这是一个创建于 3505 天前的主题,其中的信息可能已经有所发展或是发生改变。
微软 HTTPS 被劫持
前天去微软网站下补丁, https://download.microsoft.com 有 HTTPS ,可给我跳到联通缓存 IP 去了, WTF ?大微软 HTTPS 能被联通黑?
当时查询是:联通云 BGP 数据中心,应该是: 120.52.72.*吧(没保存,记得 72 )。
而且劫持到联通缓存 IP 后短时间无法下载了,因为联通缓存 IP 又跑到微软 CDN 去下载,死循环......
CDN HTTPS 可能不安全
蓝汛、网宿用的技术应该借鉴了 CloudFlare 。
CloudFlare 给网站提供了三种 SSL 方案,有选项可以选择:
1.Flexible SSL ,网站自身没 SSL , CloudFlare 发证书。
用户←[安全]→CloudFlare←[不安全]→网站
2.Full SSL ,网站有 SSL ,但 CDN 不验证 SSL 真实性。
用户←[安全]→CloudFlare←[有一定安全风险]→网站
3.Full SSL(strict),网站有 SSL , CDN 验证 SSL 真实性。
用户←[安全]→CloudFlare←[安全]→网站
谁的锅?
如果蓝汛、网宿有三种选项且摆放很明显,那么就是微软网站等管理员的锅。 如果蓝汛、网宿没这种选项,默认把 HTTPS 走 HTTP 回原站,那么就是蓝汛、网宿的锅。
本人不用蓝汛、网宿,不清楚他们的网站后台样子。
tip:很多网站使用了 HTTPS ,但使用了 CDN , CDN 与网站之间可能是 HTTP ,登陆密码等信息还是不安全的。
谁劫持了 CDN 到网站就可以劫持全国、甚至全球。
一个劫持者的数据:
另外京东 6 月开始很多页面 HTTPS 强制降到 HTTP ,原来是自己选择 HTTPS 还是 HTTP 访问,搞不懂京东干吗,让人劫持吗?劫持者又开始了。
之前
的苏宁全国被劫持:
还有七牛 HTTPS 被劫持:
14 条回复 2016-06-07 08:57:58 +08:00
 | 1 tianweb 2016 年 6 月 6 日 联通干的,详情请搜索 联通劫持 联通 cdn |
 | 2 notgod 2016 年 6 月 6 日 联通挟持的 这种大站的下载数据 缓存到缓存集群 可以有效降低带宽使用率 |
 | 3 zhujinliang 2016 年 6 月 6 日 via iPhone 期待联通 ddos 蓝汛,一块把国内局域网给炸了 |
 | 4 imn1 2016 年 6 月 6 日 页面是 ssl ,但下载的 link 是否也是 ssl ? |
 | 5 lhbc 2016 年 6 月 6 日 运营商的锅,本来就是两张网,非要两张都搞劫持 |
 | 6 alonga OP |
 | 7 ljcarsenal 2016 年 6 月 6 日 看楼主发帖记录 好像一直在和劫持斗争。。问下 他们这种劫持 一个月能拿大概多少钱。 |
 | 8 julyclyde 2016 年 6 月 6 日 @ljcarsenal 联通这种应该只能叫一个月省多少钱;有些地方小 ISP 劫持了还挂广告的,那才叫能拿多少钱 |
 | 9 huobazi 2016 年 6 月 6 日 论水管,还是电信粗些。 |
 | 10 jyf007 2016 年 6 月 6 日 via Android 联通延迟太大还限速了。 |
 | 11 muziyue 2016 年 6 月 6 日 艹,被图片吓到了 |
 | 12 LGA1150 2016 年 6 月 6 日 |
 | 13 publicAdmin 2016 年 6 月 7 日 好软好软~ |
| 14 alonga OP @ljcarsenal @julyclyde 对,联通这个是为了省钱。 而且运营商大部分缓存劫持系统都是网宿蓝汛 2 个公司帮做的。 @LGA1150 这个是网宿的节点,也可能被劫持,七牛 HTTPS 已经被劫持好几回了,七牛用的网宿。 |
Select Language