最近是出现了能绕过 HTTPS 的广告劫持方法吗?

2017-04-12 22:02:12 +08:00
 baskice
最近陆续有用户反应网站出现悬浮劫持的广告,手机端特别严重。 而且出现这个问题的用户表示除了 bat 三家大厂以外的 app 几乎都有相同劫持广告,甚至游戏里的公告联网都会被插广告。

我的站点已经全部强制 https ,现在有新方法插广告能绕过 HTTPS ?
4584 次点击
所在节点    问与答
24 条回复
kindjeff
2017-04-12 22:07:13 +08:00
他自己的手机中毒了吧
baskice
2017-04-12 22:10:32 +08:00
@kindjeff 你是怀疑用户手机被恶意程序感染直接从内部插广告吗?有可能……
mdzz
2017-04-12 22:41:24 +08:00
「手机端特别严重」的意思是 PC 端也出现了劫持?
czc2004211
2017-04-12 23:03:33 +08:00
我也遇到了
电脑去斗鱼 给我跳到页游地址
Shura
2017-04-12 23:05:11 +08:00
http 降级攻击?
shoaly
2017-04-12 23:18:25 +08:00
也有可能是客户的手机 信任了一个 不应该被信任的 CA 证书机构, 签发了你域名的假证书....
RobertYang
2017-04-12 23:24:25 +08:00
确认使用了 HSTS 并生效了吗
flyz
2017-04-12 23:46:52 +08:00
四川联通已经出现了, https 劫持京东热卖,巧取豪夺推广京东联盟推广者返利。
BOYPT
2017-04-13 00:22:41 +08:00
页面有 http 的 js 资源吧
lyhiving
2017-04-13 02:00:05 +08:00
看运营商
phlips5437
2017-04-13 02:21:47 +08:00
看运营商 +1

上海电信也是出现过这类情况,电话客服说明情况后,确认不要收到广告,然后就再也没有出现过
des
2017-04-13 07:29:27 +08:00
@BOYPT 你可以自己试一下,随便什么浏览器都可以,你看会出现什么
DesignerSkyline
2017-04-13 07:46:03 +08:00
Content-Security-Policy 仅允许本站资源呢?这样如果还能被劫持插广告,就可以发密码学奖了吧
Miy4mori
2017-04-13 08:12:36 +08:00
不知道和 dns 劫持有没有关系
yuluofanchen
2017-04-13 08:17:04 +08:00
淘宝已经出现,自动跳转到淘宝热卖
techyan
2017-04-13 08:25:03 +08:00
应该是被插了第三方 HTTP 的 JS 。同 #9 。印象里,有些浏览器会默认拦截,但是有些不会,尤其是移动端。

morethansean
2017-04-13 09:45:26 +08:00
@yuluofanchen 访问淘宝主页被自动跳转?
glasslion
2017-04-13 09:51:51 +08:00
哪些平台, 全是 android 的话, 八成是悬浮窗。和劫持没关系
Quaintjade
2017-04-13 13:06:41 +08:00
看了 LZ 的网站,没有非 HTTPS ,配置也是强健的
https://www.ssllabs.com/ssltest/analyze.html?d=zh.moegirl.org

如果不是手机端中毒,也有可能:
页面加载的某些第三方资源出卖了你; CDN 缓存的东西被篡改,或者回源过程中被劫持。
yuluofanchen
2017-04-13 13:28:42 +08:00
@morethansean 是的,跳转到爱淘宝这个页面。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/354474

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX