V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
alonga
V2EX  ›  云计算

搞个大新闻:微软网站 HTTPS 被黑,蓝汛的锅?

  •  
  •   alonga · 2016-06-06 11:19:59 +08:00 · 5306 次点击
    这是一个创建于 3122 天前的主题,其中的信息可能已经有所发展或是发生改变。

    微软 HTTPS 被劫持

    前天去微软网站下补丁, https://download.microsoft.com 有 HTTPS ,可给我跳到联通缓存 IP 去了, WTF ?大微软 HTTPS 能被联通黑?

    当时查询是:联通云 BGP 数据中心,应该是: 120.52.72.*吧(没保存,记得 72 )。

    而且劫持到联通缓存 IP 后短时间无法下载了,因为联通缓存 IP 又跑到微软 CDN 去下载,死循环......

    CDN HTTPS 可能不安全

    蓝汛、网宿用的技术应该借鉴了 CloudFlare 。

    CloudFlare 给网站提供了三种 SSL 方案,有选项可以选择:

    1.Flexible SSL ,网站自身没 SSL , CloudFlare 发证书。

    用户←[安全]→CloudFlare←[不安全]→网站

    2.Full SSL ,网站有 SSL ,但 CDN 不验证 SSL 真实性。

    用户←[安全]→CloudFlare←[有一定安全风险]→网站

    3.Full SSL(strict),网站有 SSL , CDN 验证 SSL 真实性。

    用户←[安全]→CloudFlare←[安全]→网站

    谁的锅?

    如果蓝汛、网宿有三种选项且摆放很明显,那么就是微软网站等管理员的锅。 如果蓝汛、网宿没这种选项,默认把 HTTPS 走 HTTP 回原站,那么就是蓝汛、网宿的锅。

    本人不用蓝汛、网宿,不清楚他们的网站后台样子。

    tip:很多网站使用了 HTTPS ,但使用了 CDN , CDN 与网站之间可能是 HTTP ,登陆密码等信息还是不安全的。

    谁劫持了 CDN 到网站就可以劫持全国、甚至全球。

    一个劫持者的数据:

    https://www.v2ex.com/t/279987

    另外京东 6 月开始很多页面 HTTPS 强制降到 HTTP ,原来是自己选择 HTTPS 还是 HTTP 访问,搞不懂京东干吗,让人劫持吗?劫持者又开始了。

    之前

    的苏宁全国被劫持:

    https://www.v2ex.com/t/272022

    https://www.v2ex.com/t/274210

    还有七牛 HTTPS 被劫持:

    https://www.v2ex.com/t/280174

    14 条回复    2016-06-07 08:57:58 +08:00
    tianweb
        1
    tianweb  
       2016-06-06 11:43:19 +08:00
    联通干的,详情请搜索 联通劫持 联通 cdn
    notgod
        2
    notgod  
       2016-06-06 11:46:01 +08:00
    联通挟持的
    这种大站的下载数据 缓存到缓存集群
    可以有效降低带宽使用率
    zhujinliang
        3
    zhujinliang  
       2016-06-06 11:46:21 +08:00 via iPhone
    期待联通 ddos 蓝汛,一块把国内局域网给炸了
    imn1
        4
    imn1  
       2016-06-06 11:46:47 +08:00
    页面是 ssl ,但下载的 link 是否也是 ssl ?
    lhbc
        5
    lhbc  
       2016-06-06 11:47:30 +08:00
    运营商的锅,本来就是两张网,非要两张都搞劫持
    alonga
        6
    alonga  
    OP
       2016-06-06 11:52:16 +08:00
    @tianweb
    @notgod
    @lhbc
    蓝汛请求的时候应该是访问国外微软原站,且没有访问 HTTPS ,访问的 HTTP ,联通劫持了,蓝汛就把联通的劫持响应分发到全国了。

    @imn1
    全 HTTPS ,是蓝汛 CDN 到微软网站之间的问题。
    ljcarsenal
        7
    ljcarsenal  
       2016-06-06 12:00:44 +08:00
    看楼主发帖记录 好像一直在和劫持斗争。。问下 他们这种劫持 一个月能拿大概多少钱。
    julyclyde
        8
    julyclyde  
       2016-06-06 12:08:50 +08:00
    @ljcarsenal 联通这种应该只能叫一个月省多少钱;有些地方小 ISP 劫持了还挂广告的,那才叫能拿多少钱
    huobazi
        9
    huobazi  
       2016-06-06 18:49:14 +08:00
    论水管,还是电信粗些。
    jyf007
        10
    jyf007  
       2016-06-06 19:23:42 +08:00 via Android
    联通延迟太大还限速了。
    muziyue
        11
    muziyue  
       2016-06-06 19:55:10 +08:00
    艹,被图片吓到了
    LGA1150
        12
    LGA1150  
       2016-06-06 21:37:49 +08:00
    欢迎使用 download.microsoft.com 在国内的与 Akamai 合作的 CDN :
    CNAME e16.ca2.s.tl88.net
    publicAdmin
        13
    publicAdmin  
       2016-06-07 03:28:30 +08:00
    好软好软~
    alonga
        14
    alonga  
    OP
       2016-06-07 08:57:58 +08:00
    @ljcarsenal
    @julyclyde 对,联通这个是为了省钱。
    而且运营商大部分缓存劫持系统都是网宿蓝汛 2 个公司帮做的。

    @LGA1150 这个是网宿的节点,也可能被劫持,七牛 HTTPS 已经被劫持好几回了,七牛用的网宿。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2284 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 16:09 · PVG 00:09 · LAX 08:09 · JFK 11:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.