访问小米的首页,被弹唯品会广告,面对国内恶劣环境,大的电商网站必须全站 https 才能保障访问者的安全
interdev · 2015-11-01 02:29:33 +08:00 · 6212 次点击这是一个创建于 3097 天前的主题,其中的信息可能已经有所发展或是发生改变。
刚想去小米网买点东西,打开首页发现右下角多了个唯品会的广告,搞得买东西的心情全无,有时打开京东首页也会弹唯品会,淘宝和百度全站 https 了,京东和小米现在变成广告弹商的对象
初步判断可能是移动光纤的设备被江苏某公司黑掉劫持了,或者是移动内部的人就参与了广告营销分成。
广告分发的网站所有者为: http://icp.aizhan.com/img.sp.cc/
强插在</body></html> 之上的代码为:
涉及好多个域名,想封掉最快的方式是加到 hosts 文件中.
127.0.0.1 img.sp.cc
127.0.0.1 mmae.qtmojo.com
127.0.0.1 img.emarbox.com
127.0.0.1 m.emarbox.com
127.0.0.1 www.emarbox.com
127.0.0.1 ad.daohang365.net
127.0.0.1 www.yuedu360.net
初步判断可能是移动光纤的设备被江苏某公司黑掉劫持了,或者是移动内部的人就参与了广告营销分成。
广告分发的网站所有者为: http://icp.aizhan.com/img.sp.cc/
强插在</body></html> 之上的代码为:
涉及好多个域名,想封掉最快的方式是加到 hosts 文件中.
127.0.0.1 img.sp.cc
127.0.0.1 mmae.qtmojo.com
127.0.0.1 img.emarbox.com
127.0.0.1 m.emarbox.com
127.0.0.1 www.emarbox.com
127.0.0.1 ad.daohang365.net
127.0.0.1 www.yuedu360.net
 |
1
DIYgod 2015-11-01 02:43:41 +08:00
想到了这个
 |
 |
4
Felldeadbird 2015-11-01 09:58:01 +08:00 via iPhone
ssl 没用。广州访问百度,照样给你跳? ssl 连接下
|
 |
6
choury 2015-11-01 11:22:09 +08:00 via Android
@Felldeadbird ssl 要还能跳掉还有什么安全性可言,这么大的漏洞我怎么没听说,你说的那种情况最多是从 http 跳到 https 这步可以做点文章
|
|
11
choury 2015-11-01 19:17:56 +08:00
@lanlanlan 在不改动动原有的 https 页面的情况下,是没办法将 https 跳转到 http 的,而 https 页面被篡改,要么中间人攻击有合法的证书,不然就肯定是浏览器有问题
|
 |
12
lanlanlan 2015-11-01 19:20:42 +08:00
@choury 证书红了 内容已被篡改 证书红了而浏览器没有阻断 继续走下去 就跳回 http 了。(所以我说 浏览器的锅的部分是 证书红了他不阻断)
|
|
15
choury 2015-11-01 19:32:05 +08:00
@lanlanlan 只要能做到 http----> https 这步不出现问题,或者直接 HSTS 干掉这步,那么什么劫持手段都是不管用的
当然,要是某部门能搞到合法证书,或者像你说的浏览器自己就有问题,这种情况不在考虑范围之内 |
|
16
lanlanlan 2015-11-01 19:38:02 +08:00
@choury 其实还在于运营商真敢这么玩 为了弹个广告还弄了这么个广告策略.目前看到的电信 /联通还是不敢在非 80/53 端口上搞这些的.
|
 |
17
jukka 2015-11-01 20:44:43 +08:00
解决百度困扰的方案。
https://v2ex.com/t/230399#reply16 将 0.0.0.0 baidu.com 加入你的 /etc/hosts “奇怪,你的电脑咋上不去百度咧,明明 QQ 都在线啊。” |
 |
19
1OF7G 2015-11-02 19:21:41 +08:00
楼主哪里的?江苏?我正准备换移动宽带啊!
|
 |
24
goodryb 2015-11-06 18:52:06 +08:00
要不然淘宝和百度也不会升级 https 了(当然也有其他原因),就怕流氓有文化
|
Select Language