访问小米的首页,被弹唯品会广告,面对国内恶劣环境,大的电商网站必须全站 https 才能保障访问者的安全

2015-11-01 02:29:33 +08:00
 interdev
刚想去小米网买点东西,打开首页发现右下角多了个唯品会的广告,搞得买东西的心情全无,有时打开京东首页也会弹唯品会,淘宝和百度全站 https 了,京东和小米现在变成广告弹商的对象





初步判断可能是移动光纤的设备被江苏某公司黑掉劫持了,或者是移动内部的人就参与了广告营销分成。

广告分发的网站所有者为: http://icp.aizhan.com/img.sp.cc/

强插在</body></html> 之上的代码为:

https://gist.github.com/anonymous/1db16df5bd1924226bdd

涉及好多个域名,想封掉最快的方式是加到 hosts 文件中.
127.0.0.1 img.sp.cc
127.0.0.1 mmae.qtmojo.com
127.0.0.1 img.emarbox.com
127.0.0.1 m.emarbox.com
127.0.0.1 www.emarbox.com
127.0.0.1 ad.daohang365.net
127.0.0.1 www.yuedu360.net
6396 次点击
所在节点    宽带症候群
24 条回复
DIYgod
2015-11-01 02:43:41 +08:00
想到了这个

xmoiduts
2015-11-01 08:35:54 +08:00
sp.cc 在 chrome 上是,一片红。
aofall
2015-11-01 08:36:04 +08:00
@DIYgod 然并卵,有些丧心病狂的直接套 iframe
Felldeadbird
2015-11-01 09:58:01 +08:00
ssl 没用。广州访问百度,照样给你跳? ssl 连接下
giuem
2015-11-01 10:05:04 +08:00
@aofall
iframe{
display:none
}
choury
2015-11-01 11:22:09 +08:00
@Felldeadbird ssl 要还能跳掉还有什么安全性可言,这么大的漏洞我怎么没听说,你说的那种情况最多是从 http 跳到 https 这步可以做点文章
lanlanlan
2015-11-01 11:38:41 +08:00
@choury 某地移动已 GET 此技能..https(证书已报错)回跳 http
choury
2015-11-01 11:41:38 +08:00
@lanlanlan 证书报错会回跳 http ?你说的是什么浏览器?
jesse_luo
2015-11-01 11:43:46 +08:00
@choury 估计百度是做了降级策略……
lanlanlan
2015-11-01 19:14:11 +08:00
@choury 不是浏览器的锅 而是页面已被篡改回跳 http (浏览器的锅部分是:特么的证书都红了竟然不阻断)
choury
2015-11-01 19:17:56 +08:00
@lanlanlan 在不改动动原有的 https 页面的情况下,是没办法将 https 跳转到 http 的,而 https 页面被篡改,要么中间人攻击有合法的证书,不然就肯定是浏览器有问题
lanlanlan
2015-11-01 19:20:42 +08:00
@choury 证书红了 内容已被篡改 证书红了而浏览器没有阻断 继续走下去 就跳回 http 了。(所以我说 浏览器的锅的部分是 证书红了他不阻断)
choury
2015-11-01 19:23:02 +08:00
@lanlanlan 所以说,你还是换个浏览器吧,既然这样都行,那么 https 对于它来说已经没有什么意义了
lanlanlan
2015-11-01 19:25:28 +08:00
@choury 浏览器我前几天已经换了 ,但是就劫持而言 运营商绝对是城会玩 什么手段都能上啊
choury
2015-11-01 19:32:05 +08:00
@lanlanlan 只要能做到 http----> https 这步不出现问题,或者直接 HSTS 干掉这步,那么什么劫持手段都是不管用的
当然,要是某部门能搞到合法证书,或者像你说的浏览器自己就有问题,这种情况不在考虑范围之内
lanlanlan
2015-11-01 19:38:02 +08:00
@choury 其实还在于运营商真敢这么玩 为了弹个广告还弄了这么个广告策略.目前看到的电信 /联通还是不敢在非 80/53 端口上搞这些的.
jukka
2015-11-01 20:44:43 +08:00
解决百度困扰的方案。
https://v2ex.com/t/230399#reply16

将 0.0.0.0 baidu.com 加入你的 /etc/hosts

“奇怪,你的电脑咋上不去百度咧,明明 QQ 都在线啊。”
alexinit
2015-11-02 17:00:05 +08:00
@DIYgod 怎么在这遇到你了....
1OF7G
2015-11-02 19:21:41 +08:00
楼主哪里的?江苏?我正准备换移动宽带啊!
1OF7G
2015-11-02 19:24:56 +08:00
@giuem 电信才叫一个丧心病狂,直接劫持整个页面,把原网页内容嵌入 iframe 再加广告,根本没法子屏蔽!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/232605

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX