V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
NewYear
V2EX  ›  问与答

百度统计脚本被劫持事件深深的告诉我们几个关于网站优化问题。

  •  
  •   NewYear · 2015-04-04 18:40:04 +08:00 · 4092 次点击
    这是一个创建于 3551 天前的主题,其中的信息可能已经有所发展或是发生改变。
    用好https,拒绝被劫持http数据,再在国外部署服务器,http和dns和域名都不走国内!

    国外用户就不会被劫持了……而且国外用户量不小,却不在国外部署节点,这是要坑外国人么。
    12 条回复    2015-04-05 21:50:11 +08:00
    xcv58
        1
    xcv58  
       2015-04-04 22:29:01 +08:00 via iPhone
    全站 https 就好。 但人家有 CNNIC 23333
    tumutanzi
        2
    tumutanzi  
       2015-04-04 22:38:00 +08:00
    一直就是这么做的,DNS解析,域名,网站程序,主机和IP,SSL证书,广告服务,网站统计,都是境外的服务。

    除了人和语言还是中国人和中文。
    cfan8
        3
    cfan8  
       2015-04-04 22:52:50 +08:00
    已转CloudFlare
    lyragosa
        4
    lyragosa  
       2015-04-05 00:47:08 +08:00
    @tumutanzi 想了一下我基本上也是这样
    不过DNS解析还是用的DNSPOD。

    唔,还有网站程序是自己写的,我自己不换国籍的话,那就永远有一个最核心的东西用的国产货……
    NewYear
        5
    NewYear  
    OP
       2015-04-05 11:01:14 +08:00
    @xcv58 虽然很多人不这么认为 但是我还是坚持认为CNNIC的恶意制造证书不可能大范围的制造,目前ff和chrome都对他特殊处理了。如果以后还出问题,恐怕直接要被吊销了。
    @tumutanzi 肉身翻墙吧。
    @cfan8 国内访问慢吧。
    tumutanzi
        6
    tumutanzi  
       2015-04-05 11:40:14 +08:00 via iPad
    xcv58
        7
    xcv58  
       2015-04-05 13:35:29 +08:00 via iPhone
    @NewYear 呵呵,您还真是怀着极大的善意啊。

    不知道几年前有没有想过他们也就是墙一两个网站?
    NewYear
        8
    NewYear  
    OP
       2015-04-05 14:03:51 +08:00
    @xcv58

    关于善意,此话题不想多谈,成本和风险,很简单的道理。活在这个世界上有太多太多的风险,我没兴趣去关注所有的风险,我会获取信息,自己评估。

    还有关于墙了多少个网站,在这里有2大派,一大派认为墙是错误的,这样的做法不对,但是另一派认定网站是无辜的,很多网站被封锁,并非他们本来的缘故,有很大一部分是其他人在上面发布刺激墙的G点的信息。

    经过我观察,这两大派谁也没说服谁。所以我们没必要又变成战争贴。因为不会有结果。双方从正义论到阴谋论都已经讨论过太多了。

    有人的地方就有正义和邪恶,但是正义和邪恶都是相对的。而不是绝对的。
    xingtian
        9
    xingtian  
       2015-04-05 16:00:35 +08:00
    你们那些方法都不行,最好的办法就是把js本地化,把js弄到网站同一个目录下,如果你一直调用站外js,你怎么设置都不是安全的,包括你使用https调用js也会出现安全问题,最好的办法就是把js放到服务器上,现在很多公司的程序猿都不注意这个问题,以为调用那些公共的js 例如360的京东的谷歌的公共js这些都是不安全的,都可以被gfw劫持用来攻击的,最好的办法就是js放到服务器上,例如你用的cnzz流量统计,结果获取到的统计代码里面要调用js,你就应该把这个js放到服务器上,不应该远程调用,不要小看一个小js,一个小的js就可以毁掉你
    songjiaxin2008
        10
    songjiaxin2008  
       2015-04-05 20:18:46 +08:00 via iPhone   ❤️ 1
    @xingtian 墙外CDN存放JS等静态文件应该可以的吧
    xingtian
        11
    xingtian  
       2015-04-05 21:24:15 +08:00   ❤️ 1
    @songjiaxin2008 不管墙内墙外,国外用户访问国内网站是需要经过gfw的,国内用户访问国外网站也是需要经过gfw的,只要是这些网站不管你用的是什么,都是可以被GFW劫持的,而且cdn的提供的js加速也是不安全,一旦黑客入侵拿到拖放这个js的服务器,稍微加点恶意代码进去,照成的后果是很严重的,不要永远依赖那些东西,能放到自己服务器上的还是尽量放在自己服务器上,我历来就是这样,强迫症只要看到公司里面的人调用站外的链接,例如360提供前端js公共库加速服务,有些员工直接复制链接远程调用,时间一长网站调用很多站外js就会严重影响网站加载访问速度,而且还会照成你Seo优化网站怎么优化都优化不上去排名,我历来就很烦这些人,这些人根本就是不负责任,我看了一般都会把那些站外调用链接都换成本地服务器的,即便是调用一个站外链接图片我也不允许,必须本地化,不要忘记一个远程调用图片,虽然不会对公司或者服务器跟网站有啥大影响,但是对访问的用户会带来一些安全问题,甚至信息泄漏!
    songjiaxin2008
        12
    songjiaxin2008  
       2015-04-05 21:50:11 +08:00
    @xingtian 感谢回复 已知悉 准备慢慢转移静态文件
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5900 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 01:57 · PVG 09:57 · LAX 17:57 · JFK 20:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.