这是一个创建于 3473 天前的主题,其中的信息可能已经有所发展或是发生改变。
运营商往 http 插广告的事不新鲜了,现在各大网站都上了 https ,应该没这事了吧?我太天真了,今天连移动宽带打开淘宝,浏览器提示证书不可信,首页直接飘着一个悬浮窗… 我开始还以为见鬼了,连了 ss 访问正常才发现是移动的锅。
你以为这就完了吗?
刚刚重启路由器,再打开淘宝,跳到了这个网址,我明明有输 https 的啊…
http://m.intl.taobao.com/?sprefer=sypc00
图见这里:
移动还做了两手准备?要么给你跳回 http ,要么给你个假证书
你以为这就完了吗?
刚刚重启路由器,再打开淘宝,跳到了这个网址,我明明有输 https 的啊…
http://m.intl.taobao.com/?sprefer=sypc00
图见这里:
移动还做了两手准备?要么给你跳回 http ,要么给你个假证书
 | 1 xmoiduts 2016-07-03 00:00:23 +08:00 via Android 长春教育网, uc 手机浏览器, http 正常, https 证书异常。 这个淘宝国际站没有 https 。 楼主一定是开着手机版 ss 上淘宝,被定向到了国际版。 |
 | 2 gywo 2016-07-03 00:03:54 +08:00 移动此种行为已经涉嫌违法,要是大家的大大能注重这件事,把各大运营商的老虎抓几个判个终身监禁就好了。 |
 | 3 Bryan0Z OP @xmoiduts refer=sypc00 后面有这个后缀,看着像推广的,讲道理我 ss 关了呀,看到这个网址还反复打开了几遍淘宝 |
 | 4 millson 2016-07-03 00:07:18 +08:00 via iPhone  1 chrome 使用 https everywhere ,添加 www.jd.com ,结果 http https 循环重定向,设置公司电信宽带 ping 到的 ip 到 hosts ,可以正常 https 访问 |
 | 5 yexm0 2016-07-03 00:07:28 +08:00 via Android 对,先看下是不是网站的问题,不是的话可以工信部投诉了。 |
 | 6 DoraJDJ 2016-07-03 00:08:06 +08:00 via Android 被运营商中间人了? |
| 11 Bryan0Z OP @yexm0 上次换了四五个人,没一个知道 http 劫持是什么,最后好不容易给我换个技术,然后和我解释半天不是他们问题,最后都快哭了…一整天就耗在一大堆扯皮上,我估计那技术也是真无辜,移动那么多部门,其中一个部门搞得幺蛾子,其他部门怎么知道 |
 | 12 yeeyeung 2016-07-03 00:47:05 +08:00 江苏移动, https 不给连接,必须 http |
| 13 yexm0 2016-07-03 00:48:22 +08:00 via Android @Bryan0Z 他们部门之间怎么扯皮我们不用管啊。作为客户,只需要一个结果就行了。另外你看看其他 https 页面有没有类似问题吧。特别是银行的。还有我也觉得奇怪,你怎么打开的是淘宝国际。。。 |
| 15 gywo 2016-07-03 08:03:37 +08:00 @Marfal 正因为这样,受害的才是 p 民,而且会一直持续下去,只有受害人自己在乎,但没有人管,然后慢慢就变得习以为常,运营商更加变本加厉 |
| 16 xmoiduts 2016-07-03 08:55:38 +08:00 via Android 题主啊,你开的是 uc , uc 有判定的,只要你触发了什么条件,比如 ss 到了外网,一段时间内都会是国际站。 |
 | 19 BSD 2016-07-03 10:17:51 +08:00 不是低估手机浏览器的毛病吧?我也用移动的, PC Chrome 访问 https 的淘宝,没这种现象。 |
 | 20 yeyeye 2016-07-03 11:04:10 +08:00 HTTPS 协议是无法劫持的 唯一能做到无提醒跳转的 就是你的信任 CA 伪造了证书 这种事情是可以做到 但是没有哪个 CA 会为了劫持用来放广告而作 所以如果你确定 HTTPS 被劫持的话 把证书信息发出来 保证是全球性的大新闻 但是更多的时候是 根本就不是劫持 不懂技术真可怕 胡乱猜测是不对的 |
