Tag: https

移动宽带丧心病狂的流量劫持

流量劫持情况 最近我发现在住处的江苏移动宽带网络环境下用手机浏览一些 HTTP 网站很容易出现和网站内容明显不符的抢红包广告,有时候页面会显示错乱,而在 PC 端打开同样的网址又没有问题。这种情况只在 HTTP 网站上碰到过,初步判断这就是移动宽带一贯使用的流量劫持把戏。 被劫持的网页在手机端显示起来是这样的: 页面中间的浮标和页面下方的开红包图标都明显不是原始网站投放的广告。这种劫持行为一般在手机浏览器上刷新一下就暂时没有了,但很多情况下会碰到运营商插入的广告导致移动端网页布局出现异常,无法正常使用。 劫持情况分析 由于直接在 PC 端打开被劫持的网址很可能不会出现被插入广告的情况,模拟手机 […]

考虑开启SRI防止七牛CDN HTTPS劫持

最近我在使用 Android 上的 Chrome 浏览器访问博客页面时发现一个奇怪的问题:博客页面底部有一个悬浮的叉,但又没有显示任何实际的内容。赶紧用 Chromebook 打开博客网页,将 User Agent 切换成 Android Chrome,这时可以看到网页里无端多了一个 iframe,该 iframe 地址为 http://dbcpm.com/locate_1/jiwei_MBpt.html,如下图所示: 由于我确定博客 VPS 后台并没有被入侵,因此初步估计是网页被万恶的运营商给劫持了,但又一想我的博客已经启用了全站 HTTPS,按说不会轻易遇到这种问题了。马上看看 Chrom […]

博客正式启用Let’s Encrypt HTTPS证书

之前几个月我关注过目前网上几个免费为个人网站提供 HTTPS 证书的服务,开始了解到的是有一些站长用到的免费一年的沃通证书,后来看到 Let's Encrypt 这个专门提供免费 HTTPS 证书的公益组织。 前段时间发现 Let's Encrypt 终于开始正式提供服务了,看到 Let's Encrypt twitter 里提到 mozilla、Google 这些公司也开始赞助他们,观望了一阵之后看到不少博客主们也启用了他们的证书,虽然 Let's Encrypt 现在只提供 90 天的 HTTPS 证书,但好在有自动部署的工具可以自动更新证书。 这下必须心痒 […]

最新可用Facebook hosts(2012.5.23)

本文同步自(如浏览不正常请点击跳转):https://zohead.com/archives/fb-hosts-20120523/ 今天加班改完有问题的 perl 脚本之后,发现 Gmail 里有 Facebook 的邮件,打开链接发现之前一段时间都一直好用的 Facebook hosts 今天也挂了,又找到了最新的 hosts,已经经过测试,请通过 https 打开,Firefox 等浏览器中可以安装 HTTPS-Everywhere 等插件实现访问 Facebook 时自动用 https 方式打开。 为防止被 GFW 扫描并再次墙掉,就不直接贴出 hosts 内容了,请猛击下面的福利网址下 […]