V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
interdev
V2EX  ›  宽带症候群

访问小米的首页,被弹唯品会广告,面对国内恶劣环境,大的电商网站必须全站 https 才能保障访问者的安全

  •  
  •   interdev · 2015-11-01 02:29:33 +08:00 · 6420 次点击
    这是一个创建于 3329 天前的主题,其中的信息可能已经有所发展或是发生改变。
    刚想去小米网买点东西,打开首页发现右下角多了个唯品会的广告,搞得买东西的心情全无,有时打开京东首页也会弹唯品会,淘宝和百度全站 https 了,京东和小米现在变成广告弹商的对象





    初步判断可能是移动光纤的设备被江苏某公司黑掉劫持了,或者是移动内部的人就参与了广告营销分成。

    广告分发的网站所有者为: http://icp.aizhan.com/img.sp.cc/

    强插在</body></html> 之上的代码为:



    涉及好多个域名,想封掉最快的方式是加到 hosts 文件中.
    127.0.0.1 img.sp.cc
    127.0.0.1 mmae.qtmojo.com
    127.0.0.1 img.emarbox.com
    127.0.0.1 m.emarbox.com
    127.0.0.1 www.emarbox.com
    127.0.0.1 ad.daohang365.net
    127.0.0.1 www.yuedu360.net
    24 条回复    2015-11-06 18:52:06 +08:00
    DIYgod
        1
    DIYgod  
       2015-11-01 02:43:41 +08:00
    想到了这个

    xmoiduts
        2
    xmoiduts  
       2015-11-01 08:35:54 +08:00 via Android
    sp.cc 在 chrome 上是,一片红。
    aofall
        3
    aofall  
       2015-11-01 08:36:04 +08:00 via iPhone
    @DIYgod 然并卵,有些丧心病狂的直接套 iframe
    Felldeadbird
        4
    Felldeadbird  
       2015-11-01 09:58:01 +08:00 via iPhone
    ssl 没用。广州访问百度,照样给你跳? ssl 连接下
    giuem
        5
    giuem  
       2015-11-01 10:05:04 +08:00 via Android
    @aofall
    iframe{
    display:none
    }
    choury
        6
    choury  
       2015-11-01 11:22:09 +08:00 via Android
    @Felldeadbird ssl 要还能跳掉还有什么安全性可言,这么大的漏洞我怎么没听说,你说的那种情况最多是从 http 跳到 https 这步可以做点文章
    lanlanlan
        7
    lanlanlan  
       2015-11-01 11:38:41 +08:00
    @choury 某地移动已 GET 此技能..https(证书已报错)回跳 http
    choury
        8
    choury  
       2015-11-01 11:41:38 +08:00 via Android
    @lanlanlan 证书报错会回跳 http ?你说的是什么浏览器?
    jesse_luo
        9
    jesse_luo  
       2015-11-01 11:43:46 +08:00
    @choury 估计百度是做了降级策略……
    lanlanlan
        10
    lanlanlan  
       2015-11-01 19:14:11 +08:00
    @choury 不是浏览器的锅 而是页面已被篡改回跳 http (浏览器的锅部分是:特么的证书都红了竟然不阻断)
    choury
        11
    choury  
       2015-11-01 19:17:56 +08:00
    @lanlanlan 在不改动动原有的 https 页面的情况下,是没办法将 https 跳转到 http 的,而 https 页面被篡改,要么中间人攻击有合法的证书,不然就肯定是浏览器有问题
    lanlanlan
        12
    lanlanlan  
       2015-11-01 19:20:42 +08:00
    @choury 证书红了 内容已被篡改 证书红了而浏览器没有阻断 继续走下去 就跳回 http 了。(所以我说 浏览器的锅的部分是 证书红了他不阻断)
    choury
        13
    choury  
       2015-11-01 19:23:02 +08:00
    @lanlanlan 所以说,你还是换个浏览器吧,既然这样都行,那么 https 对于它来说已经没有什么意义了
    lanlanlan
        14
    lanlanlan  
       2015-11-01 19:25:28 +08:00
    @choury 浏览器我前几天已经换了 ,但是就劫持而言 运营商绝对是城会玩 什么手段都能上啊
    choury
        15
    choury  
       2015-11-01 19:32:05 +08:00
    @lanlanlan 只要能做到 http----> https 这步不出现问题,或者直接 HSTS 干掉这步,那么什么劫持手段都是不管用的
    当然,要是某部门能搞到合法证书,或者像你说的浏览器自己就有问题,这种情况不在考虑范围之内
    lanlanlan
        16
    lanlanlan  
       2015-11-01 19:38:02 +08:00
    @choury 其实还在于运营商真敢这么玩 为了弹个广告还弄了这么个广告策略.目前看到的电信 /联通还是不敢在非 80/53 端口上搞这些的.
    jukka
        17
    jukka  
       2015-11-01 20:44:43 +08:00
    解决百度困扰的方案。
    https://v2ex.com/t/230399#reply16

    将 0.0.0.0 baidu.com 加入你的 /etc/hosts

    “奇怪,你的电脑咋上不去百度咧,明明 QQ 都在线啊。”
    alexinit
        18
    alexinit  
       2015-11-02 17:00:05 +08:00
    @DIYgod 怎么在这遇到你了....
    1OF7G
        19
    1OF7G  
       2015-11-02 19:21:41 +08:00
    楼主哪里的?江苏?我正准备换移动宽带啊!
    1OF7G
        20
    1OF7G  
       2015-11-02 19:24:56 +08:00
    @giuem 电信才叫一个丧心病狂,直接劫持整个页面,把原网页内容嵌入 iframe 再加广告,根本没法子屏蔽!
    DIYgod
        21
    DIYgod  
       2015-11-03 09:28:41 +08:00
    @alexinit 诶?你是?
    alexinit
        22
    alexinit  
       2015-11-03 11:09:28 +08:00
    @DIYgod 你的群里的..
    snsd
        23
    snsd  
       2015-11-04 09:32:57 +08:00
    @DIYgod 这个是什么意思?
    goodryb
        24
    goodryb  
       2015-11-06 18:52:06 +08:00
    要不然淘宝和百度也不会升级 https 了(当然也有其他原因),就怕流氓有文化
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1367 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:12 · PVG 01:12 · LAX 09:12 · JFK 12:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.