联通对 HTTPS 网站下手了你们怕不怕

2018-08-24 10:51:27 +08:00

CloudnuY

测试的有多个电商的返利链接，联通直接瞎搞根证书劫持返利链接了

6853 次点击

所在节点

32 条回复

Liqianyu

2018-08-24 15:42:34 +08:00

@CloudnuY
哪里的联通？
是内网 IP ？怎么路由跟踪都到 10.196.128.1

chinvo

2018-08-24 16:00:12 +08:00

一般来讲，信任也不行，装 CA 也不行的

涉及金融都得上 HSTS 了吧，HSTS 认指纹，可以一定程度防止中间人攻击

phantasm

2018-08-24 16:02:48 +08:00

@Liqianyu 看截图是山西临汾

CloudnuY

2018-08-24 16:06:34 +08:00

@Liqianyu #21 一百八十线小县城，联通分配的内网 IP

RqPS6rhmP3Nyn3Tm

2018-08-24 16:55:01 +08:00

@chinvo HSTS 不认指纹的吧，只是尊重协议的客户端需要走 HTTPS

bclerdx

2018-08-24 23:13:39 +08:00

@CloudnuY 怎么看出劫持第三方 DNS 到自己的 DNS 的？

leaves7i

2018-08-24 23:54:09 +08:00

工信部吧。这种不像是运营商搞得，感觉可能是内部人员滥用职权搞得

gcod

2018-08-26 10:38:06 +08:00

又不是第一次这样搞了
工信部投诉吧

v2gg

2018-09-04 15:59:45 +08:00

@qgswzmz 小米官网根域名（ https://mi.com ）好像就是他们自己配置错了。。。得用 www （ https://www.mi.com ）才可以

qgswzmz

2018-09-04 19:27:43 +08:00

@v2gg 应该不是这个问题吧我是输入 mi （或者 jd ）然后 Ctrl+回车自动加的 www 和 com

CloudnuY

2018-09-04 20:16:01 +08:00

@qgswzmz #30 小米官网的确在联通劫持名单里面

v2gg

2018-09-08 13:40:55 +08:00

@qgswzmz 有可能浏览器识别了，我这不太清楚；但是我这里 https://mi.com/ 是提示安全证书验证失败的

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.