百度网盘 PC 客户端请求不走 https？

是的. 抓过包就知道, 甚至查询出来的文件的真实存储地址, 也是有一般 http 的. 不过我印象中应该不是全都是 cookie, 而是有很大一部分是 session 级别的, 也不好直接定义, 因为它很快就会过期.

#1 '一般 http 的' --> 一半

@wu67 长见识了，我还以为全部 https 已经是大厂软件标配了呢

你再多测些常用国产软件，你会发现越是大厂越不把用户当回事，反而有的小站全站加密。

@wu67 "文件的真实存储地址"是什么意思?是说如果 ISP 愿意的话,能够下载到个人百度网盘的文件?

如果是静态文件，那可能是跟运营商合作，运营商会 HTTP 302 跳转到自家缓存节点，请求内容在运营商内网就给你返回了，不用从真实服务器下载，这种链接的特点是 IP 地址开头后面跟着原始网址

@v2tudnew 真就日常摆烂。我也以为 https 是国内人均标配呢

哈哈哈，前百度网盘员工。说出来你可能不信，网盘线上 php5.4+centos4 ，早期代码都是校招生写的，php 框架不支持路由，不支持请求方法检验，你看看创建订单相关接口都是 get 请求

我在职的时候跟领导说，技术架构太老太落后，已经没法维护了，需要重构，结果领导回我一句，大家都能维护，为啥你不能维护。然后我就提桶跑路了

@sadfQED2 谢谢，真长见识啊

@7RTDKSAK 你去抓一下包就知道, 你的一个文件是存在云端的某几台服务器上的, 在接口侧看起来就是一个资源+N 个镜像备份. 而下载时, 会通过你的用户信息, 查询接口, 获取到(所有?)对应这个文件在服务器上的存储地址, 但是这个地址也是带上了有效期会话字段的, 所以看起来那个链接就是非常非常长的一段. 我把以上的地址称为文件的‘真实存储地址’.

至于 ISP, 人家也没空管你, 而且查询地址的接口我印象中是 https 的, 所以看不到. 退一步讲, 他通过证书什么的看到了, 那他凭借那个查询到的地址, 还真的能下载你的文件....

@sadfQED2 老哥啥时候离职的？现在也是这样吗？震惊。

这技术架构也忒老了，用的自研的 php 框架吗？

@flyqie 有两年了，那不叫自研框架，就是早期一帮没有任何经验的校招生写的东西。现在那帮校招生混成高 T 高 M 了，自己吹牛逼写 ppt 的资本，也不许别人改