七牛某个节点被劫持了

https 的也会劫持么？

@virusdefender DNS 劫持

dns劫持证书会报错吧
乱签证书会被全球吊销根证书吧
应该是某台服务器上缓存出问题被劫持了

据说是运营商干的？

http://bbs.itzmx.com/forum.php?mod=viewthread&tid=9410&fromuid=1

同样的疑问https没报证书错误？
七牛的证书私钥泄露了？

@niuer

这个应该是正确的 http 响应：

Accept-Ranges:bytes
Access-Control-Allow-Origin:*
Access-Control-Max-Age:2592000
Cache-Control:public, max-age=31536000
Connection:keep-alive
Content-Disposition:inline; filename="home-a2e8c81c8f.js"
Content-Encoding:gzip
Content-Transfer-Encoding:binary
Content-Type:application/javascript
Date:Thu, 13 Aug 2015 05:25:49 GMT
ETag:"Fr4cMb1JgqsOHYneDzsn7Kkt3dFi.gz"
Last-Modified:Tue, 11 Aug 2015 07:11:13 GMT
Server:nginx/1.4.4
Transfer-Encoding:chunked
X-Log:mc.g;IO:2
X-Qiniu-Zone:0
X-Reqid:QQgAAMyZzA093fkT
X-Via:1.1 nn121:8080 (Cdn Cache Server V2.0), 1.1 jiax13:2 (Cdn Cache Server V2.0)


和楼主的截图出错时的http头不相同，印象中七牛为了防止出现跨域问题都带 Access-Control-Allow-Origin:* 头的。

等吧，总有轮到你工单的时候。

HTTPS的话，七牛到你的电脑应该是不会被修改的……
我们可以得出结论 七牛在边缘节点到源节点的路径是明文传输的？

我猜当前 cdn 服务器的缓存失效了，通过增加 _vv 参数指向不存在的内容实现重定向回源。

我不清楚七牛是如何做 ssl cdn 的，应该没有证书托管或者直接使用七牛的证书吧？具体实现就是全站 https，但是来源有你自己的服务器，也有来自七牛的服务器，各自使用各自的证书。

这种使用模式是有安全隐患的，具体可以参考我在另一个帖子 #12 的回复。

https://v2ex.com/t/201769#reply12

我想了一個可能性:
1) 用戶訪問七牛
2) 七牛沒有記錄, 回源取文件
3) 运营商劫持七牛與源的通訊
4) 七牛取得被劫持的文件
5) 七牛缓存文件並響應用戶被劫持的文件

@tomwan 工单应该在你的注册邮箱里， 可以查找下

运营商劫持可能+1
more: https://coding.net/u/esec/p/cist-pub/git/raw/master/black/Screenshot002.png https://coding.net/u/esec/p/cist-pub/git/raw/master/black/Screenshot001.png

@Esec 一毛一样啊。。。看来可能不是七牛的锅

@rwifeng sunquan#shimo.im，运维哥哥说没有收到呀

@rwifeng 不过昨天晚上快一点的时候回复了，忘记看了，不好意思

@hgc81538 七牛能取到被劫持的文件吗？估计七牛是受害者。。

@zhuang 证书托管比较贵，没有做，用的是七牛的证书。看了你的`post`，很不错

你这是运营商干的
跟七牛没关系

找运营商去

啃爹