微博帳戶被盜贊或被動加關注的問題,可能不少用戶都遇到過,天天都會發現本身的帳戶莫名其妙關注或點讚了幾十個營銷號、廣告號、明星號的微博,挨個取消被盜的關注和贊,居然成了平常最主要的微博操做,不少用戶對此感到不厭其煩。web
從技術上看,可以給微博帳號加關注或盜讚的途徑一般有:一、微博帳戶被盜,可以被別人直接登陸;二、使用第三方客戶端等,能夠經過微博開放平臺OAuth拿到access token,而後權限被濫用;三、在瀏覽器上使用web版微博登陸時,cookies被泄露了。chrome
對此,微博安全中心也曾給過一些安全建議,好比:建議用戶更換密碼、升級客戶端、設置登陸保護、清除第三方應用權限等等,可是很多用戶按照建議完成這些操做後,被盜讚的問題仍然存在。瀏覽器
在對不一樣客戶端、web端的訪問狀況進行分析後咱們發現,雖然微博已經啓用HTTPS加密 不少開放平臺的接口也使用HTTPS加密,但你的瀏覽器書籤、別人發給你的連接、舊的外鏈、其餘應用生成的連接均可能仍是 HTTP 的。當部分請求由HTTP鏈接301跳轉到HTTPS時,這個 HTTP 請求仍然會帶上瀏覽器在 http://weibo.com 域下的全部 cookie。這麼一來,當用戶登陸後在某個特定場景訪問到HTTP的微博連接時,仍然可能遭遇cookie劫持,清除受權或修改密碼也沒有用。安全
經過給 cookie 設置 secure 或者在服務器端設置 HSTS(HTTP Strict Transport Security) 也能解決這個問題,可是微博服務器端的設置是用戶沒法控制的,做爲用戶還有沒有什麼辦法解決這個問題呢?沃通CA(www.wosign.com)建議:比較簡單的作法就是,用戶在Chrome瀏覽器手動設置HSTS預載入列表(preload list),將微博域名加入預載入列表,強制HTTPS加密訪問。服務器
HSTS表明的是HTTPS嚴格傳輸安全協議,它是一個網絡安全政策機制,可以強迫瀏覽器只經過安全的HTTPS鏈接(永遠不能經過HTTP)與網站交互,這可以幫助防止協議降級攻擊和cookie劫持。可是對於HSTS生效前的首次HTTP請求,依然沒法避免被劫持,瀏覽器廠商們爲了解決這個問題,提出了HSTS Preload List(預載入)方案:內置一份能夠按期更新的列表,對於列表中的域名,即便用戶以前沒有訪問過,也會使用HTTPS協議。Chrome運營了一個HSTS 預載入列表,大多數主流瀏覽器Firefox, Opera, Safari, IE 11 and Edge也都有基於Chrome列表的預載入列表。cookie
在Chrome瀏覽器設置HSTS預載入列表的方法是:網絡
Add domain中增長微博主域名dom
在HSTS預載入列表中加入微博主域名後,Chrome再遇到HTTP的微博鏈接,會直接在瀏覽器內部就跳轉到 HTTPS,確保請求從一開始就加密,保證通信安全,防止cookie劫持、SSL Strip中間人攻擊,您能夠經過Chrome開發者工具對此進行驗證。關注沃通CA獲取全球信任SSL證書。工具