V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ab
V2EX  ›  宽带症候群

https 对治疗劫持的效果有多大?

  •  
  •   ab · 2016-01-16 00:20:23 +08:00 · 5716 次点击
    这是一个创建于 3230 天前的主题,其中的信息可能已经有所发展或是发生改变。
    商业项目

    部份地区被全站劫持
    部份地区广告被全部劫持.

    如果上 https,疗效好吗,另外,图片比较多,对速度的影响如何
    31 条回复    2016-01-17 10:39:07 +08:00
    v1024
        1
    v1024  
       2016-01-16 00:26:50 +08:00 via iPhone   ❤️ 1
    疗效 100%,前提是全站 ssl 。
    wwqgtxx
        2
    wwqgtxx  
       2016-01-16 01:24:23 +08:00 via Android
    疗效很好,不过对性能影响很大,特别是在电脑端,淘宝和天猫的打开速度简直不能忍,移动端就好的很(都是全站 https 为啥差距那么大)
    Andy1999
        3
    Andy1999  
       2016-01-16 01:29:53 +08:00 via iPhone
    除非中间人 不然是 100%
    GeekTest
        4
    GeekTest  
       2016-01-16 01:34:33 +08:00
    @Andy1999 劫持了 301 就不好说了 除非一开始就访问 HTTPS
    TheCure
        5
    TheCure  
       2016-01-16 01:52:16 +08:00 via iPhone
    效果蛮好的
    不过根据国内某大厂上 https 的经验来看,即使开启了 hsts,也不能阻止流氓运营商一开始就劫持跳转
    Andy1999
        6
    Andy1999  
       2016-01-16 01:53:47 +08:00 via iPhone
    @GeekTest Pre HSTS
    mornlight
        7
    mornlight  
       2016-01-16 01:59:11 +08:00
    你要这么想,如果条件允许,比不上好。
    abcbit
        8
    abcbit  
       2016-01-16 02:12:45 +08:00 via Android
    你們太年輕了,難道忘了運營商的 dns 劫持?
    davidyin
        9
    davidyin  
       2016-01-16 07:39:02 +08:00
    上比不上好,效果看体质
    jasontse
        10
    jasontse  
       2016-01-16 08:00:02 +08:00 via Android
    @abcbit DNS 劫持会报告证书错误,否则怎么防中间人
    cmxz
        11
    cmxz  
       2016-01-16 08:40:04 +08:00
    如果有 DNS 劫持会导致用户无法正常浏览你的网站
    yeyeye
        12
    yeyeye  
       2016-01-16 08:40:33 +08:00
    你们有 HTTPS 并开启了强制跳转的的我建议你们在页面上放个 js 检测一下是否真的每个都是 https 方式打开的 如果不是 真的有可能劫持成为 http (就是在 http 跳转 https 的时候 劫持!)
    imlonghao
        13
    imlonghao  
       2016-01-16 08:54:50 +08:00 via Android
    @yeyeye
    建议加入 HSTS Preload List
    既然运营商让你强制走 http 协议,就能改你的这段 js 代码
    拿我的博客为例子,我的域名已经加入了这个列表,因此,对于新版本的浏览器,浏览器会强制使用 https ,就算我不开 80 端口也是如此
    唯一的缺陷是,旧版本的浏览器不支持......
    yeyeye
        14
    yeyeye  
       2016-01-16 09:08:43 +08:00
    @imlonghao 运营商没那么傻 还单独为我一个网站去设置规则(只是 js 判断一下当前页面协议 如果竟然是 http 那就 post 一个回去 POST 请求一般是不缓存的 否则登录无法实现 )
    initialdp
        15
    initialdp  
       2016-01-16 09:46:13 +08:00
    @wwqgtxx 你的电脑中毒了。 HTTPS 对终端几乎没有太大影响。
    enjoeq
        16
    enjoeq  
       2016-01-16 09:57:56 +08:00
    @imlonghao 加入了 HTSTS Preload List 之后,如果用户在浏览器地址栏输入的就是 http 开头的地址也会强制使用 https 吗?
    qq651438555
        17
    qq651438555  
       2016-01-16 10:03:26 +08:00
    @imlonghao 怎么弄的?
    irainsoft
        18
    irainsoft  
       2016-01-16 10:08:39 +08:00
    @wwqgtxx 电脑该升级配置了
    imlonghao
        19
    imlonghao  
       2016-01-16 12:30:17 +08:00
    wwqgtxx
        20
    wwqgtxx  
       2016-01-16 12:30:18 +08:00
    @irainsoft
    @initialdp 只是因为我的电脑在下载文件而已,对 HTTPS 影响就比较大,对 HTTP 会好很多
    而且阿里的 CDN 貌似在我的网络不太正常,老是卡在 g.alicdn.com 这个域名上
    wwqgtxx
        21
    wwqgtxx  
       2016-01-16 12:31:29 +08:00
    @irainsoft 另外电脑 CPU 性能对 https 影响基本上没啥,又不是服务器,要同时处理太多加密处理不过来。
    abelyao
        22
    abelyao  
       2016-01-16 12:48:21 +08:00 via iPhone
    @wwqgtxx 同样最近总卡在这个域名,我是广东电信的,甚至设置了阿里自家的 DNS 服务器也没用,怎么回事呢?
    VmuTargh
        23
    VmuTargh  
       2016-01-16 13:42:02 +08:00
    DNS 解析用 CloudFlare 的表示 CF 自带 HSTS ,虽然不知道有没有多大疗效可以防止 HTTP+JS 劫持
    zhouqian
        24
    zhouqian  
       2016-01-16 16:51:34 +08:00
    问题是,好多地方运营商封了 433 端口,只能走 80 端口。
    wy315700
        25
    wy315700  
       2016-01-16 16:56:00 +08:00
    想劫持还是有办法的,只不过目前 Https 劫持代价大于收益,所以没人做而已
    keinx
        26
    keinx  
       2016-01-16 17:01:29 +08:00
    我们这边 https 依旧被劫持,例如我用 https ,全是大红叉。。。。
    Cu635
        27
    Cu635  
       2016-01-16 18:18:55 +08:00
    @cmxz 用户一般都是直接忽略警告的……
    cmxz
        28
    cmxz  
       2016-01-16 21:23:40 +08:00
    @Cu635 关键是劫持到的 IP 大部分都没开 443 端口…
    guanaco
        29
    guanaco  
       2016-01-16 23:17:42 +08:00 via iPhone
    @wwqgtxx 错误 403
    wwqgtxx
        30
    wwqgtxx  
       2016-01-16 23:35:01 +08:00
    @guanaco 这是阿里的资源文件 CDN ,直接打开肯定 403 呀。。
    你试试这个
    https://g.alicdn.com/secdev/pointman/js/index.js
    shawshank
        31
    shawshank  
       2016-01-17 10:39:07 +08:00
    治疗效果蛮好,但是 CDN 的 https 流量贵啊。 CDN 都支持了 SNI , ie7 以上就可以。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1275 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:54 · PVG 01:54 · LAX 09:54 · JFK 12:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.