V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
NimaQu
V2EX  ›  问与答

求网站屏蔽 360 访问的有效方法

  •  1
     
  •   NimaQu · 2018-12-18 19:49:12 +08:00 · 4486 次点击
    这是一个创建于 2166 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://caprogram.360.cn

    360 要发行自己的根证书了,查了一下,貌似 360 是伪装 Chrome 的.....

    27 条回复    2018-12-19 10:12:20 +08:00
    mayx
        1
    mayx  
       2018-12-18 19:55:11 +08:00
    360 想多了,不可能有什么用,360 浏览器能有多少用户也敢这么干
    honeycomb
        2
    honeycomb  
       2018-12-18 20:28:53 +08:00 via Android
    revokeChinacert,hosts 都上
    honeycomb
        3
    honeycomb  
       2018-12-18 20:32:08 +08:00 via Android
    @mayx 它要搞双证书,那才是头疼的。
    所以应当在任何场合避免使用奇虎的产品
    CallMeReznov
        4
    CallMeReznov  
       2018-12-18 20:37:20 +08:00
    360 现在是国家队.不过这个产品我感觉最终的结局会和 360"免杀白名单"一样被点草
    iwtbauh
        5
    iwtbauh  
       2018-12-18 20:42:49 +08:00   ❤️ 5
    我的个人站都是直接屏蔽这些浏览器

    location / {
    if ($http_user_agent ~* (MSIE|360SE|360EE|MetaSr|MQQBrowser|QQ|TIM|MicroMessenger|WeiBo|UCWEB) ) {
    return 403;
    }

    ....
    }

    起一个智(di duan)商(ren kou)过滤器的作用

    你要是只屏蔽 360 保留 360SE 和 360EE 即可
    des
        6
    des  
       2018-12-18 20:55:46 +08:00 via Android   ❤️ 2
    网页里面放个用了 360 根证书的网站资源,检测到这个资源就给加个 cookie,然后就可以定点爆破了
    nolo
        7
    nolo  
       2018-12-18 20:59:50 +08:00 via Android
    @iwtbauh 360 的 ua 很早就伪装成 chrome/ie,已经无法通过 ua 识别 360 浏览器
    mayx
        8
    mayx  
       2018-12-18 21:59:19 +08:00
    刚刚百度了一下:
    ```
    var is360 = window.showModalDialog&&window.chrome;
    ```
    试试这个?
    iwtbauh
        9
    iwtbauh  
       2018-12-18 22:08:06 +08:00 via Android
    @nolo #7

    这么流氓,他用的是哪个版本的 chromium,从这个版本往下直接 ban

    chrome/chromium 用户应该没有用小于 70 的上古版本的吧
    yexm0
        10
    yexm0  
       2018-12-18 22:14:02 +08:00
    @iwtbauh 会把 UC 猎豹之类的也给误杀的
    iwtbauh
        11
    iwtbauh  
       2018-12-18 22:19:32 +08:00 via Android
    @yexm0 #10

    好办啊,ua 中有 uc,猎豹这些字符串的的低版本 chromium 直接放行。
    xfspace
        12
    xfspace  
       2018-12-18 22:21:08 +08:00 via Android
    360 搞一套独立 Windows 证书管理系统的证书管理系统么
    Firefox 的方式
    360 没有资格过系统预置 CA 的么
    iwtbauh
        13
    iwtbauh  
       2018-12-18 22:53:53 +08:00 via Android
    @xfspace #12

    有过 wosign,结果因为违规乱签证书早就被吊销了。
    SunnyLyx
        14
    SunnyLyx  
       2018-12-18 23:04:48 +08:00 via Android
    来自网络。

    沃通 由 王高华、张千夫、某个奇虎 360 全资的子公司 三方一起合资成立
    XiaoXiaoNiWa
        15
    XiaoXiaoNiWa  
       2018-12-18 23:10:37 +08:00 via Android   ❤️ 1
    我不知道楼上屏蔽 360 UA 访问除了自慰有什么用
    为黑而黑显得很无脑
    XiaoXiaoNiWa
        16
    XiaoXiaoNiWa  
       2018-12-18 23:14:21 +08:00 via Android
    只要 CA 不乱签发、吊销证书,就是可信的
    每个人都有自己的用户体验,使用什么浏览器应该是用户自己的权利
    C2G
        17
    C2G  
       2018-12-18 23:23:00 +08:00 via Android   ❤️ 7
    @XiaoXiaoNiWa #16 作为内容 /服务提供商,选择什么样的用户也是自己的权利。
    LanFomalhaut
        18
    LanFomalhaut  
       2018-12-18 23:30:36 +08:00
    ..学别人给自己家浏览器内置 CA 信任管理
    XiaoXiaoNiWa
        19
    XiaoXiaoNiWa  
       2018-12-18 23:33:46 +08:00 via Android
    @C2G 有道理。接受批评,谢谢。
    C2G
        20
    C2G  
       2018-12-18 23:55:47 +08:00 via Android   ❤️ 1
    360 安全浏览器的 help 有个内核控制标签说明。可以根据这个来固定并判断 ua。距其页面称,该功能已于所有的 360 浏览器中实现。
    https://browser.360.cn/se/help/kernel.html
    根据这个获取 360UA 然后就简单了。
    360 极速已经有 Chromium69 内核版本了,最简单粗暴就是如果 UI 不是其他国产浏览器且内核< 70 版本直接 ban
    annoy1309
        21
    annoy1309  
       2018-12-19 01:00:06 +08:00
    @C2G 根据我的统计(我日访问大概 3wPV,小站),国内大量 Chrome 用户由于某 wall 的存在,无法自动更新,大量版本 6x,甚至 5x 的存在( 5x 的版本也不过 17 年的事情)。主要来源是国内各大 PC 应用市场,傻瓜化系统镜像
    如果小于 70 就 ban,基本就是这两个月没更新过 Chrome 就得 ban 掉呀,印象中今年 10 月才发布的正式版 70 啊
    moult
        22
    moult  
       2018-12-19 02:22:38 +08:00 via iPhone
    单独准备一个废域名,去 360 申请签发一个域名证书,然后 ajax 请求那个域名,能请求通,证明信任 360 的根证书,自然也就是用 360 的产品访问了。
    binux
        23
    binux  
       2018-12-19 02:32:36 +08:00
    C2G
        24
    C2G  
       2018-12-19 06:46:40 +08:00 via Android
    @annoy1309 #21 我的意思是,收集除了 360 的其他常用浏览器 UA,如果没在这个 UA 表里,且访问时的 Chrome 版本< 70 则 ban 访问
    iwtbauh
        25
    iwtbauh  
       2018-12-19 07:45:35 +08:00 via Android
    @annoy1309 #21

    chrome 更新服务器 dl.google.com 在国内被解析到北京谷翔公司的服务器,可访问性良好。

    只要是从正经渠道获得的 chrome,都可以自动更新到最新版本
    winddweb
        26
    winddweb  
       2018-12-19 08:37:57 +08:00
    你们讨论了半天,应该去 GitHub 上开个开源项目「如何屏蔽 360 浏览器访问」
    keinx
        27
    keinx  
       2018-12-19 10:12:20 +08:00
    说了这么多,来发出来你们屏蔽 360 浏览器的网站项目呀,别停留在贴代码的状态来自慰了可以吗?
    对要一直屏蔽下去,不要发出来的时候屏蔽,过不了多久又取消屏蔽!
    立贴为证 3 年后看看发出来的屏蔽 360 浏览器的网站项目是不是还屏蔽着 360 浏览器或者说早就网站挂了,域名都已经没有续费了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2761 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:17 · PVG 21:17 · LAX 05:17 · JFK 08:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.