近日一位網友在家上網時,iPhone Safari網頁裡經常彈出“在手機淘寶中打開連結嗎?”的提示框,如下圖:
作為一名iOS碼農,他很自然的知道這是網頁在調用淘寶app的 URL Scheme tbopen://,點了之後打開淘寶去領券,如果你按提示下單了,推廣者就能拿到返利。問題在于,網頁為什麼會發出這種請求,結合目前網站是http,他覺得可能是被劫持了,之後的排查過程也證明了他的猜想
相信以上這樣的經曆各位并不陌生,日常生中我們打開app想要進行購物時,偶爾會出現被莫名跳轉至另一不知名的購物網站,或者在浏覽過程中頻繁出現彈窗誘導通路的情況。上述看似普通的網頁通路跳轉背後實際上隐藏着一條巨大的黑灰産業鍊,即通路流量利益争奪下催生的流量劫持行為。
- 什麼是流量劫持?
所謂流量劫持,是指違法犯罪分子通過進入計算機資訊系統,改變使用者的原始通路指令,強制或誘導使用者通路其指定的特定網頁。
流量劫持主要分為域名劫持和HTTP劫持兩種。域名劫持主要表現為使用者被強制引導至其他網站,導緻其無法登入欲通路網站;而HTTP劫持主要表現是以廣告形式頻繁彈窗。
流量劫持所引發的網頁跳轉和頻繁彈窗不僅會影響到使用者的上網體驗,同時也存在跳轉至釣魚網站非法擷取使用者身份認證資訊後威脅其财産安全的情況。對于網際網路公司而言,因流量劫持導緻通路分流,勢必也會侵害其正當利益。
- HTTP被劫持怎麼辦?
如果确認遭遇了HTTP劫持,可以向ISP(網際網路服務提供商,即向廣大使用者綜合提供網際網路接入業務、資訊業務、和增值業務的電信營運商)客服強烈投訴來達到免于被劫持的目的。因為劫持技術本身設計中包括類似黑名單的功能,如果收到寬帶使用者的強烈反對,ISP會将該使用者放入"黑名單"過濾掉,于是使用者在短期内就不會遇到劫持的情況了。
HTTPS的出現對利用網絡劫持的企業來說,無疑是一個巨大的打擊。HTTPS的出現,通過對資料的加密,使得第三方難以修改我們的資料内容。就像字條上的文字隻有甲方跟丙方能夠看懂,作為乙方根本不知道紙條上寫的是什麼内容,就無從下手對内容進行修改。同時,給字條加上信封,再加上一次性的印戳,使得乙方根本無法看到字條上的内容,因為一旦拆開信封,丙方就知道自己的資訊被第三方看到了,進而對紙條内容産生懷疑。SSL證書就像信封,把我們的資料放在裡面,隻有指定的一方可以解讀這個資料,一旦資料被第三方劫持,接受資料的使用者就會産生不信任,進而丢棄資料。
- 部署全站HTTPS加密是防止流量劫持最基礎、最重要的安全防護措施!
HTTPS在HTTP基礎上加入SSL/TLS協定,對伺服器與終端、伺服器與伺服器之間的傳輸資料進行加密,保護資料的機密性并驗證資料的完整性。通過HTTPS加密連接配接傳輸的資料,流經營運商、路由器、WiFi等任意節點時都是密文,即使被劫持或竊取,沒有私鑰也無法解密,確定資料在傳輸過程中全程安全。
SSL/TLS協定提供的身份認證機制,依靠SSL證書驗證伺服器身份真實性,確定資料傳輸到正确的通信方,防止虛假伺服器釣魚攻擊,欺詐使用者或竊取使用者資料。全站部署HTTPS加密可以確定使用者每一次連接配接、每一次通路都通過安全加密的方式進行,防止HTTP明文傳輸和局部HTTPS加密可能導緻的安全風險。
在巨大的利益面前,流量劫持早已形成一個規模龐大的黑色産業鍊。源源不斷的收入刺激,讓流量劫持成了“野火燒不盡”的網絡痼疾,也給企業帶來了高達千萬級的經濟損失。為避免流量劫持,在全民HTTPS時代,各位站長們趕快行動起來吧!
【圖檔來源于freebuf及網絡,侵删】