意思搞劫持?
    Strikeactor
        9
    Strikeactor  
       2016-02-19 12:13:35 +08:00
    @RangerWolf HTTPS Everywhere
    RangerWolf
        10
    RangerWolf  
    OP
       2016-02-19 12:28:47 +08:00
    @965380535 关键字便宜啊,然后国际出国用的人少,速度还可以
    RangerWolf
        11
    RangerWolf  
    OP
       2016-02-19 12:29:02 +08:00
    @Strikeactor 感谢 立马去试试看
    lk1ngaa7
        12
    lk1ngaa7  
       2016-02-19 14:10:37 +08:00   ❤️ 1
    特别有用,如果你是直接使用 https 协议传输数据的话(非 302 跳转),运营商几乎没有办法劫持
    raysonx
        13
    raysonx  
       2016-02-19 15:32:54 +08:00 via iPad   ❤️ 1
    https 本身需要配合 hsts 才能杜绝劫持,我已经见到部分地区用 http 剥离攻击了,就是用虚假的 http 服务器反代 https 的百度。
    RangerWolf
        14
    RangerWolf  
    OP
       2016-02-19 20:49:31 +08:00
    @raysonx 我对这一套其实都不太了解~ 运营商里面那些干私活的人现在有这么高级的手段没? 哈哈
    qgy18
        15
    qgy18  
       2016-02-19 22:02:44 +08:00 via iPhone   ❤️ 1
    @raysonx

    是的, hsts / hsts preload list 才能彻底解决问题,不然第一个 http 请求就直接给劫持到高仿了,不给任何 302 的机会。类似这样:


    @RangerWolf
    @RangerWolf
    SlipStupig
        16
    SlipStupig  
       2016-02-19 23:28:08 +08:00
    appstore 全程 https 协议以前一些省份照样发生过劫持,原因是证书伪造,很多用户看到红叉后没办法只能信任,否则你根本没法用
    laiyingdong
        17
    laiyingdong  
       2016-02-20 00:08:43 +08:00
    有助于"减轻"是真的。 https 除非是中间人攻击(证书报错?)或者是劫持到其他的 http 页面,但是至少增加了大大劫持 [https 内容] 的难度和被投诉的可能性,关键是用户提高自身的防范意识 (不过我国这么多网民要每个人都知道怎么抓包什么 302 的太难,如果有关部门能加强管理 尤其是处罚..)

    @SlipStupig 这么大胆?他们是很想被投诉么
    @qgy18
    raysonx
        18
    raysonx  
       2016-02-20 00:38:57 +08:00 via iPad
    @SlipStupig
    @laiyingdong 启用 hsts 的站点不能忽略证书错误,如果劫持者执意劫持必然引来大量投诉
    RangerWolf
        19
    RangerWolf  
    OP
       2016-02-20 07:10:23 +08:00
    @qgy18 那比如在 pc/mac 上有什么好的现成的解决方案吗? 感谢
    AII
        20
    AII  
       2016-02-20 16:00:45 +08:00 via Android
    @qgy18 没有绝对安全。花钱重新签发原域名证书无解。
    157003892
        21
    157003892  
       2016-02-20 23:57:12 +08:00
    反正我电信开百度换了任何 DNS 都被定向到推广链接。
    SlipStupig
        22
    SlipStupig  
       2016-02-21 00:15:54 +08:00
    运营商不怕投诉啊你去哪里投诉,难道投诉到工信部么?人家会理你啊( BTW:https 如果没有全程是可以 strip 钓鱼成 HTTP 的)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2758 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:05 · PVG 18:05 · LAX 02:05 · JFK 05:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.