V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Bryan0Z
V2EX  ›  宽带症候群

移动宽带真是长出息了

  •  
  •   Bryan0Z · 2016-07-02 23:50:23 +08:00 via Android · 7404 次点击
    这是一个创建于 3071 天前的主题,其中的信息可能已经有所发展或是发生改变。
    运营商往 http 插广告的事不新鲜了,现在各大网站都上了 https ,应该没这事了吧?我太天真了,今天连移动宽带打开淘宝,浏览器提示证书不可信,首页直接飘着一个悬浮窗… 我开始还以为见鬼了,连了 ss 访问正常才发现是移动的锅。

    你以为这就完了吗?

    刚刚重启路由器,再打开淘宝,跳到了这个网址,我明明有输 https 的啊…
    http://m.intl.taobao.com/?sprefer=sypc00
    图见这里:
    ![Screenshot_2016-07-02-23-42-16.png]( https://ooo.0o0.ooo/2016/07/02/5777e4a41687b.png)


    移动还做了两手准备?要么给你跳回 http ,要么给你个假证书
    39 条回复    2016-07-05 17:45:10 +08:00
    xmoiduts
        1
    xmoiduts  
       2016-07-03 00:00:23 +08:00 via Android
    长春教育网, uc 手机浏览器, http 正常, https 证书异常。

    这个淘宝国际站没有 https 。

    楼主一定是开着手机版 ss 上淘宝,被定向到了国际版。
    gywo
        2
    gywo  
       2016-07-03 00:03:54 +08:00
    移动此种行为已经涉嫌违法,要是大家的大大能注重这件事,把各大运营商的老虎抓几个判个终身监禁就好了。
    Bryan0Z
        3
    Bryan0Z  
    OP
       2016-07-03 00:06:28 +08:00 via Android
    @xmoiduts refer=sypc00 后面有这个后缀,看着像推广的,讲道理我 ss 关了呀,看到这个网址还反复打开了几遍淘宝
    millson
        4
    millson  
       2016-07-03 00:07:18 +08:00 via iPhone   ❤️ 1
    chrome 使用 https everywhere ,添加 www.jd.com ,结果 http https 循环重定向,设置公司电信宽带 ping 到的 ip 到 hosts ,可以正常 https 访问
    yexm0
        5
    yexm0  
       2016-07-03 00:07:28 +08:00 via Android
    对,先看下是不是网站的问题,不是的话可以工信部投诉了。
    DoraJDJ
        6
    DoraJDJ  
       2016-07-03 00:08:06 +08:00 via Android
    被运营商中间人了?
    Bryan0Z
        7
    Bryan0Z  
    OP
       2016-07-03 00:08:11 +08:00 via Android
    @gywo 这事儿真的去查,最后也是临时工背锅
    g5
        8
    g5  
       2016-07-03 00:12:14 +08:00 via Android
    山西移动死不承认这种事,连 1688.com 上面都飘着卖石油的广告
    Bryan0Z
        9
    Bryan0Z  
    OP
       2016-07-03 00:16:49 +08:00 via Android
    @DoraJDJ 我觉得是…

    @yexm0 投诉过,被电话烦的不行,一直说不是他们问题
    yexm0
        10
    yexm0  
       2016-07-03 00:24:20 +08:00 via Android
    @Bryan0Z 继续投诉啊,连 https 都敢乱来那以后就真没有一个安全的网络环境了。
    Bryan0Z
        11
    Bryan0Z  
    OP
       2016-07-03 00:28:43 +08:00 via Android
    @yexm0 上次换了四五个人,没一个知道 http 劫持是什么,最后好不容易给我换个技术,然后和我解释半天不是他们问题,最后都快哭了…一整天就耗在一大堆扯皮上,我估计那技术也是真无辜,移动那么多部门,其中一个部门搞得幺蛾子,其他部门怎么知道
    yeeyeung
        12
    yeeyeung  
       2016-07-03 00:47:05 +08:00
    江苏移动, https 不给连接,必须 http
    yexm0
        13
    yexm0  
       2016-07-03 00:48:22 +08:00 via Android
    @Bryan0Z 他们部门之间怎么扯皮我们不用管啊。作为客户,只需要一个结果就行了。另外你看看其他 https 页面有没有类似问题吧。特别是银行的。还有我也觉得奇怪,你怎么打开的是淘宝国际。。。
    Marfal
        14
    Marfal  
       2016-07-03 01:11:07 +08:00
    @gywo 太天真了,这种事一不敏感,二不重要,三是利益链上的人都会受益,谁会去管才怪了。
    gywo
        15
    gywo  
       2016-07-03 08:03:37 +08:00
    @Marfal 正因为这样,受害的才是 p 民,而且会一直持续下去,只有受害人自己在乎,但没有人管,然后慢慢就变得习以为常,运营商更加变本加厉
    xmoiduts
        16
    xmoiduts  
       2016-07-03 08:55:38 +08:00 via Android
    题主啊,你开的是 uc , uc 有判定的,只要你触发了什么条件,比如 ss 到了外网,一段时间内都会是国际站。
    laoyur
        17
    laoyur  
       2016-07-03 08:57:59 +08:00   ❤️ 1
    @yeeyeung 有这么叼?哪个网站?为嘛我用的好好的
    Marfal
        18
    Marfal  
       2016-07-03 09:46:18 +08:00
    @gywo 我只是说他天真,权利这东西是要自己去争取的。
    BSD
        19
    BSD  
       2016-07-03 10:17:51 +08:00
    不是低估手机浏览器的毛病吧?我也用移动的, PC Chrome 访问 https 的淘宝,没这种现象。
    yeyeye
        20
    yeyeye  
       2016-07-03 11:04:10 +08:00
    HTTPS 协议是无法劫持的 唯一能做到无提醒跳转的 就是你的信任 CA 伪造了证书

    这种事情是可以做到 但是没有哪个 CA 会为了劫持用来放广告而作

    所以如果你确定 HTTPS 被劫持的话 把证书信息发出来 保证是全球性的大新闻

    但是更多的时候是 根本就不是劫持 不懂技术真可怕 胡乱猜测是不对的
    dixyes
        21
    dixyes  
       2016-07-03 11:50:40 +08:00 via Android
    求给出这个签假证书的 ca 我们先禁了再说
    dixyes
        22
    dixyes  
       2016-07-03 11:52:51 +08:00 via Android
    能理解 intl 这很没问题 但是 refer 就有点奇怪了 如果是 https 中间人的话务必提供证书信息
    rockpk008
        23
    rockpk008  
       2016-07-03 12:25:03 +08:00 via iPhone
    要不要换一家宽带试试?
    bugeye
        24
    bugeye  
       2016-07-03 12:46:26 +08:00
    我试了一下,淘宝海外站应该没配制 https 。只要用 https 访问,就会出证书安全问题,你点查看证书,是不是说证书名称不区配,而不是“证书由非信任机构发出”这样的错误。

    “首页直接飘着一个悬浮窗”。。。
    那个是不是让你下载 APP 的窗,是的话也是正常的。

    “连了 ss 访问正常才发现是移动的锅。。。”
    如果你第一次选了继续,很多 browser 就不会再提示安全证书问题,你得手工确定关闭 browser 才会再次提示。你可以再次访问你那个网址,看看第二次会不会出。

    http://m.intl.taobao.com/?sprefer=sypc00
    sypc00 也确实不太像劫持用的值,一般不会这么简单吧。
    Bryan0Z
        25
    Bryan0Z  
    OP
       2016-07-03 14:38:36 +08:00 via Android
    @yeeyeung 同江苏移动

    @xmoiduts 试了一下,各种 ss 都连了一遍,并没有跳到海外站
    https://ooo.0o0.ooo/2016/07/03/5778b4809ed6c.png
    shyling
        26
    shyling  
       2016-07-03 15:12:15 +08:00 via iPad
    发个证书详情吧
    Bryan0Z
        27
    Bryan0Z  
    OP
       2016-07-03 15:18:37 +08:00 via Android
    @shyling 当时用的手机,查看不了证书
    vimffs
        28
    vimffs  
       2016-07-03 16:25:16 +08:00 via Android
    为什么不考虑是你的手机软件问题?浏览器,操作系统。。。
    shyling
        29
    shyling  
       2016-07-03 17:13:46 +08:00 via iPad
    @Bryan0Z uc 好像可以的
    fromdaytonight
        30
    fromdaytonight  
       2016-07-03 18:07:01 +08:00 via Android
    intl 域下就是淘宝国际,是你用了 SS 后。
    不玩游戏的话最好把 UDP 转发关闭,否则你的 DNS 解析也会被转发到 SS 服务器上,导致你淘宝只能上国际版,微博图片会从国外取,速度比直连慢多了。
    曾经在山东移动蜂窝数据下访问某 https 站点(同样手工输入),提示证书有问题。
    看了 V2 上的帖子,目测是 CDN 回源链路被劫持,导致引用的某些页面资源被注入了恶意代码。
    https://www.v2ex.com/t/272022
    yuhaaitao
        31
    yuhaaitao  
       2016-07-03 19:21:09 +08:00 via Android
    京东也是自动跳转到 http
    rust
        32
    rust  
       2016-07-03 22:20:27 +08:00
    @yeeyeung 同江苏移动,一切正常
    Bryan0Z
        33
    Bryan0Z  
    OP
       2016-07-03 23:41:28 +08:00 via Android
    @vimffs 操作系统安卓 4.4.2 ,没有 root
    浏览器 uc ,阿里再流氓也不至于坑自己

    @shyling 咦?怎么做,搜了一下没找到相关说明
    shyling
        34
    shyling  
       2016-07-03 23:53:39 +08:00 via Android
    @Bryan0Z 工具箱,网页信息,证书信息,查看
    bugeye
        35
    bugeye  
       2016-07-04 09:51:12 +08:00
    @Bryan0Z 不是说谁会坑你。。。

    我在 24 楼的贴子已经说了,淘宝国际站没有配制 https ,任何用 https 访问该网站都会提示证书问题(而你提供的截图恰恰是淘宝国际),这是正常现像。我也可以理解你之前被移动 http 劫持伤害过,一旦出问题自然会觉得这一次又被移动害了,这也是人之常情。但从你所有的描述看,很可能是因为你误用 https 进了淘宝国际站造成的误会。

    有个很简单的测试方法,你在浏览器输入 https://www.163.com ,一样会出现安全证书有问题的警告。这并不是有人做 https 中间人攻击,仅仅是这个网站没有配制 https ,但却开放了 443 端口。

    至于为什么你会进入淘宝国际战,这可能是因为你的 DNS 解析的问题,也可能是淘宝用了基于 IP 分析位置的技术,但移动的 IP 淘宝经常识别错,把你当成在国外也很正常。
    ucun
        36
    ucun  
       2016-07-04 19:38:39 +08:00
    @bugeye https://www.163.com 为什么查看证书是 12306 的?
    LGA1150
        37
    LGA1150  
       2016-07-04 20:18:57 +08:00
    @ucun 163 用了网宿的 CDN ,网宿 CDN (网页)默认安装 12306 证书
    Akamai 也类似
    bugeye
        38
    bugeye  
       2016-07-04 21:49:07 +08:00
    @ucun 没配制,所以显示的是访问到的 CDN 的证书。我这边看到的是 fastwebcdn 。至于 12306.。。铁道部?我不清楚,可能原因是楼上那兄弟说的。
    imiin
        39
    imiin  
       2016-07-05 17:45:10 +08:00
    发现 jd 过了 618 就可以 https, 618 期间强制 http
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1173 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:44 · PVG 02:44 · LAX 10:44 · JFK 13:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.