Home Sign Up Sign In
interdev

访问小米的首页,被弹唯品会广告,面对国内恶劣环境,大的电商网站必须全站 https 才能保障访问者的安全

  •   
  •   interdev · Nov 1, 2015 · 7117 views
    This topic created in 3869 days ago, the information mentioned may be changed or developed.
    刚想去小米网买点东西,打开首页发现右下角多了个唯品会的广告,搞得买东西的心情全无,有时打开京东首页也会弹唯品会,淘宝和百度全站 https 了,京东和小米现在变成广告弹商的对象





    初步判断可能是移动光纤的设备被江苏某公司黑掉劫持了,或者是移动内部的人就参与了广告营销分成。

    广告分发的网站所有者为: http://icp.aizhan.com/img.sp.cc/

    强插在</body></html> 之上的代码为:



    涉及好多个域名,想封掉最快的方式是加到 hosts 文件中.
    127.0.0.1 img.sp.cc
    127.0.0.1 mmae.qtmojo.com
    127.0.0.1 img.emarbox.com
    127.0.0.1 m.emarbox.com
    127.0.0.1 www.emarbox.com
    127.0.0.1 ad.daohang365.net
    127.0.0.1 www.yuedu360.net
  • 127.0.0.1
  • 唯品会
  • 广告
  • 首页
    24 replies    2015-11-06 18:52:06 +08:00
    DIYgod
        1
    DIYgod  
       Nov 1, 2015
    想到了这个
    xmoiduts
        2
    xmoiduts  
       Nov 1, 2015 via Android
    sp.cc 在 chrome 上是,一片红。
    aofall
        3
    aofall  
       Nov 1, 2015 via iPhone
    @DIYgod 然并卵,有些丧心病狂的直接套 iframe
    Felldeadbird
        4
    Felldeadbird  
       Nov 1, 2015 via iPhone
    ssl 没用。广州访问百度,照样给你跳? ssl 连接下
    giuem
        5
    giuem  
       Nov 1, 2015 via Android
    @aofall
    iframe{
    display:none
    }
    choury
        6
    choury  
       Nov 1, 2015 via Android
    @Felldeadbird ssl 要还能跳掉还有什么安全性可言,这么大的漏洞我怎么没听说,你说的那种情况最多是从 http 跳到 https 这步可以做点文章
    lanlanlan
        7
    lanlanlan  
       Nov 1, 2015
    @choury 某地移动已 GET 此技能..https(证书已报错)回跳 http
    choury
        8
    choury  
       Nov 1, 2015 via Android
    @lanlanlan 证书报错会回跳 http ?你说的是什么浏览器?
    jesse_luo
        9
    jesse_luo  
       Nov 1, 2015
    @choury 估计百度是做了降级策略……
    lanlanlan
        10
    lanlanlan  
       Nov 1, 2015
    @choury 不是浏览器的锅 而是页面已被篡改回跳 http (浏览器的锅部分是:特么的证书都红了竟然不阻断)
    choury
        11
    choury  
       Nov 1, 2015
    @lanlanlan 在不改动动原有的 https 页面的情况下,是没办法将 https 跳转到 http 的,而 https 页面被篡改,要么中间人攻击有合法的证书,不然就肯定是浏览器有问题
    lanlanlan
        12
    lanlanlan  
       Nov 1, 2015
    @choury 证书红了 内容已被篡改 证书红了而浏览器没有阻断 继续走下去 就跳回 http 了。(所以我说 浏览器的锅的部分是 证书红了他不阻断)
    choury
        13
    choury  
       Nov 1, 2015
    @lanlanlan 所以说,你还是换个浏览器吧,既然这样都行,那么 https 对于它来说已经没有什么意义了
    lanlanlan
        14
    lanlanlan  
       Nov 1, 2015
    @choury 浏览器我前几天已经换了 ,但是就劫持而言 运营商绝对是城会玩 什么手段都能上啊
    choury
        15
    choury  
       Nov 1, 2015
    @lanlanlan 只要能做到 http----> https 这步不出现问题,或者直接 HSTS 干掉这步,那么什么劫持手段都是不管用的
    当然,要是某部门能搞到合法证书,或者像你说的浏览器自己就有问题,这种情况不在考虑范围之内
    lanlanlan
        16
    lanlanlan  
       Nov 1, 2015
    @choury 其实还在于运营商真敢这么玩 为了弹个广告还弄了这么个广告策略.目前看到的电信 /联通还是不敢在非 80/53 端口上搞这些的.
    jukka
        17
    jukka  
       Nov 1, 2015
    解决百度困扰的方案。
    https://v2ex.com/t/230399#reply16

    将 0.0.0.0 baidu.com 加入你的 /etc/hosts

    “奇怪,你的电脑咋上不去百度咧,明明 QQ 都在线啊。”
    alexinit
        18
    alexinit  
       Nov 2, 2015
    @DIYgod 怎么在这遇到你了....
    1OF7G
        19
    1OF7G  
       Nov 2, 2015
    楼主哪里的?江苏?我正准备换移动宽带啊!
    1OF7G
        20
    1OF7G  
       Nov 2, 2015
    @giuem 电信才叫一个丧心病狂,直接劫持整个页面,把原网页内容嵌入 iframe 再加广告,根本没法子屏蔽!
    DIYgod
        21
    DIYgod  
       Nov 3, 2015
    @alexinit 诶?你是?
    alexinit
        22
    alexinit  
       Nov 3, 2015
    @DIYgod 你的群里的..
    snsd
        23
    snsd  
       Nov 4, 2015
    @DIYgod 这个是什么意思?
    goodryb
        24
    goodryb  
       Nov 6, 2015
    要不然淘宝和百度也不会升级 https 了(当然也有其他原因),就怕流氓有文化
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5480 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 130ms · UTC 06:47 · PVG 14:47 · LAX 23:47 · JFK 02:47
    ♥ Do have faith in what you're doing.