爲何網頁出現莫名其妙的廣告?—— 使用 HTTPS 防止流量劫持

什麼是流量劫持

流量劫持,是利用各類惡意軟件修改瀏覽器、鎖定主頁或不停彈出新窗口,強制用戶訪問某些網站,從而形成用戶流量損失的情形。git

流量劫持是一種古老的攻擊方式,好比早已見慣的廣告彈窗(以下圖)等,不少人已經對此麻木,並認爲流量劫持不會形成什麼損失。github

而事實上,流量劫持能夠經過多種你沒法覺察的方式竊取信息!瀏覽器

流量劫持是一個很是龐大的產業鏈,因此十分廣泛,目前百度、谷歌等均已全站HTTPS 。安全

流量劫持能作什麼?

  1. 重定向下載連接,參考以前「UC 事件」,下載 A 軟件,實際獲得的是 B 軟件,固然隱祕一點的能夠給你換成帶推廣的 A 軟件。

  1. 網頁內插入廣告,目前已經能夠實現按時段,按用戶,按次數展現,十分隱蔽。服務器

  2. 重定向推廣。好比訪問商品時候,會302 重定向加入推廣連接,等待用戶支付後,以收取平臺佣金,而用戶端是無感知的。網站

  3. 劫持網頁,直接跳轉到 xx賭場 等等。 (以前有企業由於流量劫持到不正規網站而被誤認爲從事非法項目,直接封殺公衆號,沒法解封)blog

HTTPS 如何預防流量劫持

參考以前文章,因爲 HTTPS 足夠安全,且沒法僞造,所以通常劫持者不會選擇運營商下手。事件

  1. DNS 劫持: 實際上 HTTPS 並不能預防 DNS 劫持,可是因爲用戶訪問頁面會空白或者顯示網頁 HTTPS 不正常,此時會找運營商投訴,所以通常運營商對 DNS 劫持比較慎重,HTTPS 反而是安全的。路由

  2. HTTP 劫持:事實上,劫持者通常會直接放行 HTTPS 流量,劫持 HTTPS 網頁並不能讓用戶端顯示正常的網頁內容。部署

  3. 預置證書: 像一些公司,網吧會強制預置根證書,配合網關達到 HTTPS 劫持的目的。(此方式只能經過 解析 CAA 記錄解決劫持,但網頁顯示空白)

流量劫持有多普遍

大到運營商,路由器廠商,甚至瀏覽器,殺毒軟件... 都有存在流量劫持的行爲,HTTPS 是網頁惟一的救命稻草。

如何部署 HTTPS ?

請從 https-start 獲取各大 HTTP 服務器的配置文件和部署說明。

相關文章
相關標籤/搜索