1
DIYgod 2015-11-01 02:43:41 +08:00
想到了这个
|
4
Felldeadbird 2015-11-01 09:58:01 +08:00 via iPhone
ssl 没用。广州访问百度,照样给你跳? ssl 连接下
|
6
choury 2015-11-01 11:22:09 +08:00 via Android
@Felldeadbird ssl 要还能跳掉还有什么安全性可言,这么大的漏洞我怎么没听说,你说的那种情况最多是从 http 跳到 https 这步可以做点文章
|
11
choury 2015-11-01 19:17:56 +08:00
@lanlanlan 在不改动动原有的 https 页面的情况下,是没办法将 https 跳转到 http 的,而 https 页面被篡改,要么中间人攻击有合法的证书,不然就肯定是浏览器有问题
|
12
lanlanlan 2015-11-01 19:20:42 +08:00
@choury 证书红了 内容已被篡改 证书红了而浏览器没有阻断 继续走下去 就跳回 http 了。(所以我说 浏览器的锅的部分是 证书红了他不阻断)
|
15
choury 2015-11-01 19:32:05 +08:00
@lanlanlan 只要能做到 http----> https 这步不出现问题,或者直接 HSTS 干掉这步,那么什么劫持手段都是不管用的
当然,要是某部门能搞到合法证书,或者像你说的浏览器自己就有问题,这种情况不在考虑范围之内 |
16
lanlanlan 2015-11-01 19:38:02 +08:00
@choury 其实还在于运营商真敢这么玩 为了弹个广告还弄了这么个广告策略.目前看到的电信 /联通还是不敢在非 80/53 端口上搞这些的.
|
17
jukka 2015-11-01 20:44:43 +08:00
解决百度困扰的方案。
https://v2ex.com/t/230399#reply16 将 0.0.0.0 baidu.com 加入你的 /etc/hosts “奇怪,你的电脑咋上不去百度咧,明明 QQ 都在线啊。” |
19
1OF7G 2015-11-02 19:21:41 +08:00
楼主哪里的?江苏?我正准备换移动宽带啊!
|
24
goodryb 2015-11-06 18:52:06 +08:00
要不然淘宝和百度也不会升级 https 了(当然也有其他原因),就怕流氓有文化
|