有没有人碰到最新的 chrome 把开发环境自定义的.dev 域名都跳 https 了

2017-12-11 10:32:54 +08:00
 zjsxwc

今天来上班, 用 mac chrome 打开我本机开发域名 http://my.dev 他都强制跳了 https://my.dev

换 firefox 和 opera 却都没这问题

11469 次点击
所在节点    程序员
99 条回复
mooncakejs
2017-12-11 20:59:50 +08:00
@codehz 成文的标准一般会有比较好的兼容方案,即使是这种看起来貌似没错的 dev 后缀,都会有温和一点的方案。 比如巨硬至今还兼容不少 bug
ColinZeb
2017-12-11 21:45:16 +08:00
@mooncakejs 巨硬的做法值得鼓励?十几年前的垃圾 api 命名还留着。
realpg
2017-12-11 22:06:02 +08:00
本地测试从来不用公网上归属权不属于自己的域名……

还得做 host
breeswish
2017-12-11 22:08:36 +08:00
@msg7086 大哥,*.dev 域名本来就是谷歌的,怎么就没有权利加入 HSTS Preload List 了?
breeswish
2017-12-11 22:11:06 +08:00
@msg7086 抱歉 @ 错了 w 应该 @ 的是楼主 @zjsxwc ..
wwqgtxx
2017-12-11 22:55:07 +08:00
@breeswish 他这逻辑就是好比对自己的邻居说你不允许锁门,这样我就看不到你家人在干嘛了一样,至于为什么,我之前每天都能看见习惯了,现在你不给我看了就是霸权主义
pengbo37877
2017-12-11 23:03:49 +08:00
.app 的后缀也会强制 https
mooncakejs
2017-12-11 23:48:32 +08:00
@ColinZeb 那怎么办,学谷歌两三年重新造轮子?仔细想想,仔细想想,谷歌有长命一点的生态吗? Android 用的还是 JAVA JAVA 兼容到现在还保持着古老的设计与 API
msg7086
2017-12-12 00:51:19 +08:00
@mooncakejs 一个完全开源的软件能叫做越来越不开放吗?
dev 域名和其他域名并没有什么区别,都是一开始没人用,后来突然有一天有人买了下来,成为了他的资产,然后他来处分之。
如果你以前天天用 yahoo.com 做本地开发,突然有一天 Chrome 内置了雅虎的 HSTS,你也要怪 Google 不开放吗?如果你以前嫌好玩,天天用 sb.sb 做本地开发,突然有一天秀峰叔买下了这个域名并 Preload,你也要怪 Google 不开放吗?
开放不开放又不是看你能不能对不属于自己的资源为所欲为的……
内网里可以随便用的资源,是内网 IP、LL IP 还有 LO IP。
你可以随便用 172.17.123.45 ,fddf::dead,169.254.32.1,或者 127.8.9.10 。

当然,谷歌并没有强迫你遵守他的规则。源代码 Pull 下来,HSTS 一关,编译一下,黑喂狗。
Tink
2017-12-12 01:32:04 +08:00
preload 确实是个流氓,通过不合理的方式劫持用户使用 https,这点很不合适。
mooncakejs
2017-12-12 08:27:44 +08:00
@msg7086 开放不等于开源。裹挟用户就不算开放,实现 hsts preload 的方法很多,搞个不兼容的方案,再自己造个闸门也能叫开放。再加上把 http 标记成不安全,自己搞个 hsts preload 这是好生意。
stzz
2017-12-12 09:09:09 +08:00
没理解逻辑,就是我可以劫持人家域名内网玩,人家修正了就是不开放?
AlphaTr
2017-12-12 09:29:03 +08:00
劫持域名说得这么理直气壮。。
zpf124
2017-12-12 09:35:35 +08:00
等待其他几个不那么激进的浏览器也慢慢跟进了 hsts preload 列表看各位是不是所有浏览器一起骂。

喷人点都喷不对,你要喷也该喷 google 为什么要买 app 和 dev 的域名。
zpf124
2017-12-12 09:40:28 +08:00
@Tink 添加到 preload 列表需要 验证域名所有者的,可以保证进入这个列表的都是域名所有者自己确认的。
方式不合理,那合理的方式应该是怎么样的?让用户自己选择要不要 https ? 那 hsts 有什么用? 怎么防止 http 中间人?
skylancer
2017-12-12 11:00:20 +08:00
我搜了下某人的帖子
真的呵呵
Yangxu
2017-12-12 14:41:31 +08:00
@pengbo37877 刚好碰到 真是 今天突然不能用了。。
Yangxu
2017-12-12 14:49:01 +08:00
个人认为内网内部使用,做域名劫持并没有什么问题。 我没有开放出去 就没有影响你的盈利。
就像一个明星的照片 我拿你的照片放在我的全国电视广告上是侵权,我放到自己钱包里不能这样说吧(除非偷拍或者明星本人真的介意。)

至于改 hsts,浏览器强制使用 hsts 确实是他的权利,但是别人也有评论这种做法的权利。

(上面给别人戴帽子,目的不是来讨论的不用回复,先谢谢)
leetom
2017-12-12 17:45:02 +08:00
@azh7138m 这根.cn 域名要求必须备案,是一个道理的。本来就都是流氓, 不明白为啥到 Google 这就伟光正了
wwqgtxx
2017-12-12 18:40:15 +08:00
@Yangxu 你自己也提到了 [除非偷拍或者明星本人真的介意] ,现在的问题就是 google 自己介意,所以你能说啥

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/413661

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX