V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ellermister
V2EX  ›  互联网

百度 2020 年了为啥还不用 HTTPS?

  •  
  •   ellermister · 2020-02-28 16:35:42 +08:00 · 7325 次点击
    这是一个创建于 1764 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚才发现百度搜索首页地址还是 http 的,以为是两种协议不强求,兼容使用。

    当手动调整到 HTTPS,他自己又会跳转到 HTTP。

    使用 HTTP 意味着所有在域下的操作都可以被中间人截取,包括搜索的关键词、浏览的痕迹、用户 COOKIE 等。

    在 Chrome 中 HSTS 设置强制百度站点使用 HTTPS,就会出现在 HTTP => HTTPS => HTTP 无限重定向的结果。

    只是个 HTTPS 而已,百度为什么不使用 HTTPS,哪怕给用户双向选择也好?

    贴图

    36 条回复    2020-12-17 16:28:41 +08:00
    ellermister
        1
    ellermister  
    OP
       2020-02-28 16:39:43 +08:00
    此等状况,发现已备案的 bing.com 会更好使一些,虽然一些中文搜索力不如百度。但也是内网状态下的取舍。
    wxsm
        2
    wxsm  
       2020-02-28 16:42:31 +08:00   ❤️ 2
    关注 https 的人都不用百度,用百度的不关注 https
    FaceBug
        3
    FaceBug  
       2020-02-28 16:44:29 +08:00
    可能是国家安全需要?哈哈哈
    i0error
        4
    i0error  
       2020-02-28 16:45:39 +08:00 via Android   ❤️ 1
    https://i.loli.net/2020/02/28/6JxSHKguEQFNCAG.png
    不是你描述的这样额,是不是网络问题?
    wtks1
        5
    wtks1  
       2020-02-28 16:46:11 +08:00 via Android
    没有啊,https 的百度一直使用正常
    SJ2050cn
        6
    SJ2050cn  
       2020-02-28 16:48:54 +08:00
    为啥我输 http 百度直接跳转到 https 了
    ellermister
        7
    ellermister  
    OP
       2020-02-28 16:50:14 +08:00
    @i0error
    https 会强制跳转到 HTTP 的,看这个图。( MD 不知道评论是否有效,无效参见链接)

    ![]( https://i.bmp.ovh/imgs/2020/02/2248565422e5e7fe.png)

    地址:

    https://i.bmp.ovh/imgs/2020/02/2248565422e5e7fe.png
    baiduyixia
        8
    baiduyixia  
       2020-02-28 16:50:25 +08:00   ❤️ 3
    百度早就强制跳转到 https 了呀
    PolyQY
        9
    PolyQY  
       2020-02-28 16:50:33 +08:00 via Android
    你这应该是运营商或者什么人劫持了,你查看一下连接的 ip 是不是百度的。https 降级攻击是典型的中间人劫持操作。
    st2udio
        10
    st2udio  
       2020-02-28 16:51:35 +08:00
    我这里一直是强转 https
    PolyQY
        11
    PolyQY  
       2020-02-28 16:52:11 +08:00 via Android
    百度很多年前就跳转 https 了,是通过 html refresh 的方式。可能是为了减轻服务器压力。
    bk201
        12
    bk201  
       2020-02-28 16:52:27 +08:00
    你浏览器被劫持了吧
    Osk
        13
    Osk  
       2020-02-28 16:54:03 +08:00
    百度最神奇的是一些贴吧 https --> http , 反向操作是最 6 的
    ellermister
        14
    ellermister  
    OP
       2020-02-28 16:54:20 +08:00
    @PolyQY

    >ping www.baidu.com

    正在 Ping www.a.shifen.com [14.215.177.39] 具有 32 字节的数据

    ipip.net 查看到的注册信息是:广东省广州市 北京百度网讯科技有限公司电信节点
    chanssl
        15
    chanssl  
       2020-02-28 16:55:06 +08:00
    python35
        16
    python35  
       2020-02-28 16:55:11 +08:00
    我的输入 http 自动跳到 https。 我想起来我曾经装过一个改变浏览器 user-agent 的浏览器插件,后来访问百度就会被屏蔽了 https, 供楼主参考
    PolyQY
        17
    PolyQY  
       2020-02-28 16:56:33 +08:00 via Android
    @ellermister 我还是觉得你被劫持了,我这里四五年前就跳转 https
    starcraft
        18
    starcraft  
       2020-02-28 16:57:33 +08:00   ❤️ 1
    你应该没活在一个世界线。
    iasuna
        19
    iasuna  
       2020-02-28 17:02:11 +08:00
    百度 http 和 https 都可以用啊 没有强制 https 可以理解吧 毕竟国内 https 还有各种各样问题
    shansing
        20
    shansing  
       2020-02-28 17:04:33 +08:00
    @PolyQY 楼主不是访问 https 而没有得到警告?除非楼主浏览器环境受到污染,HTTPS 是不能被劫持的吧?典型的降级攻击应该限于直接 http 访问。
    ellermister
        21
    ellermister  
    OP
       2020-02-28 17:11:32 +08:00   ❤️ 1
    结案了,被浏览器插件给劫持了。
    目前 HTTPS 正常访问,插件是修改了 UA 才导致的。
    @python35 感谢,哈哈。

    ~~各位费心了!
    shansing
        22
    shansing  
       2020-02-28 17:15:49 +08:00
    @ellermister 233333 能分享一下是修改为什么 UA 导致百度主动降级 HTTP 的吗?
    ellermister
        23
    ellermister  
    OP
       2020-02-28 17:31:25 +08:00   ❤️ 1
    @shansing
    我测试两个 IP,多余没去尝试。`大概`是境内 IP 访问会重定向。而境外 IP 不会?

    指令:
    curl 'https://www.baidu.com/' -H 'User-Agent: PronHub'
    UA 随意填写不正规的都可以复现。
    hmzt
        24
    hmzt  
       2020-02-28 17:35:41 +08:00
    我还以为我用的是假的百度
    cabing
        25
    cabing  
       2020-02-28 17:38:24 +08:00
    目前我电脑百度都是 强制 https 的
    also24
        26
    also24  
       2020-02-28 17:41:37 +08:00
    @ellermister #23
    如果是 UA 导致,那也许可以理解为这是为了兼容旧版本的 IE 浏览器做出的 『兜底』措施。

    毕竟旧版本的 IE 存在不支持新的加密算法,不支持 SNI 技术等多个不利于 https 的问题。
    ellermister
        27
    ellermister  
    OP
       2020-02-28 17:48:38 +08:00
    @also24 嗯,不过为什么还会根据 IP 所在地区别响应。
    muskill
        28
    muskill  
       2020-02-28 18:09:33 +08:00
    https://www.dogedoge.com 这个也挺好用的
    vocaloidchina
        29
    vocaloidchina  
       2020-02-28 19:23:01 +08:00
    百度首页是已经全部 HTTPS 了,但是贴吧只有关注数目多的才给 HTTPS,像小贴吧都只有 HTTP
    Cipool
        30
    Cipool  
       2020-02-28 20:39:01 +08:00

    实测正常,检查一下本地网络是否有被劫持?
    citydog
        31
    citydog  
       2020-02-28 22:01:56 +08:00
    百度很久很久了都是 https
    snw
        32
    snw  
       2020-02-28 22:02:24 +08:00 via Android
    我记得几年前,百度对境内访问和境外访问分别搞 http 和 https,现在不知道怎样了。

    反正不同人测出不同结果很正常,因为采取什么策略只有百度自己知道(也有可能连百度自己都不知道)。
    Tink
        33
    Tink  
       2020-02-29 01:24:02 +08:00 via iPhone
    百度四五年前就 https 了
    xinge666
        34
    xinge666  
       2020-02-29 01:31:18 +08:00 via iPhone
    让我猜一猜,楼主是不是用了一个百度网盘的插件。导致 https to http 的。

    不要问我为什么
    因为
    zhouweiluan
        35
    zhouweiluan  
       2020-02-29 17:03:25 +08:00   ❤️ 1
    这波冤枉了百度
    leido
        36
    leido  
       2020-12-17 16:28:41 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   955 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 20:08 · PVG 04:08 · LAX 12:08 · JFK 15:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.