 | 21 dixyes 2016-07-03 11:50:40 +08:00 via Android 求给出这个签假证书的 ca 我们先禁了再说 |
| 22 dixyes 2016-07-03 11:52:51 +08:00 via Android 能理解 intl 这很没问题 但是 refer 就有点奇怪了 如果是 https 中间人的话务必提供证书信息 |
 | 23 rockpk008 2016-07-03 12:25:03 +08:00 via iPhone 要不要换一家宽带试试? |
 | 24 bugeye 2016-07-03 12:46:26 +08:00 我试了一下,淘宝海外站应该没配制 https 。只要用 https 访问,就会出证书安全问题,你点查看证书,是不是说证书名称不区配,而不是“证书由非信任机构发出”这样的错误。 “首页直接飘着一个悬浮窗”。。。 那个是不是让你下载 APP 的窗,是的话也是正常的。 “连了 ss 访问正常才发现是移动的锅。。。” 如果你第一次选了继续,很多 browser 就不会再提示安全证书问题,你得手工确定关闭 browser 才会再次提示。你可以再次访问你那个网址,看看第二次会不会出。 http://m.intl.taobao.com/?sprefer=sypc00 sypc00 也确实不太像劫持用的值,一般不会这么简单吧。 |
| 25 Bryan0Z OP |
 | 26 shyling 2016-07-03 15:12:15 +08:00 via iPad 发个证书详情吧 |
 | 28 vimffs 2016-07-03 16:25:16 +08:00 via Android 为什么不考虑是你的手机软件问题?浏览器,操作系统。。。 |
 | 30 fromdaytonight 2016-07-03 18:07:01 +08:00 via Android intl 域下就是淘宝国际,是你用了 SS 后。 不玩游戏的话最好把 UDP 转发关闭,否则你的 DNS 解析也会被转发到 SS 服务器上,导致你淘宝只能上国际版,微博图片会从国外取,速度比直连慢多了。 曾经在山东移动蜂窝数据下访问某 https 站点(同样手工输入),提示证书有问题。 看了 V2 上的帖子,目测是 CDN 回源链路被劫持,导致引用的某些页面资源被注入了恶意代码。 t/272022 |
 | 31 yuhaaitao 2016-07-03 19:21:09 +08:00 via Android 京东也是自动跳转到 http |
| 33 Bryan0Z OP |
| 35 bugeye 2016-07-04 09:51:12 +08:00 @Bryan0Z 不是说谁会坑你。。。 我在 24 楼的贴子已经说了,淘宝国际站没有配制 https ,任何用 https 访问该网站都会提示证书问题(而你提供的截图恰恰是淘宝国际),这是正常现像。我也可以理解你之前被移动 http 劫持伤害过,一旦出问题自然会觉得这一次又被移动害了,这也是人之常情。但从你所有的描述看,很可能是因为你误用 https 进了淘宝国际站造成的误会。 有个很简单的测试方法,你在浏览器输入 https://www.163.com ,一样会出现安全证书有问题的警告。这并不是有人做 https 中间人攻击,仅仅是这个网站没有配制 https ,但却开放了 443 端口。 至于为什么你会进入淘宝国际战,这可能是因为你的 DNS 解析的问题,也可能是淘宝用了基于 IP 分析位置的技术,但移动的 IP 淘宝经常识别错,把你当成在国外也很正常。 |
 | 36 ucun 2016-07-04 19:38:39 +08:00 @bugeye https://www.163.com 为什么查看证书是 12306 的? |
| 38 bugeye 2016-07-04 21:49:07 +08:00 @ucun 没配制,所以显示的是访问到的 CDN 的证书。我这边看到的是 fastwebcdn 。至于 12306.。。铁道部?我不清楚,可能原因是楼上那兄弟说的。 |
 | 39 imiin 2016-07-05 17:45:10 +08:00 发现 jd 过了 618 就可以 https, 618 期间强制 http |
Select Language