有没有人碰到最新的 chrome 把开发环境自定义的.dev 域名都跳 https 了

2017-12-11 10:32:54 +08:00
 zjsxwc

今天来上班, 用 mac chrome 打开我本机开发域名 http://my.dev 他都强制跳了 https://my.dev

换 firefox 和 opera 却都没这问题

11468 次点击
所在节点    程序员
99 条回复
zuohuadong
2017-12-11 12:14:12 +08:00
@mooncakejs 你知道谷歌搞这玩意目的是什么么?
用户点击 www.abc.com 会直接访问 http://www.abc.com 这时候不管你有没有 https,在 http 这一层就给你劫持然后强制或者非强制跳转了。
所以才有了 hsts 这玩意,访问一次 https,一定时间内只能访问 https。
但是首次访问的用户怎么办? 他们还是会访问到 http,所以就又有了 preload list,这些域名,用户只要用 chrome firefox EDGE 这些,就直接访问 https ~
虽然不是 w3c 标准,但目的还是为了防止劫持和中间人攻击
zuohuadong
2017-12-11 12:15:47 +08:00
@mooncakejs 360 绿标没有真正安全,说白了只能证明这个域名是“官方”的,但面对中间人攻击毫无意义~
此外,360 绿标也好,腾讯绿标也好,真正的目的只是为了收钱~
skylancer
2017-12-11 12:21:40 +08:00
@mooncakejs 你先去了解一下这两者分别是什么再来说这话比较好,不是我说你,你是真的菜
killerv
2017-12-11 12:23:40 +08:00
@Moker 我那会是 62,也没发现这个问题,然后升级了一下,发现 63 确实强制了 https 了
mooncakejs
2017-12-11 12:31:47 +08:00
@skylancer 区别是什么,我已经发出来了,一个是 RFC 一个是浏览器厂商标准,看不明白吗?
skylancer
2017-12-11 12:33:43 +08:00
@mooncakejs 呵呵 还嘴硬,算了我继续看戏
mooncakejs
2017-12-11 12:36:37 +08:00
@zuohuadong 防劫持我懂,为了安全我也懂。但是一个标准还没定下来就粗暴的
zuohuadong
2017-12-11 12:45:57 +08:00
@mooncakejs 谷歌这个公司整体比较激进,也确实有很多东西是先于标准的~ 但是目的是好的
mooncakejs
2017-12-11 12:59:51 +08:00
@skylancer 你哪来的优越感?说白了是看热闹不嫌事大。标准和功能是两回事。
@zuohuadong preload list 也只是在解决信任问题上更近了一步,而不是彻底解决。如果谷歌真的纯粹为了安全,那他为什么不把内置根证书和 preload list 权限交给操作系统上实现。毕竟浏览器下载过程中也可能中间人。
mengzhuo
2017-12-11 13:00:49 +08:00
Google do evils
jk2K
2017-12-11 13:16:15 +08:00
为了方便, 只能换 .test 域名了, 要不然大家可以试试 https://github.com/typicode/hotel , 这个可以给 .dev 域名生成自定义证书
lepig
2017-12-11 14:27:21 +08:00
chrome 这是在作死吗? dev 和 app 好歹给留一个呀 不喜欢 test
whx20202
2017-12-11 14:36:47 +08:00
@lepig 老哥,HSTS 和 preload 我都知道,但是请问一下 为什么会用 dev app 这些域名啊,还有这些域名不用购买吗?
zgx030030
2017-12-11 14:52:58 +08:00
@whx20202 程序员们都拿这些后缀来本地测试的,在本地用 hosts 解析。
whx20202
2017-12-11 14:55:27 +08:00
@zgx030030 好吧。。我特么都是 127.0.0.1 的,尴尬了
yuxuan
2017-12-11 14:59:45 +08:00
没用过这些后缀 感觉自己不是程序员。。。
zgx030030
2017-12-11 15:01:23 +08:00
@whx20202 用 ip 加端口也可以啊,只是有时不如用域名方便,尤其多站点时,端口不方便的。
audoe
2017-12-11 15:14:42 +08:00
@mooncakejs 我的浏览器,我的域名,我就有权做,你不认同,可以不用的。
msg7086
2017-12-11 15:19:41 +08:00
@mooncakejs Preload 是域名所有者提交给各大浏览器的。域名所有者当然对域名有权利。
你要说 RFC 规范的话,规范上提到的是对于 UA 已知的 HSTS 策略。Preload 就是一种分发 UA 已知 HSTS 策略的手段,因为谷歌公司已经收到域名所有者明确的要求,并且审核过这个域名确实有 HSTS 策略,才会把这个域名加入 Preload 中。申请的是域名所有者,策略是已经存在于世界上的,谷歌并没有凭空创造任何数据,只是「收集」了世界上已经有的东西,并且提前让 UA 也就是浏览器知道罢了。
反倒是在本地把 *.dev 写入 hosts,实质上是劫持了原本 Google 所拥有的域名。劫持他人的域名结果无法正常访问难道是域名所有者的错?那这么说的话,访问 google.com 不应该强制 HTTPS 而应该被 DNS 劫持去 baidu 才是正确的做法吗?
BearD01001
2017-12-11 15:32:03 +08:00
使用 .local 的路过,静静看你们撕 0.0

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/413661

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX