触目惊心的互联网流量劫持
创业者的噩梦 - 谁劫持了我们的用户!
这篇文章发出去的时候,我还是有点战战兢兢的,我怕万一是自己哪里搞错了,被腾讯的人怼回来,有点禁不住。以前在微博转发某云服务客户批评某巨头云的文章时被人家技术专家怼过,这事我一直还都记着呢。
结果没想到,腾讯多个部门的技术人来跟我核实,寻求反馈,还说要送礼物给我。而且他们还主动跟我提及了一些更多的信息,比如根据我的线索,他们追查了一些关键行为数据,具体信息不方便透露,但结论是,我所反馈的是个广泛存在而且影响巨大的事情。
而从我的文章评论中可以看到,劫持的普遍性和广泛性,真是怵目惊心。
1、微信公众号文章,无差别被劫持,而且电信运营商比例极高。
微信能否将公众号内容访问也纳入https范畴?
并且能否有效的通过法律或行政力量遏制地方电信运营商劫持?
2、cnzz技术人员肯定他们官方不放广告,那么根据别人爆出的代码,显然cnzz代码被劫持。此外有人爆料, jquery.js被劫持挂马,百度联盟js被劫持。
通用第三方js 被劫持广泛已经是广泛存在的事情。
强烈呼吁所有使用cnzz或其他第三方统计代码,或其他第三方js代码的网站或app,使用https协议,如果第三方代码不支持https协议,用支持的同类产品替换。
3、淘宝联盟app,淘宝联盟相关产品被劫持。
4、大量下载网站,下载链接被劫持。
5、cdn溯源劫持广泛存在,并非孤例。
6、微信钱包里某链接被劫持,这是前文评论里提到的,想想算运气,如果劫持后钓鱼的话。。。
7、有反馈第三方json接口被劫持,真的无语。
劫持的恶行之所以屡禁不止,有两个原因。
第一,某些官方背景机构直接参与,比如各种运营商的劫持,而且被抓现行后各种抵赖。
上行下效,一些流氓企业靠跟这样的机构合作来获取收益。
第二,利益链条中,收益这部分的提供方没有斩断利益链条的动机。
我举几个典型例子,
比如说,以前有人在某群里说,360太流氓,劫持访问强制用户下载,我看了一下对方提供的信息,发现其实不是360干的,是360的联盟成员干的。
那么,首先,我相信360自己不干这个事情,其次,如果周鸿祎知道很大可能会处理,但作为360这样的企业,我们简单设想一下,这种劫持安装的用户,对360本身来说,依然是有效用户,对联盟部门的kpi来说,依然是有效用户。虽然商誉上受到损害,但作为具体联盟分钱的执行者,从个人利益,团队利益处罚,本身没有去隔断这部分流量的强烈动机。
百度也同理,很多人喊百度流氓,强设hao123,基本上99%都是百度联盟的会员干的,不是百度自己干的,但你说百度官方知道么?负责分钱的人多少会知道一些,这么多钱分不出去不知道人家怎么赚的,大家想想可能么,但怎样,为了维护公司声誉砍自己kpi,这事谁干,退一步说,你砍了这部分流量和收益,人家转身去做360,损害的还是百度的市场份额不是。
在我遇到的这个案例里也是,你说这个王八蛋劫持了流量去做京东,京东本身有主动斩断劫持流量获利的动机么?更没有,在这个案例里,大家骂劫持而已,谁会为这事骂京东呢。劫持流量一样在京东会有成交,会有转化,对京东来说是好流量,京东要是砍,人家转身去做亚马逊,唯品会,京东会有效流量推给对手么?又没有商誉风险,又有kpi收益,凭什么拱手送人。
所以,这就是网络流量劫持为什么在中国特别难以打击,持续祸害十多年而又让所有人无能为力的事情。
但我觉得,巨头还是有责任来维护这个生态健康的。
