你的微博也被盜贊?試試HSTS強制HTTPS加密

2021-09-12 17:59:42 字數 1220 閱讀 7453

微博賬戶被盜贊或被動加關注的問題,可能很多使用者都遇到過,每天都會發現自己的賬戶莫名其妙關注或點贊了幾十個營銷號、廣告號、明星號的微博,挨個取消被盜的關注和贊,竟然成了日常最主要的微博操作,很多使用者對此感到不厭其煩。

從技術上看,能夠給微博賬號加關注或盜贊的途徑通常有:1、微博賬戶被盜,能夠被別人直接登入;2、使用第三方客戶端等,可以通過微博開放平台oauth拿到access token,然後許可權被濫用;3、在瀏覽器上使用web版微博登入時,cookies被洩露了。

對此,微博安全中心也曾給過一些安全建議,比如:建議使用者更換密碼、公升級客戶端、設定登入保護、清除第三方應用許可權等等,但是不少使用者按照建議完成這些操作後,被盜贊的問題仍然存在。

在對不同客戶端、web端的訪問情況進行分析後我們發現,雖然微博已經啟用https加密 很多開放平台的介面也使用https加密,但你的瀏覽器書籤、別人發給你的鏈結、舊的外鏈、其他應用生成的鏈結都可能還是 http 的。當部分請求由http連線301跳轉到https時,這個 http 請求仍然會帶上瀏覽器在 域下的所有 cookie。這麼一來,當使用者登入後在某個特定場景訪問到http的微博鏈結時,仍然可能遭遇cookie劫持,清除授權或修改密碼也沒有用。

通過給 cookie 設定 secure 或者在伺服器端設定 hsts(http strict transport security) 也能解決這個問題,但是微博伺服器端的設定是使用者無法控制的,作為使用者還有沒有什麼辦法解決這個問題呢?沃通ca(www.wosign.com)建議:比較簡單的做法就是,使用者在chrome瀏覽器手動設定hsts預載入列表(preload list),將微博網域名稱加入預載入列表,強制https加密訪問。

hsts代表的是https嚴格傳輸安全協議,它是乙個網路安全政策機制,能夠強迫瀏覽器只通過安全的https連線(永遠不能通過http)與**互動,這能夠幫助防止協議降級攻擊和cookie劫持。但是對於hsts生效前的首次http請求,依然無法避免被劫持,瀏覽器廠商們為了解決這個問題,提出了hsts preload list(預載入)方案:內建乙份可以定期更新的列表,對於列表中的網域名稱,即使使用者之前沒有訪問過,也會使用https協議。chrome運營了乙個hsts 預載入列表,大多數主流瀏覽器firefox, opera, safari, ie 11 and edge也都有基於chrome列表的預載入列表。

在chrome瀏覽器設定hsts預載入列表的方法是:

也說新浪微博的「悄悄關注」

誠然,每個人都有好奇心,每個人都或多或少有 窺探 的慾望 這是使用者的顯性需求。問題是被 悄悄關注 的物件是否會並不喜歡他人悄悄地關注?使用者是否也有 不被窺探 的隱性需求呢?雖然說,在微博上所發表的內容都是公開的,並不在意被什麼人看到。然而,有時一想到可能此時有某人正 悄悄關注 著自己,頓時毛骨悚...

新技術的福音 癱瘓者也能用眼睛寫「微博」

如果你想知道這款裝置的模樣,你看下面的圖便可以知道。這款裝置看起來並不笨重。它是通過位於中間的攝像頭來跟蹤佩戴者的眼球運動,並把相應的資料傳送到電腦上。這款裝置所用的神經肌肉跟蹤技術在科學家們在研究視錯覺的時候發現的,在它的幫助下克服了眼睛掃視等自然現象所帶來的 寫字 障礙。比如說,當你的眼睛從乙個...

如何讓粉絲甘心為你的微博文章買單?

2014年8月,新浪微博啟動了 打賞 功能公測,讀者可以下面的打賞按鈕對作者進行打賞。現在呢,它已經向每個普通使用者開放了,也就是是說每個人都可以設定打賞了,只要你有自己的獨特的魅力,有自己忠誠的粉絲,那也是有機會獲得粉絲的青睞的。那麼該如何去做呢?我們首先來想乙個問題,為什麼粉絲要打賞你呢?我想那...