存在七牛上的 apk, 如何防 url 劫持, 运营商劫持

2016-08-16 09:17:13 +08:00
 FingerLiu
之前是按照七牛官方文档 https://support.qiniu.com/hc/kb/article/112864/ 说明把 url 中的 .apk 去掉了,然后 指定 content-type 。
后来测试过程中发现华为有些机型不会根据下载下来的 content-type 判断文件类型,导致下载后不能安装。
请问各位 V 友都是怎么解决的?
PS 启用 https 应该防不了 url 劫持吧?
5666 次点击
所在节点    程序员
23 条回复
tinyproxy
2016-08-16 09:24:26 +08:00
如果你的下载页面用 https ,七牛这边走 https ,正常没人劫持你
wesley
2016-08-16 09:33:21 +08:00
启用 https 能防 url 劫持
zhjits
2016-08-16 09:38:23 +08:00
HTTPS + HSTS Preload 就没问题
janxin
2016-08-16 09:41:00 +08:00
https 当然可以,实在不行你还可以验一下是不是你自己的
ranran
2016-08-16 09:48:47 +08:00
“ https 应该防不了 url 劫持”,在 V2EX 某些号称大牛的眼里,确实防不了,就算用着 SSL/TLS 也心惊胆战的。拉黑一大堆证书办法机构什么的。

对此我不作评论,只对这一现象做一个简单的叙述。
Shura
2016-08-16 09:50:15 +08:00
@ranran 那些大牛需要带着用 U 盘肉身去下载,还要担心会不会被在 U 盘里内置了后门。
skydiver
2016-08-16 09:50:37 +08:00
好奇葩的解决方法。。去掉 apk 什么鬼。。
yexm0
2016-08-16 09:56:38 +08:00
第一次听说开 https 放不了的。
FingerLiu
2016-08-16 09:59:11 +08:00
多谢各位赐教
yylzcom
2016-08-16 10:00:01 +08:00
性价比最高的方法应该就是加 https 了吧, https 能应对目前大多数劫持;追求绝对安全的请你们给出切实可行的办法来
FingerLiu
2016-08-16 10:16:06 +08:00
已配 https
bombless
2016-08-16 10:41:15 +08:00
https 怎么会防不了 url 劫持……你都说了你要改 content type 来影响攻击方的策略,那对方读不了 content type 不就解决了一部分问题。


不过我住的出租房会劫持掉 https ,具体来说就是代理请求并篡改页面,代价就是浏览器会弹出证书不被信任的提示,但是你还能怎么选,要么什么都看不到,要么看被篡改的页面。我最终选择了翻墙(
EAimTY
2016-08-16 10:52:53 +08:00
hsts
qzy168
2016-08-16 10:57:07 +08:00
域名用 http 解析,应该可以
caola
2016-08-16 12:39:51 +08:00
DNSSEC + HTTPS + HSTS Preload + Certificate Transparency 强强组合,基本可以解决常见的劫持问题了
linescape
2016-08-16 13:46:51 +08:00
@caola 弄这么麻烦。。直接给 ip 弄个证书,用 https://+ip 访问得了
caola
2016-08-16 14:36:13 +08:00
@linescape 现在已经没有 IP 的证书了,除非你自签的证书,但浏览器不会信认的,有卵用啊
RqPS6rhmP3Nyn3Tm
2016-08-16 15:51:05 +08:00
@linescape 求可以签发 IP 证书的 CA
linescape
2016-08-16 17:57:51 +08:00
RqPS6rhmP3Nyn3Tm
2016-08-16 18:16:33 +08:00
@linescape 想要一个可以给内网 IP 颁发证书的 CA

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/299543

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX