联通对 HTTPS 网站下手了你们怕不怕

2018-08-24 10:51:27 +08:00
 CloudnuY

测试的有多个电商的返利链接,联通直接瞎搞根证书劫持返利链接了

6982 次点击
所在节点    宽带症候群
32 条回复
Liqianyu
2018-08-24 15:42:34 +08:00
@CloudnuY
哪里的联通?
是内网 IP ?怎么路由跟踪都到 10.196.128.1
chinvo
2018-08-24 16:00:12 +08:00
一般来讲,信任也不行,装 CA 也不行的

涉及金融都得上 HSTS 了吧,HSTS 认指纹,可以一定程度防止中间人攻击
phantasm
2018-08-24 16:02:48 +08:00
@Liqianyu 看截图 是山西临汾
CloudnuY
2018-08-24 16:06:34 +08:00
@Liqianyu #21 一百八十线小县城,联通分配的内网 IP
RqPS6rhmP3Nyn3Tm
2018-08-24 16:55:01 +08:00
@chinvo HSTS 不认指纹的吧,只是尊重协议的客户端需要走 HTTPS
bclerdx
2018-08-24 23:13:39 +08:00
@CloudnuY 怎么看出劫持第三方 DNS 到自己的 DNS 的?
leaves7i
2018-08-24 23:54:09 +08:00
工信部吧。这种不像是运营商搞得,感觉可能是内部人员滥用职权搞得
gcod
2018-08-26 10:38:06 +08:00
又不是第一次这样搞了
工信部投诉吧
v2gg
2018-09-04 15:59:45 +08:00
@qgswzmz 小米官网根域名( https://mi.com )好像就是他们自己配置错了。。。得用 www ( https://www.mi.com )才可以
qgswzmz
2018-09-04 19:27:43 +08:00
@v2gg 应该不是这个问题吧 我是输入 mi (或者 jd )然后 Ctrl+回车 自动加的 www 和 com
CloudnuY
2018-09-04 20:16:01 +08:00
@qgswzmz #30 小米官网的确在联通劫持名单里面
v2gg
2018-09-08 13:40:55 +08:00
@qgswzmz 有可能浏览器识别了,我这不太清楚;但是我这里 https://mi.com/ 是提示安全证书验证失败的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/482791

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX