可以手机抓包一下,就能看见小红书 App 的图片(可能包括视频等静态资源)都是使用的 http (纯明文也没有自己的加密),也就是说你的网络提供者可以看见你具体浏览了什么内容。
第 1 条附言 · 10 天前
很多人说静态资源用明文没什么,对普通用户没有影响,不过:
1.小红书主要是图片社区,图片明文等于整个帖子就是明文(小红书以图搜图可以直接精确定位帖子),如果你浏览了自己的帖子,你的账户就可以直接定位到。相当于知乎 微博 豆瓣 贴吧 你浏览的信息都是明文。所以还是比较惊讶的,因为测试了知乎和微博帖子内容无论图片还是文字都是加密的。
2.除了惊讶就是提醒一下,不止是网络运营商,比如你在公共 wifi 访问,或者使用他人热点,刷小红书就等于裸奔了。是需要注意一下的哈,以防别有用心的人利用了。
1.小红书主要是图片社区,图片明文等于整个帖子就是明文(小红书以图搜图可以直接精确定位帖子),如果你浏览了自己的帖子,你的账户就可以直接定位到。相当于知乎 微博 豆瓣 贴吧 你浏览的信息都是明文。所以还是比较惊讶的,因为测试了知乎和微博帖子内容无论图片还是文字都是加密的。
2.除了惊讶就是提醒一下,不止是网络运营商,比如你在公共 wifi 访问,或者使用他人热点,刷小红书就等于裸奔了。是需要注意一下的哈,以防别有用心的人利用了。
 |
1
defaqman 10 天前
卧槽 不至于吧。
|
 |
2
wuruxu 10 天前  1
这感觉有点过的,http 很容易被第三方随意更换的
|
 |
3
nulIptr 10 天前 1
我听说 ios 早就强制全 app 都要走 https 了呀,刚才搜了一下叫 atp ,你说的这个有点离谱。
|
 |
4
musi 10 天前
不是默认用的 https?
|
 |
5
Rokaki 10 天前
是你抓包的时候全解密了吧
|
 |
6
0o0o0o0 OP @nulIptr 我用的安卓,iOS 具体有没有用不太清楚,安卓我测了一下就是走的 http ,具体域名是*.xhscdn.com ,这个 cdn 使用 http https 都可以访问,安卓 App 这边不知道出于什么原因,默认都是明文请求。
|
|
7
0o0o0o0 OP @Rokaki 没有解密,也没有使用自己的根证书,抓包抓到的就是 http ,没有用 https ,不过我用的安卓,iOS 是不是强制 https 不太清楚
|
 |
8
Shatyuka 10 天前 via iPhone 1
确实
 |
 |
9
vincentWdp 10 天前
@0o0o0o0 7# 那也太牛比了, 这都什么水货
|
 |
10
myTrip 10 天前 via iPhone
卧槽
|
 |
11
xmumiffy 10 天前 via Android 17
https 的 CDN 请求要额外加钱,开源节流了
|
 |
12
putaozhenhaochi 10 天前 via Android
静态资源用 http 有啥问题吗
|
 |
13
zlhsvc 10 天前
对大部分用户来说没啥影响,http 省钱
|
 |
15
liqingyou2093 10 天前
xhs 不行了呀,开始省钱了
|
 |
16
refear99 10 天前
省钱啊,之前用阿里云 cdn 静态 https 的费用,一般占总费用的差不多一半了
|
 |
17
1145148964 10 天前
路由器抓包怎么弄?
|
 |
18
lingxiaoli 10 天前
@zekeluii #14 大概率是 loon
|
 |
19
ca2oh4 10 天前
https 比 http 贵
|
 |
20
coolcoffee 10 天前
可能小红书还巴不得当地运营商去做免费做缓存呢, 像长城、早期的移动都有为了减少网间结算费用悄悄缓存的行为。
|
 |
22
yxmyxmyyy 10 天前 via Android 1
正常,b 站视频默认也是 http ,你得去设置里面自己开启 https
|
 |
23
EminemW 10 天前 via iPhone
不觉得有什么问题
|
 |
24
wu67 10 天前 15
社交图片 http 其实无所谓.
反倒是有些银行, 他们的一些链接还是用的 http, 然后跑去检测手机 VPN 状态, 一旦检测到直接强行关闭银行 app...直到最近才把强行关闭改成了弹窗警告... |
 |
25
hello333 10 天前
静态资源啊,大哥,静态资源用 http 有什么问题吗?
|
 |
26
llxvs 10 天前 via iPhone
我相信网络提供者(运营商)无论如何都可以看到你浏览的内容
|
 |
27
nilaoda 10 天前
很正常,主流视频网站加载视频也都是 http ,没什么不安全的
|
 |
28
fcten 10 天前 9
居然有这么多人觉得没问题的...
http 就是一个裸奔的协议,用户能看到什么东西全靠运营商自觉。我们之前遇到的问题有一大类就是 http 资源被运营商劫持导致各种各样的问题。 |
 |
30
billbur 10 天前
省钱,然后哪个运营商乱搞就敲一笔钱,开源节流?我乱说的
|
 |
31
clf 10 天前
web 端倒是全 https……客户端全是 Http ?省钱?
|
 |
32
nunterr 10 天前
大惊小怪,对于做安全来说 http\ https 区别不大,想看到你内容的人都能有办法看到
|
 |
34
RonnieShanHa 10 天前
你能看到说明就不是 普通用户了; 不是普通用户 2 者区别大哪里了 还要付出额外的运维费用;
|
|
35
RonnieShanHa 10 天前 1
加解密都是要算力, 花 5 毛钱保护 1 毛钱的水贴 不值当;
|
 |
36
way2create 10 天前
那如果不是公开发布的,也这样么
|
|
38
0o0o0o0 OP @way2create 是的,只要是图片
|
 |
39
Genieliu111 10 天前
@llxvs https 加密你怎么看浏览的内容?
|
 |
40
Dora112233 10 天前
是不是 http 省点带宽费用
|
|
41
0o0o0o0 OP @Dora112233 带宽和算力都省,而且如果用的第三方 cdn 比如阿里的 cdn ,https 是按量收费的,那就是直接省钱
|
 |
42
freezebreze 10 天前 4
此事在鸵鸟算法中亦有记载
|
 |
43
bojue 10 天前
@freezebreze 学习了新算法
|
 |
45
9A0DIP9kgH1O4wjR 10 天前
为什么会有人觉得静态资源用 http 没问题呢?浏览器现在 https 都无法加载 http 的静态资源了。。。
|
 |
46
zhwq 10 天前 1
这个真正的问题不是裸奔,是会被劫持,你看美女,我给你换成黄网,你看求助我给你换成网贷。。。
|
 |
47
Greenm 10 天前 8
很多人对于网络安全的认识仿佛还停留在大清。
HTTP 的资源除了泄露你浏览的内容和记录之外,还会被运营商劫持,流量劫持这个东西非常赚钱。 这就是为什么早期大家都用明文存储静态资源,而现在几乎看不到大中厂这样做了,哪怕贵一点麻烦一点,也必须全程 HTTPS 。 |
|
50
way2create 10 天前
@0o0o0o0 坑 那照这么说只要上传了 用到 xhscdn 哪怕是草稿箱没发布 还是私密性设置都一样被会被看到了 我虽然不怎么用 xhs 但也会搜搜东西 印象 xhs 默认点发笔记第一步就是让你选照片的,没准这时候已经上传了
|
|
51
0o0o0o0 OP @way2create 测试了一下,草稿箱不会上传
|
|
52
way2create 10 天前
@0o0o0o0 多谢测试反馈 那好一些 我还挺常手抖点错的
|
 |
53
ala2008 10 天前
想问,HTTPS 还可以被拦截和篡改数据吗
|
 |
54
yh7gdiaYW 10 天前
这东西就跟浏览器的浏览记录类似吧,但访问的完全是公开合法的内容,对我来说这类记录能不能抓到是无所谓的
|
 |
55
salmon5 10 天前
我觉得倒不是 https 贵,而是 http 省了一些证书配置和客户端兼容问题(比例应该很少),这样对于负责这块的来说减少一些工作量
|
|
56
salmon5 10 天前
应该是为了省钱
|
 |
58
marvz 10 天前
测试了一下,还真是,无水印图片直接就看到了
|
 |
60
lisongeee 10 天前
意思就是说刷小红书帖子的时候,由于 http 可以被劫持
里面的图片可能会突然变成广告或者诈骗二维码图片 |
 |
61
janus77 10 天前
我觉得最蛋疼的一点是小红书没有省流模式,默认只加载最高清晰度的图片和视频,没有设置项可以调,在我想省流量的时候调不了就很难受
|
 |
62
duanxianze 10 天前
我觉得无所谓,你都发小红书了,肯定不是啥隐私,不过这么大的厂,这点成本都省,实属不应该
|
 |
63
Bananana 10 天前
很神奇的是,居然小红书这么大的 App 能被随意抓包,都不验证书防中间人攻击的吗??还不如我司的 App 。。。
|
 |
67
knightdf 10 天前
小红书本来就这水平
|
 |
68
Hilalum 10 天前
@1145148964 tcpdump
|
 |
70
bbao 10 天前
知乎和微博帖子内容无论图片还是文字都是加密
早起也是明文的,起码中期也还是明文的 |
 |
71
orangie 10 天前
在 iOS 上抓包试了一下,苹果这边小红书是 https 的 cdn 。
|
 |
72
Tomatopotato 10 天前
对于图片视频来啥 的确没啥问题啊.... 你说运营商劫持,这又不是 html ,移动客户端显示图片的组件也只能固定显示几个格式,能做的无非是替换内容... 如果真有劫持...首先看到这帖子不应该在 V2EX 而是在微博了
|
 |
74
SaitoAsuka 10 天前
loon 抓包看 avatar 是 https ,其他图片是 http
|
 |
75
Yadomin 10 天前
我记得以前 qq 的图片也是 http 的,不知道现在改没改
|
 |
78
dem0ns 10 天前
iOS 微信公众号文章封面也可以,没开 ssl 校验
|
 |
79
avrillavigne 10 天前
@fr13ncl5 iPhone 上 shadowrocket 可以生成根证书,添加信任即可
|
 |
80
kaedea 10 天前 via Android
这有啥,现在很多的视频 App 的播放器为了跨平台都是开 HttpServer ,同个局域网内你通过 HTTP 端口嗅探,甚至可以直接共享别人正在播放的短视频。
|
 |
81
the1812 10 天前
b 站也是,保存个图片因为是从 https 站点保存 http 资源,默认会被 Chrome 拦掉
|
 |
82
ZhiyuanLin 10 天前
http 如果想防劫持的话可以加入本地 sha256 校验就是……
|
 |
83
Chingjyu 10 天前 via iPhone
@ZhiyuanLin 如果下发的 sha256 也在 http 里被篡改了呢
|
 |
84
busier 10 天前 via Android
设备都属于终端沦陷设备了
纠结网络层意义不是很大 |
 |
85
FanyFull 10 天前
鱼皮们即将抵达战场。
|
 |
86
beyondstars 10 天前
帅锅给 AI 吧,就说是 AI 生成的,不是自己写的。
|
 |
87
ETiV 10 天前 via iPhone 4
科普一下:只要客户端能够做好校验机制、传输的内容不涉及敏感信息,用 http 是没问题的,特别是在传输大尺寸文件的时候。
Debian 内置的 apt 源,默认都是 http 协议,因为有签名机制。 PlayStation 、Switch ,无论是系统更新还是下载游戏,也都是 http ,因为有签名机制。 苹果可以让用户在自己的内网部署下载缓存,如果是用 https 的话根本做不到。 https://support.apple.com/zh-cn/guide/deployment/depde72e125f/web 因为浏览器没这套东西,所以一刀切用 https 才是靠谱的。 |
 |
88
jayin 10 天前
87 楼讲得对,客户端有校验机制就好了。
再举个例子吧,微信的消息其实就是 HTTP 协议,但是内容是加密的,能说他不安全吗? 早年运营商有内鬼,存在篡改 HTML 内容,加点跳转代码,卖流量盈利。但是这玩意是图片,难道帮你替换成引流二维码?从利益的角度,没啥什么动力篡改图片、视频。 从小红书的角度,用 http 至少省了 15% 的费用。 |
 |
89
wegbjwjm 10 天前 via iPhone
所以完全靠信任?
|
 |
90
bao3 10 天前 1
居然有朋友觉得静态就可以 http …… IEC 62443 ,NIS2 ,CRA 这几年安全法规都不停在发布,感觉上面那些朋友的意思是,这个世界是吃饱了没事,生产环境要什么安全,一个图片能有多大危险。
世界已经不同了
|
 |
91
lynan 10 天前
员工 OKR:用 http 协议降低 HTTPS CDN 的成本高达 xxxxxxxxx 元
升职加薪技术荣誉奖一把梭 |
 |
92
daweii 10 天前 via iPhone 10
哪天开个公共 wifi 直接给你把连接 wifi 的人的小红书投稿图片全替换成标语就老实了。
|
 |
94
spritecn 10 天前
总得过网关,不管带不带 s 总能想拦总能拦,你又不是没用过花瓶抓过包
|
 |
96
Outshine 10 天前
@freezebreze 学习了新算法
|
 |
97
cpstar 10 天前
那是不是可以通过中间人篡改内容,植入攻击的代码?比如中间人在图片上嵌入一些攻击代码,利用图片渲染底层逻辑的漏洞?
|
 |
99
dejavuwind 10 天前 via iPhone
试了抓包一下 iOS 上这个域名的包也是明文 http
可以直接看到图片 |
|
100
dejavuwind 10 天前 via iPhone
@orangie 找下帖子里这个域名的包 是 http 的
|
Select Language