http2.0 是否能缓解运营商劫持?

2018-02-11 10:07:18 +08:00
 mengdisheng

因为个人博客用了腾讯云 cdn https,里面好像能直接开 http2.0 所以有这个疑问。

8232 次点击
所在节点    DNS
71 条回复
Mitt
2018-02-11 12:40:24 +08:00
@mengzhuo 没看见"已知"俩字么,不要以为别人什么都不懂,人家只是以适合的语句回答了楼主的问题,而不是像你这样一再的纠结理论,到头来除了多进了几个人的 block list 有什么好处,纠正是可以的,但是人要谦虚。
anheiyouxia
2018-02-11 12:44:36 +08:00
@Famio
@yingfengi
@mengzhuo
@rosu
@mengdisheng
跟你们想的一样,就是自签证书
因为我 Android 惯用浏览器是 chrome,最早的时候是 chrome 红屏提醒
后来慢慢开始就没事了
直到后来用了 firefox 等其他浏览器,才发现仅仅是针对 chrome 不劫持,Firefox 有时候会提醒证书错误,但是大多数时候就在地址栏显示一个感叹号

下面截图是 firefox 在刚才的复现情况
网络是广东佛山电信( 10000 报装的真中国电信宽带)
这个劫持在 chrome 下不复现,在其他大多数浏览器都能复现,包括 FireFox、Yandex
![Screenshot_20180211-123935.jpg]( https://i.loli.net/2018/02/11/5a7fc95d67f22.jpg)

![Screenshot_20180211-123942.jpg]( https://i.loli.net/2018/02/11/5a7fc95d45e96.jpg)

![Screenshot_20180211-124046.jpg]( https://i.loli.net/2018/02/11/5a7fc95d7e4e2.jpg)
anheiyouxia
2018-02-11 12:49:59 +08:00
@Famio
@rosu
@mengdisheng
@gamexg
@mengzhuo
@honeycomb
@yingfengi
刚才没有 @ 到所有人,看我楼上的回复
sdrzlyz
2018-02-11 12:53:19 +08:00
啊?难道我语文白学了,1、2 楼说的很清楚吧。防劫持是 https 的功劳,但是普通用户浏览器 h2 都是跑在 https 上的,题主这么问也没错。。。咋看到 3 楼就变味了。。。另外,并不是所有的提问者都愿意寻根究底,他可能只想知道这个事情靠谱不,愿意回答稍提点下就好,感兴趣的话自然会深挖。
yingfengi
2018-02-11 12:55:03 +08:00
@anheiyouxia 回复 42#
这种情况应该只会在公司内网之类的出现吧,使用设备自签发证书把网页交给客户端,一般是为了做 ssl 审计,行为管理设备的功能,要信任行为管理设备的根证书才可以。
不过,上了这么多设备,有做 ssl 审计要求的很少
anheiyouxia
2018-02-11 13:05:37 +08:00
@yingfengi 这是家里的宽带
而且,上面我说得应该跟清楚了吧?劫持的人就只是要劫持你的剪切板,只要不是 chrome 就劫持,因为 chrome 会红屏,我给出的截图是 Firefox,仅仅是显示一个不安全,并没有像 chrome 那样的警告页面

而且运营商劫持 tls 插广告也不是最近才有的,前几年就有了。以前我跟你们一样的态度,太明显了,一下就被发现了,现实情况是,人家才不管明不明显,能正常打开就行了
just1
2018-02-11 13:10:56 +08:00
@anheiyouxia。。。。。。。。截图这个意思是 https 的网页上加载了 http 内容,你自己找豆瓣去。运营商莫名背锅
anheiyouxia
2018-02-11 13:13:53 +08:00
@just1 并不是,页面再次刷新后就正常了
LokiSharp
2018-02-11 13:14:11 +08:00
@anheiyouxia #42 这个应该是 SSLStrip 攻击吧,强制退到 http
just1
2018-02-11 13:19:25 +08:00
@LokiSharp 直接使用 https 不可能实现 SSLStrip
@anheiyouxia 不知道具体情况是怎么样,但绝对不是运营商的锅。你因为访问的是可信的 https 加密网页。
anheiyouxia
2018-02-11 13:23:29 +08:00
@just1 最早他们开始搞这个的时候,chrome 直接提示证书不匹配类的提示的
你觉得不是运营商可能因为你还没遇到过,以前我也怀疑过是路由器的问题,反正等着吧,看看以后会不会越来越广,隔壁的广州是没有这个情况的
slgz
2018-02-11 13:27:59 +08:00
@shuax 三楼是鹅厂的
lzvezr
2018-02-11 13:46:28 +08:00
一般浏览器比较重视安全这块,https 劫持少一些
app 就不一定了,好在 okhttp 比较普及,不过百度搜索"okhttp 证书"相关内容大部分是如何忽略证书错误,emmmm
LeoNG
2018-02-11 13:50:16 +08:00
@mengzhuo #10 如果非要这么咬文嚼字,你这句"https 里的 s 是 TLS "才是笑掉大牙。
rosu
2018-02-11 14:00:49 +08:00
@anheiyouxia 你自个试一下:v2 是 HTTPS 链接的,你开一个帖子,内容贴上一张 HTTP 图床的图片,这样也会显示不安全。这样和证书没什么关系,只是页面中加载了非 HTTP 链接罢了。
iNaru
2018-02-11 14:13:57 +08:00
@anheiyouxia 那是页面混合内容的提醒,https 下会默认屏蔽 http 内容。
miyuki
2018-02-11 14:15:03 +08:00
HTTPS 在解决这两个问题上提供了可以说是完美地解决方案

1. 如何保证我连接的对象是正确的
2. 如何保证数据不被第三方篡改

p.s. CDN 使用 HTTP 回源被劫持是另一个话题
mengzhuo
2018-02-11 15:27:59 +08:00
@lslqtz #39

我也可以让服务器也支持,而且锁定 http2.0,6 不 6
所以不在于具体实现,在于理解。

@xenme #40

“ tls 既包含了传输层的控制,也包含数据的处理,4、6、7 层都有,建议还是多回去看看基础书,查查资料,不要看过就套进来”

所谓层,就是不知道对方的具体实现和方法。
4 层的东西是不会管你 7 层干了什么,反过来亦然。
什么叫“ 4、6、7 都有”?
说真的,吐槽我之前,至少用 wireshark 抓个包。


@Mitt #41

我很谦虚地说了请看看书
我还没粗暴地回 RTFM
真不知道为啥像踩了很多人尾巴一样,知之为知之,不知为不知。多简单啊。
mengzhuo
2018-02-11 15:29:31 +08:00
@LeoNG

https = http over TLS
谢谢
LokiSharp
2018-02-11 15:49:23 +08:00
@miyuki #57 并不完美 在没有声明 HSTS 头的情况下是可以 SSLStrip 的,然后就是如果不在浏览器的 HSTS Preload List 里面的话,首次连接时也可以 SSLStrip + 丢掉 HSTS 头来劫持。

上了 HSTS Preload List 就基本完美了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/430121

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX