http2.0 是否能缓解运营商劫持？

Mitt

2018-02-11 12:40:24 +08:00

@mengzhuo 没看见"已知"俩字么，不要以为别人什么都不懂，人家只是以适合的语句回答了楼主的问题，而不是像你这样一再的纠结理论，到头来除了多进了几个人的 block list 有什么好处，纠正是可以的，但是人要谦虚。

anheiyouxia

2018-02-11 12:44:36 +08:00

@Famio
@yingfengi
@mengzhuo
@rosu
@mengdisheng
跟你们想的一样，就是自签证书
因为我 Android 惯用浏览器是 chrome，最早的时候是 chrome 红屏提醒
后来慢慢开始就没事了
直到后来用了 firefox 等其他浏览器，才发现仅仅是针对 chrome 不劫持，Firefox 有时候会提醒证书错误，但是大多数时候就在地址栏显示一个感叹号

下面截图是 firefox 在刚才的复现情况
网络是广东佛山电信（ 10000 报装的真中国电信宽带）
这个劫持在 chrome 下不复现，在其他大多数浏览器都能复现，包括 FireFox、Yandex
![Screenshot_20180211-123935.jpg]( https://i.loli.net/2018/02/11/5a7fc95d67f22.jpg)

![Screenshot_20180211-123942.jpg]( https://i.loli.net/2018/02/11/5a7fc95d45e96.jpg)

![Screenshot_20180211-124046.jpg]( https://i.loli.net/2018/02/11/5a7fc95d7e4e2.jpg)

anheiyouxia

2018-02-11 12:49:59 +08:00

@Famio
@rosu
@mengdisheng
@gamexg
@mengzhuo
@honeycomb
@yingfengi
刚才没有 @ 到所有人，看我楼上的回复

sdrzlyz

2018-02-11 12:53:19 +08:00

啊？难道我语文白学了，1、2 楼说的很清楚吧。防劫持是 https 的功劳，但是普通用户浏览器 h2 都是跑在 https 上的，题主这么问也没错。。。咋看到 3 楼就变味了。。。另外，并不是所有的提问者都愿意寻根究底，他可能只想知道这个事情靠谱不，愿意回答稍提点下就好，感兴趣的话自然会深挖。

yingfengi

2018-02-11 12:55:03 +08:00

@anheiyouxia 回复 42#
这种情况应该只会在公司内网之类的出现吧，使用设备自签发证书把网页交给客户端，一般是为了做 ssl 审计，行为管理设备的功能，要信任行为管理设备的根证书才可以。
不过，上了这么多设备，有做 ssl 审计要求的很少

anheiyouxia

2018-02-11 13:05:37 +08:00

@yingfengi 这是家里的宽带
而且，上面我说得应该跟清楚了吧？劫持的人就只是要劫持你的剪切板，只要不是 chrome 就劫持，因为 chrome 会红屏，我给出的截图是 Firefox，仅仅是显示一个不安全，并没有像 chrome 那样的警告页面

而且运营商劫持 tls 插广告也不是最近才有的，前几年就有了。以前我跟你们一样的态度，太明显了，一下就被发现了，现实情况是，人家才不管明不明显，能正常打开就行了

just1

2018-02-11 13:10:56 +08:00

@anheiyouxia。。。。。。。。截图这个意思是 https 的网页上加载了 http 内容，你自己找豆瓣去。运营商莫名背锅

anheiyouxia

2018-02-11 13:13:53 +08:00

@just1 并不是，页面再次刷新后就正常了

LokiSharp

2018-02-11 13:14:11 +08:00

@anheiyouxia #42 这个应该是 SSLStrip 攻击吧，强制退到 http

just1

2018-02-11 13:19:25 +08:00

@LokiSharp 直接使用 https 不可能实现 SSLStrip
@anheiyouxia 不知道具体情况是怎么样，但绝对不是运营商的锅。你因为访问的是可信的 https 加密网页。

anheiyouxia

2018-02-11 13:23:29 +08:00

@just1 最早他们开始搞这个的时候，chrome 直接提示证书不匹配类的提示的
你觉得不是运营商可能因为你还没遇到过，以前我也怀疑过是路由器的问题，反正等着吧，看看以后会不会越来越广，隔壁的广州是没有这个情况的

slgz

2018-02-11 13:27:59 +08:00

@shuax 三楼是鹅厂的

lzvezr

2018-02-11 13:46:28 +08:00

一般浏览器比较重视安全这块，https 劫持少一些
app 就不一定了，好在 okhttp 比较普及，不过百度搜索"okhttp 证书"相关内容大部分是如何忽略证书错误，emmmm

LeoNG

2018-02-11 13:50:16 +08:00

@mengzhuo #10 如果非要这么咬文嚼字，你这句"https 里的 s 是 TLS "才是笑掉大牙。

rosu

2018-02-11 14:00:49 +08:00

@anheiyouxia 你自个试一下：v2 是 HTTPS 链接的，你开一个帖子，内容贴上一张 HTTP 图床的图片，这样也会显示不安全。这样和证书没什么关系，只是页面中加载了非 HTTP 链接罢了。

iNaru

2018-02-11 14:13:57 +08:00

@anheiyouxia 那是页面混合内容的提醒，https 下会默认屏蔽 http 内容。

miyuki

2018-02-11 14:15:03 +08:00

HTTPS 在解决这两个问题上提供了可以说是完美地解决方案

1. 如何保证我连接的对象是正确的
2. 如何保证数据不被第三方篡改

p.s. CDN 使用 HTTP 回源被劫持是另一个话题

mengzhuo

2018-02-11 15:27:59 +08:00

@lslqtz #39

我也可以让服务器也支持，而且锁定 http2.0，6 不 6
所以不在于具体实现，在于理解。

@xenme #40

“ tls 既包含了传输层的控制，也包含数据的处理，4、6、7 层都有，建议还是多回去看看基础书，查查资料，不要看过就套进来”

所谓层，就是不知道对方的具体实现和方法。
4 层的东西是不会管你 7 层干了什么，反过来亦然。
什么叫“ 4、6、7 都有”？
说真的，吐槽我之前，至少用 wireshark 抓个包。

@Mitt #41

我很谦虚地说了请看看书
我还没粗暴地回 RTFM
真不知道为啥像踩了很多人尾巴一样，知之为知之，不知为不知。多简单啊。

mengzhuo

2018-02-11 15:29:31 +08:00

@LeoNG

https = http over TLS
谢谢

LokiSharp

2018-02-11 15:49:23 +08:00

@miyuki #57 并不完美在没有声明 HSTS 头的情况下是可以 SSLStrip 的，然后就是如果不在浏览器的 HSTS Preload List 里面的话，首次连接时也可以 SSLStrip + 丢掉 HSTS 头来劫持。

上了 HSTS Preload List 就基本完美了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/430121

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.