我以前讲过,生态所受到的伤害,对巨头来说就是利益损害,我忘了哪篇文章提到过,当年dnspod被攻击,出现六省断网的事情,百度收益直接受损,这是当时直接从每日百度广告点击收入数据能看到的。
巨头一定要有这个意识,当带头大哥,就要有责任维护市场的和谐稳定发展,这绝对和自身利益是密切相关的,绝不是喊一个大爱无疆的口号。
所以我还是希望几个巨头,眼光长远一点,心态要开放一点,对劫持这个事情,大家能建立统一战线,几个巨头如果肯联手来处理,这事其实也没那么难,我知道几个巨头各自有小心眼,都恨不得多薅一点对手流量到自己家里来,但彼此互害,只是便宜了一帮王八蛋。
当大哥就要有当大哥的格局,就要有当大哥的视野,大环境维系好,最大的受益者一定是巨头自己,这个问题并不难理解。
不过今天文章还是保留了一点,有一种对用户体验伤害极低,用户感知几乎为0的劫持手段,归因劫持,我就没提,这事我知道一些,当然我自己是不干的,算了,既然用户体验不受伤害,我也犯不着到处去断人财路,这事让该头疼的人头疼去就好了。
今天做个友情广告,所谓友情广告就是,咳咳,没收钱。
我有个老熟人,叫做马刚,最早是瑞星副总裁,嗯,就是我公众号里经常当作反面典型的那个瑞星,之后去汽车之家做市场相关副总裁,而后不知道怎么想不开了,跑出来创业。
创业回到安全领域,但时过境迁,现在纯粹的信息安全市场几乎不存在,安全顶尖人才大部分都被互联网巨头们高价收编,也不知道他咋就非要钻这个牛角尖。
但这家伙还是折腾出事情来了,去年底,他们居然拦截了腾讯的官方程序QQ浏览器和腾讯安全管家,大家还记得3Q大战么,你说马化腾能忍?
结果你们猜怎样,马化腾要求内部团队严格自查,整改,腾讯官方很快就此事公开向公众致歉,对软件中的不当行为进行下线处理,并对相关责任人进行处罚。这是去年底的事情,也就两个月不到,有兴趣的可以搜搜新闻。
此外,上面提到的联盟流量劫持,他们去年也拦截和举证过百度联盟中的劫持行为,在公开举证的压力下,百度也为此彻查并处理了一些通过劫持不当获利的联盟用户。
今天就介绍一下他们的公众号,火绒安全实验室
微信号: HuorongLab
讲真,他们是一群死较真,情商低,还不太会玩传播的异类创业者,文章写的既不生动,也不有趣,没有能刺激点击和传播的标题,内容又干又硬,排版毫无花样,插图文案全都是规规矩矩的就事论事,连表情包都不知道用。一看就是没跟那些大V们上过如何写十万加的课程。
(写完这篇广告后,发现他们新推送文章开始秀标题,玩表情包了,咳咳,被打脸了,算了,不删了,一并列在这里吧。)
所以,如果你就喜欢猎奇,休闲读物,或者偶尔去看看所谓名人光环,行业八卦什么的,这个,算了,不要点击了。
但如果有人非要认认真真的了解互联网的安全风险,认认真真的分析安全威胁,认认真真的了解信息安全风险背后的真相,可能这是个值得关注和阅读的自媒体,至少,可以让你不会问出”为什么没有黑客攻击支付宝“这样傻逼的问题。
触目惊心的互联网流量劫持相关推荐
- 互联网流量劫持的背后:黑客月入至少三万
明明打开的是A网站,莫名其妙却被跳转至B网站:明明想下的是A软件,下载安装后却是B软件:打开一个App,弹出的广告让人心乱如麻,同时也不胜其烦--你以为电脑手机中毒了?错!或许你真的错怪了病毒,因为你 ...
- 关于互联网流量劫持分析及可选的解决方案
一.劫持的方式分析 互联网的流量劫持大致分两种,第一种是DNS劫持,第二种是链路劫持.对于这两种劫持的原因有很多,比如用户电脑中毒了,DNS被篡改了,比如家用路由器被攻破了等等.但这种个人极端原因毕竟 ...
- 首例利用智能路由网关犯罪嫌疑人被捕:罪名流量劫持
首例利用智能路由网关犯罪嫌疑人被捕:罪名流量劫持 https://tech.sina.cn/digi/nb/2018-05-15/detail-ihapkuvm0295695.d.html 上海市徐汇 ...
- Web如何应对流量劫持?
虽然互联网经过多年的发展,可是网站使用的底层协议仍是 HTTP,HTTP 作为一种明文传播协议,所有的传输数据都是明文,我们都知道在通信中使用明文(不加密) 内容可能会被窃听,同时网站存在被劫持的风险 ...
- 看了这个,再也不怕流量劫持了!
12月25日上午,包括今日头条.美团大众点评网.360.腾讯.微博.小米科技等在内的六家互联网公司共同发表了一份<六公司关于抵制流量劫持等违法行为的联合声明>,对流量劫持等违法行为进行坚决 ...
- 爱测未来安全-浅淡流量劫持及应对措施
在前几天公司里的某个项目组产品遇到了一件怪事,且听我重现下过程和场景(来自用户反馈的还原). A用户:这产品真不错,同事刚刚推荐的,那我得赶紧用用...启动中...嗯?怎么插入了这么一个大广告,不会吧 ...
- 《网络安全应急响应技术实战指南》知识点总结(第10章 流量劫持网络安全应急响应)
一.流量劫持概述 1.流量劫持简介 是一种通过在应用系统中植入恶意代码.在网络中部署恶意设备.使用恶意软件等手段,控制客户端与服务端之间的流量通信.篡改流量数据或改变流量走向,造成非预期行为的网络攻击 ...
- DNS劫持,HTTP劫持、HTTPS劫持【流量劫持】
1 流量劫持 先说劫持,再说劫持的种类 流量劫持: 早已见怪不怪的电信运营商的劫持,频繁的广告页弹出,大家只要能忍受得了,那就没什么危害,各大运营商毕竟是活在我党的英明领导下的,太过分的事情,它们也是 ...
- 流量都去哪了? --- 详谈流量劫持是如何产生的?
流量劫持是如何产生的? 原文出处:FEX 做最专业的前端[百度前端团队Blog] 原文链接:http://fex.baidu.com/blog/2014/04/traffic-hijack/ 流量劫持 ...
- 安全科普:流量劫持的方式和途径
流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬.众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道.只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改. ...
最新文章
- java计算器的重点解决问题_java计算器问题
- pandas使用replace函数替换dataframe中的值:replace函数对dataframe中的多个值进行替换、即一次性同时对多个值进行替换操作
- 白话Elasticsearch15-深度探秘搜索技术之使用copy_to定制组合field解决cross-fields搜索弊端
- 客户端相关知识学习(一)之混合开发,为什么要在App中使用H5页面以及应用场景、注意事项...
- c语言给定一个非空整数数组_C程序检查给定整数的所有位是否为一(1)
- oracle fnd file.log,OracleEBSWIP模块DebugLog收集方法
- ZPan私人网盘 v1.4.1
- ASP.Net学习笔记012--12ViewState初探
- 如何在面试时搞定 Java 虚拟机?
- 关于jmeter 加载jar文件的疑问
- Hive 内部表外部表
- 左耳朵耗子:如何超过大多数人
- 映美精双目相机无法同时显示的问题
- AFNetWorking下载视频文件
- 【Vue】win10启动vue项目报错: errno: -4058, code: ‘ENOENT‘, syscall: ‘spawn cmd‘
- python实战项目词云生成器(wordcloud+jieba+pyinstaller打包)——词云生成软件【Pyinstaller打包问题解决】
- Win10安装net framework 3.5失败,错误代码0x8024402c
- 精华帖:最全的编程自学网站介绍,白嫖
- MT6757_MT6763_Brightness_CaseShare
- jsp访问servlet报404错误