你的微博也被盜贊？試試HSTS強制HTTPS加密

微博帳戶被盜贊或被動加關注的問題，可能不少用戶都遇到過，天天都會發現本身的帳戶莫名其妙關注或點讚了幾十個營銷號、廣告號、明星號的微博，挨個取消被盜的關注和贊，居然成了平常最主要的微博操做，不少用戶對此感到不厭其煩。

緣由分析

從技術上看，可以給微博帳號加關注或盜讚的途徑一般有：一、微博帳戶被盜，可以被別人直接登陸；二、使用第三方客戶端等，能夠經過微博開放平臺OAuth拿到access token，而後權限被濫用；三、在瀏覽器上使用web版微博登陸時，cookies被泄露了。

對此，微博安全中心也曾給過一些安全建議，好比：建議用戶更換密碼、升級客戶端、設置登陸保護、清除第三方應用權限等等，可是很多用戶按照建議完成這些操做後，被盜讚的問題仍然存在。

在對不一樣客戶端、web端的訪問狀況進行分析後咱們發現，雖然微博已經啓用HTTPS加密 不少開放平臺的接口也使用HTTPS加密，但你的瀏覽器書籤、別人發給你的連接、舊的外鏈、其餘應用生成的連接均可能仍是 HTTP 的。當部分請求由HTTP鏈接301跳轉到HTTPS時，這個 HTTP 請求仍然會帶上瀏覽器在 http://weibo.com 域下的全部 cookie。這麼一來，當用戶登陸後在某個特定場景訪問到HTTP的微博連接時，仍然可能遭遇cookie劫持，清除受權或修改密碼也沒有用。

解決方法

經過給 cookie 設置 secure 或者在服務器端設置 HSTS（HTTP Strict Transport Security） 也能解決這個問題，可是微博服務器端的設置是用戶沒法控制的，做爲用戶還有沒有什麼辦法解決這個問題呢？沃通CA（www.wosign.com）建議：比較簡單的作法就是，用戶在Chrome瀏覽器手動設置HSTS預載入列表（preload list），將微博域名加入預載入列表，強制HTTPS加密訪問。

HSTS表明的是HTTPS嚴格傳輸安全協議，它是一個網絡安全政策機制，可以強迫瀏覽器只經過安全的HTTPS鏈接（永遠不能經過HTTP）與網站交互，這可以幫助防止協議降級攻擊和cookie劫持。可是對於HSTS生效前的首次HTTP請求，依然沒法避免被劫持，瀏覽器廠商們爲了解決這個問題，提出了HSTS Preload List（預載入）方案：內置一份能夠按期更新的列表，對於列表中的域名，即便用戶以前沒有訪問過，也會使用HTTPS協議。Chrome運營了一個HSTS 預載入列表，大多數主流瀏覽器Firefox, Opera, Safari, IE 11 and Edge也都有基於Chrome列表的預載入列表。

在Chrome瀏覽器設置HSTS預載入列表的方法是：

• 在 Chrome 裏打開 chrome://net-internals/#hsts

• Add domain中增長微博主域名

• Query domain中能查詢到就能夠了

在HSTS預載入列表中加入微博主域名後，Chrome再遇到HTTP的微博鏈接，會直接在瀏覽器內部就跳轉到 HTTPS，確保請求從一開始就加密，保證通信安全，防止cookie劫持、SSL Strip中間人攻擊，您能夠經過Chrome開發者工具對此進行驗證。關注沃通CA獲取全球信任SSL證書。