V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
FingerLiu
V2EX  ›  程序员

存在七牛上的 apk, 如何防 url 劫持, 运营商劫持

  •  
  •   FingerLiu · 2016-08-16 09:17:13 +08:00 · 5660 次点击
    这是一个创建于 3013 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前是按照七牛官方文档 https://support.qiniu.com/hc/kb/article/112864/ 说明把 url 中的 .apk 去掉了,然后 指定 content-type 。
    后来测试过程中发现华为有些机型不会根据下载下来的 content-type 判断文件类型,导致下载后不能安装。
    请问各位 V 友都是怎么解决的?
    PS 启用 https 应该防不了 url 劫持吧?
    23 条回复    2016-08-22 09:00:39 +08:00
    tinyproxy
        1
    tinyproxy  
       2016-08-16 09:24:26 +08:00 via iPhone
    如果你的下载页面用 https ,七牛这边走 https ,正常没人劫持你
    wesley
        2
    wesley  
       2016-08-16 09:33:21 +08:00
    启用 https 能防 url 劫持
    zhjits
        3
    zhjits  
       2016-08-16 09:38:23 +08:00
    HTTPS + HSTS Preload 就没问题
    janxin
        4
    janxin  
       2016-08-16 09:41:00 +08:00
    https 当然可以,实在不行你还可以验一下是不是你自己的
    ranran
        5
    ranran  
       2016-08-16 09:48:47 +08:00   ❤️ 2
    “ https 应该防不了 url 劫持”,在 V2EX 某些号称大牛的眼里,确实防不了,就算用着 SSL/TLS 也心惊胆战的。拉黑一大堆证书办法机构什么的。

    对此我不作评论,只对这一现象做一个简单的叙述。
    Shura
        6
    Shura  
       2016-08-16 09:50:15 +08:00 via Android
    @ranran 那些大牛需要带着用 U 盘肉身去下载,还要担心会不会被在 U 盘里内置了后门。
    skydiver
        7
    skydiver  
       2016-08-16 09:50:37 +08:00 via iPad
    好奇葩的解决方法。。去掉 apk 什么鬼。。
    yexm0
        8
    yexm0  
       2016-08-16 09:56:38 +08:00 via Android
    第一次听说开 https 放不了的。
    FingerLiu
        9
    FingerLiu  
    OP
       2016-08-16 09:59:11 +08:00
    多谢各位赐教
    yylzcom
        10
    yylzcom  
       2016-08-16 10:00:01 +08:00
    性价比最高的方法应该就是加 https 了吧, https 能应对目前大多数劫持;追求绝对安全的请你们给出切实可行的办法来
    FingerLiu
        11
    FingerLiu  
    OP
       2016-08-16 10:16:06 +08:00
    已配 https
    bombless
        12
    bombless  
       2016-08-16 10:41:15 +08:00 via Android
    https 怎么会防不了 url 劫持……你都说了你要改 content type 来影响攻击方的策略,那对方读不了 content type 不就解决了一部分问题。


    不过我住的出租房会劫持掉 https ,具体来说就是代理请求并篡改页面,代价就是浏览器会弹出证书不被信任的提示,但是你还能怎么选,要么什么都看不到,要么看被篡改的页面。我最终选择了翻墙(
    EAimTY
        13
    EAimTY  
       2016-08-16 10:52:53 +08:00 via Android
    hsts
    qzy168
        14
    qzy168  
       2016-08-16 10:57:07 +08:00
    域名用 http 解析,应该可以
    caola
        15
    caola  
       2016-08-16 12:39:51 +08:00
    DNSSEC + HTTPS + HSTS Preload + Certificate Transparency 强强组合,基本可以解决常见的劫持问题了
    linescape
        16
    linescape  
       2016-08-16 13:46:51 +08:00
    @caola 弄这么麻烦。。直接给 ip 弄个证书,用 https://+ip 访问得了
    caola
        17
    caola  
       2016-08-16 14:36:13 +08:00
    @linescape 现在已经没有 IP 的证书了,除非你自签的证书,但浏览器不会信认的,有卵用啊
    RqPS6rhmP3Nyn3Tm
        18
    RqPS6rhmP3Nyn3Tm  
       2016-08-16 15:51:05 +08:00 via iPhone
    @linescape 求可以签发 IP 证书的 CA
    linescape
        19
    linescape  
       2016-08-16 17:57:51 +08:00
    RqPS6rhmP3Nyn3Tm
        20
    RqPS6rhmP3Nyn3Tm  
       2016-08-16 18:16:33 +08:00
    @linescape 想要一个可以给内网 IP 颁发证书的 CA
    linescape
        21
    linescape  
       2016-08-16 18:29:00 +08:00
    @BXIA 那是不可能的,除非你在拿一个外网 IP 签好,然后把这个 IP 也配在内网。。。
    mrlawrence
        22
    mrlawrence  
       2016-08-16 18:32:11 +08:00
    开个玩笑:你可以存百度云上,百度会给你免费下载校验的。貌似百度云现在走 https 了吧。
    henglinli
        23
    henglinli  
       2016-08-22 09:00:39 +08:00 via iPhone
    Content-Disposition 加个这个响应头试试
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3518 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:35 · PVG 18:35 · LAX 02:35 · JFK 05:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.