开发者社区> boxti> 正文

面对运营商的“强上”,我们应该如何反击?

简介:
+关注继续查看
   
   最近,运营商对于用户流量劫持的玩法变本加厉。原本只是莫名其妙地弹出广告和流量提示,最近却又用户发现,无论下载什么App,都会被运营商换成UC浏览器。

这种玩法,让被运营商“强上”多年的网友决定不再沉默。不仅如此,包括小米在内的六家互联网企业也决定加入讨伐运营商的大军。(可参考我雷文章《小米们要“造反”,开撕三大运营商》

网民和互联网公司罗列的运营商“罪行”大致如下:

  • 劫持用户浏览器,强制跳转到指定网页

  • 劫持新闻类App,强制弹出广告和促销信息(其实是低俗的广告和low爆了的促销信息)

  • 劫持商城类App,强制用户下载特定的App

面对运营商的强上,我们应该如何反击?

【一个典型的被某运营商“强上”的场景】

仔细想来,如果这些遭遇每天都发生在我们身上,还真是有一种生无可恋的感觉。那么,运营商面对这波声讨的浪潮,会选择收敛吗?很多网友表示:

  • 平胸而论,这次讨伐的胜算几乎为零。

  • 胳膊拧不过大腿,蛐蛐挡不住火箭。

  • 全国人民都买小米,怕是也干不过运营商。

面对这样的局面,我们要积极地开展自救。下面才是重点。

流量劫持的伎俩很简单

这里有一个悲伤的事实:大部分的流量劫持之所以会发生,一方面是因为劫持者没有操守,另一方面是因为被劫持者没有做好防护。通俗地讲,在痛斥小偷摸走你钱包的同时,也要反省自己的疏忽大意。

用户自身“漏洞”百出,就增加了被运营商“强上”的几率。这里的漏洞指的是:网络协议

目前,绝大多数的网络通信都在使用“http”协议,就是我们在网址开头经常能看到的那个东西。这个协议“丧心病狂”地采用了明文传输,也就是说,用户和站点进行交流的时候,所有的中间环节都可以轻松查看数据内容,而负责数据传输的运营商当然有机会替换掉其中的数据内容。打个比方:

你给女朋友互相写情书,但是你们发出的信件居然连信封都没有,而送信的邮差恰恰是个流氓。。。(画面太美,想象不下去了)

原谅“http”吧,这个协议已经被使用了20多年了。在当初“http”被发明出来的时候,世界还处在“夜不闭户,道不拾遗”的状态。怎么说呢,我们再也回不去了。。。

如果用户使用网页访问资讯,那么流量中既包含了通信数据,也包含了网页界面代码。掌握了所有网页界面之后,运营商在劫持的时候,甚至还可以把广告栏放到“恰到好处”的地方,让这种无节操的推广看起来相当“美观”(已无力对运营商的审美观吐槽)。


如果用户使用 App 进行访问,那么运营商可以通过简单的途径,搞到一些热门 App 的代码,例如小米商城或今日头条,进而针对这些 App 进行优化,让应用分发的劫持或者广告的展示看起来“天衣无缝”。


还有更猛烈的。运营商即使再无节操,也是有基本底线的。但如果黑客利用运营商强上你的时候留下的漏洞,“黑吃黑”地再次劫持了你的数据,那么事情的发展就不在掌握中了。黑客完全可以调用你的摄像头、获取你的所有登陆密码、读取或修改你手机上的所有文件,包括照片,嗯。

面对运营商的强上,我们应该如何反击?

