中国移动太贱了, https 都能挟持

2017-12-14 10:35:03 +08:00
 stevenkang

周末的时候安全证书到期了,替换了新的证书,周一上班的时候部分用户反馈网站无法正常访问,用很多设备进行排查都没有找到原因,直到今天发现,CDN 上的 js 竟然被运营商替换了,我们全站用的都是 https 链接,怎么会被替换呢,完全没想到是这种可能;

以下的我用浏览器正常访问以及客户访问的截图,同样都是走的 https 协议: https://img.51checai.com/upload/lib/validate/jquery.validate.method.min.js

莫非运营商在我更换证书的期间挟持并缓存了内容?

5969 次点击
所在节点    SSL
25 条回复
stevenkang
2017-12-14 16:48:44 +08:00
@hgc81538 有这种可能,出问题的几乎都是 android 手机,目前没有收到 iOS 系统的遇到问题,可能客户手机上安装了别的什么软件
LeungJZ
2017-12-14 16:48:45 +08:00
@stevenkang
其实 @ctsed 说的不无道理,你们客户那边加载了可能是一个测试用的 js,很明显,截图中,不仅引入了你们的 js,还引入了一个测试开发才会命名为 bundle.js 的文件。
所以还是需要从 cnd 那边再排查,看是不是他们那边的 cdn 节点缓存依旧存在。
ctsed
2017-12-14 16:53:13 +08:00
祝你开心祝 51 车财网早日倒闭
stevenkang
2017-12-14 17:13:48 +08:00
@LeungJZ 肯定说的有道理,不过我给出了链接,自行测试之后可以排除这种可能。只有开发才会命名的 bundle.js 文件有可能是山东青岛移动在弄挟持的时候他们那边开发人员命名的。

这里强调一下呀,我们 CDN 上面的所有文件只会新增,不会修改和删除的。
lslqtz
2017-12-14 21:48:02 +08:00
我个人只认为是你们问题。
运营商大规模劫持 https 早炸了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/414603

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX