联通对 HTTPS 网站下手了你们怕不怕

测试的有多个电商的返利链接，联通直接瞎搞根证书劫持返利链接了

BOYPT

2018-08-24 11:22:56 +08:00

这样瞎搞应该没法在淘宝正常下单的啊，返利过程也没法完成吧...

CloudnuY

2018-08-24 11:23:58 +08:00

@BOYPT #2 怕是很多不懂的人直接点信任或者继续了……

imfannet

2018-08-24 11:42:15 +08:00

证书劫持用 chrome 会无限报错淘宝京东什么的支付流程都完成不了直接按故障报吧

Tianao

2018-08-24 11:43:41 +08:00

这个……我还是持怀疑态度，个人建议题主再排查下其他环节，或者只是 CDN 那边出问题了。

Love4Taylor

2018-08-24 11:55:36 +08:00

怕倒是不怕反正只要自己设备上不瞎装根证书就行, 不过到底是不是联通干的还存疑, 持续关注...

est

2018-08-24 11:56:50 +08:00

@Tianao 同意。。。

劫持的话，不会搞一个过期的证书。。

Liqianyu

2018-08-24 12:00:45 +08:00

抓包看看劫持到哪里啊。
图中的返利链接是
mm_30206881_24090660_114504924
memberid(联盟成员 ID)，siteid(推广媒体 ID)，adzoneid(推广位 id)

SirLostWhite

2018-08-24 12:01:20 +08:00

我曹!
这瞎 TM 搞不是犯法的吗
这不是劫持吗
真的假的!
我有点不太敢相信哦

affyun

2018-08-24 12:17:20 +08:00

这种劫持的目标是那些用会忽略 https 错误的国产浏览器的人

Cipool

2018-08-24 12:37:58 +08:00

建议还是看看解析出的 IP 地址看是不是阿里 CDN 的节点或者被劫持到联通自建的服务器了

CloudnuY

2018-08-24 12:44:09 +08:00

如图，首先联通劫持第三方 DNS 到自己的 DNS （经测试大众第三方 DNS 如 114、阿里等都被劫持，小众 DNS 未被劫持），然后将各种返利链接解析到联通自建服务器

CloudnuY

2018-08-24 12:45:22 +08:00

@Tianao #7
@est #9
见楼上，首先 DNS 劫持，再解析到联通自建服务器

CloudnuY

2018-08-24 12:48:21 +08:00

如图 DNS 路由追踪结果，直接路由牵引劫持

qgswzmz

2018-08-24 12:55:41 +08:00

山东联通最近上京东小米官网什么的第一次进去都在地址栏标不安全点击所有连接都跳转空白页刷新一次后地址栏变为正常的 HTTPS 安全然后点击链接才正常

bao3

2018-08-24 13:06:57 +08:00

楼主用的是联通官方运营商？还是联通代理商？可能截图似乎是联通代理的做的 dns，不是官方的地址

miyuki

2018-08-24 13:19:13 +08:00

楼主以前也投诉过，我有点印象

iwtbauh

2018-08-24 14:21:49 +08:00

返利链接是什么？

淘宝竟然没有用 hsts....

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/482791

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.