1
xmoiduts 2016-07-03 00:00:23 +08:00 via Android
长春教育网, uc 手机浏览器, http 正常, https 证书异常。
这个淘宝国际站没有 https 。 楼主一定是开着手机版 ss 上淘宝,被定向到了国际版。 |
2
gywo 2016-07-03 00:03:54 +08:00
移动此种行为已经涉嫌违法,要是大家的大大能注重这件事,把各大运营商的老虎抓几个判个终身监禁就好了。
|
3
Bryan0Z OP @xmoiduts refer=sypc00 后面有这个后缀,看着像推广的,讲道理我 ss 关了呀,看到这个网址还反复打开了几遍淘宝
|
4
millson 2016-07-03 00:07:18 +08:00 via iPhone 1
chrome 使用 https everywhere ,添加 www.jd.com ,结果 http https 循环重定向,设置公司电信宽带 ping 到的 ip 到 hosts ,可以正常 https 访问
|
5
yexm0 2016-07-03 00:07:28 +08:00 via Android
对,先看下是不是网站的问题,不是的话可以工信部投诉了。
|
6
DoraJDJ 2016-07-03 00:08:06 +08:00 via Android
被运营商中间人了?
|
11
Bryan0Z OP @yexm0 上次换了四五个人,没一个知道 http 劫持是什么,最后好不容易给我换个技术,然后和我解释半天不是他们问题,最后都快哭了…一整天就耗在一大堆扯皮上,我估计那技术也是真无辜,移动那么多部门,其中一个部门搞得幺蛾子,其他部门怎么知道
|
12
yeeyeung 2016-07-03 00:47:05 +08:00
江苏移动, https 不给连接,必须 http
|
13
yexm0 2016-07-03 00:48:22 +08:00 via Android
@Bryan0Z 他们部门之间怎么扯皮我们不用管啊。作为客户,只需要一个结果就行了。另外你看看其他 https 页面有没有类似问题吧。特别是银行的。还有我也觉得奇怪,你怎么打开的是淘宝国际。。。
|
15
gywo 2016-07-03 08:03:37 +08:00
@Marfal 正因为这样,受害的才是 p 民,而且会一直持续下去,只有受害人自己在乎,但没有人管,然后慢慢就变得习以为常,运营商更加变本加厉
|
16
xmoiduts 2016-07-03 08:55:38 +08:00 via Android
题主啊,你开的是 uc , uc 有判定的,只要你触发了什么条件,比如 ss 到了外网,一段时间内都会是国际站。
|
19
BSD 2016-07-03 10:17:51 +08:00
不是低估手机浏览器的毛病吧?我也用移动的, PC Chrome 访问 https 的淘宝,没这种现象。
|
20
yeyeye 2016-07-03 11:04:10 +08:00
HTTPS 协议是无法劫持的 唯一能做到无提醒跳转的 就是你的信任 CA 伪造了证书
这种事情是可以做到 但是没有哪个 CA 会为了劫持用来放广告而作 所以如果你确定 HTTPS 被劫持的话 把证书信息发出来 保证是全球性的大新闻 但是更多的时候是 根本就不是劫持 不懂技术真可怕 胡乱猜测是不对的 |
21
dixyes 2016-07-03 11:50:40 +08:00 via Android
求给出这个签假证书的 ca 我们先禁了再说
|
22
dixyes 2016-07-03 11:52:51 +08:00 via Android
能理解 intl 这很没问题 但是 refer 就有点奇怪了 如果是 https 中间人的话务必提供证书信息
|
23
rockpk008 2016-07-03 12:25:03 +08:00 via iPhone
要不要换一家宽带试试?
|
24
bugeye 2016-07-03 12:46:26 +08:00
我试了一下,淘宝海外站应该没配制 https 。只要用 https 访问,就会出证书安全问题,你点查看证书,是不是说证书名称不区配,而不是“证书由非信任机构发出”这样的错误。
“首页直接飘着一个悬浮窗”。。。 那个是不是让你下载 APP 的窗,是的话也是正常的。 “连了 ss 访问正常才发现是移动的锅。。。” 如果你第一次选了继续,很多 browser 就不会再提示安全证书问题,你得手工确定关闭 browser 才会再次提示。你可以再次访问你那个网址,看看第二次会不会出。 http://m.intl.taobao.com/?sprefer=sypc00 sypc00 也确实不太像劫持用的值,一般不会这么简单吧。 |
25
Bryan0Z OP |
26
shyling 2016-07-03 15:12:15 +08:00 via iPad
发个证书详情吧
|
28
vimffs 2016-07-03 16:25:16 +08:00 via Android
为什么不考虑是你的手机软件问题?浏览器,操作系统。。。
|
30
fromdaytonight 2016-07-03 18:07:01 +08:00 via Android
intl 域下就是淘宝国际,是你用了 SS 后。
不玩游戏的话最好把 UDP 转发关闭,否则你的 DNS 解析也会被转发到 SS 服务器上,导致你淘宝只能上国际版,微博图片会从国外取,速度比直连慢多了。 曾经在山东移动蜂窝数据下访问某 https 站点(同样手工输入),提示证书有问题。 看了 V2 上的帖子,目测是 CDN 回源链路被劫持,导致引用的某些页面资源被注入了恶意代码。 https://www.v2ex.com/t/272022 |
31
yuhaaitao 2016-07-03 19:21:09 +08:00 via Android
京东也是自动跳转到 http
|
33
Bryan0Z OP |
35
bugeye 2016-07-04 09:51:12 +08:00
@Bryan0Z 不是说谁会坑你。。。
我在 24 楼的贴子已经说了,淘宝国际站没有配制 https ,任何用 https 访问该网站都会提示证书问题(而你提供的截图恰恰是淘宝国际),这是正常现像。我也可以理解你之前被移动 http 劫持伤害过,一旦出问题自然会觉得这一次又被移动害了,这也是人之常情。但从你所有的描述看,很可能是因为你误用 https 进了淘宝国际站造成的误会。 有个很简单的测试方法,你在浏览器输入 https://www.163.com ,一样会出现安全证书有问题的警告。这并不是有人做 https 中间人攻击,仅仅是这个网站没有配制 https ,但却开放了 443 端口。 至于为什么你会进入淘宝国际战,这可能是因为你的 DNS 解析的问题,也可能是淘宝用了基于 IP 分析位置的技术,但移动的 IP 淘宝经常识别错,把你当成在国外也很正常。 |
36
ucun 2016-07-04 19:38:39 +08:00
@bugeye https://www.163.com 为什么查看证书是 12306 的?
|
38
bugeye 2016-07-04 21:49:07 +08:00
@ucun 没配制,所以显示的是访问到的 CDN 的证书。我这边看到的是 fastwebcdn 。至于 12306.。。铁道部?我不清楚,可能原因是楼上那兄弟说的。
|
39
imiin 2016-07-05 17:45:10 +08:00
发现 jd 过了 618 就可以 https, 618 期间强制 http
|