“加密协议”可以防止我们被“强上”

不说那些让人伤心的事了,既然所有的问题都来自于明文传输,那么解决的方法就是“http”的升级版“https”。不要小看这一个多出来的“s”,二者可谓是天壤之别。相比之下,新款 iPhone 加上一个“s”就能糊弄用户的伎俩简直弱爆了。

“https”的协议采用了全链路的加密,运营商在传递数据的过程中,看到的是“天书”一样的字符。只有传递信息的双方拥有解密数据的密钥。这样,即使运营商有心“上我们”,也会发现无处“下家伙”。

虽然“https”已经诞生了很久,但是为了自身的成本控制和用户方便,仍然有很多站点支持使用“http”进行通信。至于原因,Opera 浏览器的 CTO 罗志宇在文章中表示:

https 对硬件的要求要比 http 高, 这个意味着更大的开销, 而更大的开销也就意味着需要花费更多的资金购买服务器。其他架构上面带来的成本可能就跟不用说了。

在这件事上,普通用户是有劲儿也没处使的。不想被运营商蹂躏,只能寄希望于网站可以进行协议升级。让我们欣慰的是,一些互联网企业已经宣布全站支持https协议了,比如 Google 和 Facebook。等等,这两个网站存在吗?为什么我上不去?先不要在意这些细节,最近一年国内很多网站也采取了加密协议,例如淘宝和百度。

  • 淘宝宣称全站都采取了加密协议,所以只要在淘宝网内部浏览,安全性是较高的;

  • 百度因为是一个搜索引擎,所以无法保证搜索到的内容都是加密传输的,因此跳转到其他网站之后就没有办法抵御流量劫持了。

面对运营商的强上,我们应该如何反击?

【淘宝网会强制跳转到https协议进行访问】

然而,即使是采取加密传输,还存在一个小问题,那就是:在用户的浏览过程中,很多情况下存在跳转行为,而跳转过程中,有任何一个网站采用“http”协议,都会使得第三方有机会劫持用户流量。举例来说,很多用户喜欢在聚合网站,例如“什么值得买”上浏览商品。而“什么值得买”采用的就是未加密的“http”协议。因此理论上来说,在跳转之前的任意时间点,第三方都可以劫持用户的数据,然后插在用户和网站之间。

360的安全专家MJ表示:

如果黑客控制了你的网络访问,可以篡改你的访问申请,比如把你导向一个假的“https://www.taoobao.com”通过这种方式可以劫持你的数据。

也就是说,如果你通过网站跳转而访问安全网站,第三方可以用这种方式继续劫持你的流量。当然这些都是理论上的可能了,运营商几乎没有可能做出这么低劣的行径。

结论是:“花钱”

总之,这些互联网企业与其联合起来讨伐运营商,倒不如花点时间和金钱把自己的“钱包”加固,让别人无从下手。总而言之一句话:

不能让运营商有哪怕一秒钟的时间接触到你的明文数据。

说到这里,似乎解决的方法已经很明朗了,就是对网站协议进行“https”改造。然而,这种改造涉及人员、服务器、技术的全面升级。“过来人”阿里巴巴称这种改造成本为“巨资”,可见即使对于阿里这种土豪来说,改造网络协议都是昂贵的。

再来看看这六家声讨运营商的企业:小米、今日头条、美团大众点评网、360、腾讯、微博。就财力而言应该都可以实现加密传输的改造。尤其是腾讯,本该混迹于BAT行列的它,看到百度和阿里都进行了协议升级,不知内心是否煎熬。

说了这么多,结论只有一个:

想要优雅地避免运营商耍流氓,就需要大把地花银子。

俗话说,能用钱解决的问题,都不是大问题。为了争口气,花点钱算神马!你们说呢?

面对运营商的强上,我们应该如何反击?

   
 
  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用NAT网关轻松为单台云服务器设置多个公网IP
在应用中,有时会遇到用户询问如何使单台云服务器具备多个公网IP的问题。 具体如何操作呢,有了NAT网关这个也不是难题。
35142 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
13894 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
14718 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
17140 0
使用SSH远程登录阿里云ECS服务器
远程连接服务器以及配置环境
13539 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
33373 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
18705 0
+关注
boxti
12535
10036
文章
1327
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载