微博凭空自动关注和点赞 使用HSTS强制HTTPS加密避免变“傀儡”
微博作为时事热点的最前沿的,备受许多用户的喜欢,但是很多微博用户都有过同样的遭遇,那就是自己的微博账号在不知情的情况下自动关注了博主或给微博点赞的问题,很多用户想不明白,自己明明没有过这些操作,甚至微博都没有打开,为什么每次上线自己关注的人就无缘无故多出了几十个营销号,还点赞了几十条看都没看过的微博。
面对这种情况,用户只能被迫挨个将这些凭空出现的关注和点赞取消,但是每次取消后下一次又会再一次出现,这给许多微博用户带来非常不好的体验。
出现这种情况的原因
一般来说,微博账号在不知情的情况下自动关注博主或点赞微博无非以下三个原因:
1、用户的微博账号密码被窃取,被他人登录操作造成的;
2、用户使用第三方客户端登陆微博账号,第三方客户端在拿到微博的访问令牌后,然后权限被滥用;
3、在使用浏览器访问PC版微博时,在登录账号的时候cookies被泄露了。
在此之前,微博安全中心也向用户给出了安全建议,比如:建议用户更换密码、升级客户端、设置登录保护、清除第三方应用权限等等,但即时用户按照微博安全中心的建议尝试进行这些操作后,依旧无法完全解决问题,上述情况依然会发生。
虽然微博已经启用HTTPS加密,但是我们在使用微博时其他人发给你的链接有可能是使用HTTP的链接。当部分请求由HTTP站点使用301跳转到HTTPS时,这个HTTP请求仍然会带上浏览器在微博域下的所有cookie。这样一来,用户在登录账号后在某个特定场景访问到HTTP的微博链接时,仍然可能遭遇cookie劫持。
解决方法
对于微博用户来说,目前比较简单的解决方法就是在浏览器预置HSTS域名列表,目前谷歌、火狐或IE浏览器均支持该功能,用户将微博的域名加入预载入列表,就能强制浏览器仅使用HTTPS加密访问,减少被劫持的可能。
HSTS全称为HTTPS严格传输安全协议,网站选择使用HSTS后,能够强迫浏览器只使用HTTPS连接与网站进行信息交互,但是对于HSTS生效前的首次HTTP请求,仍然存在使用明文而被劫持的可能,所以我们可以通过浏览器预置HSTS域名列表来解决,事先在浏览器内预置一份列表,当用户访问列表中的域名时,即使用户是第一次访问,浏览器也会使用HTTPS协议。
当用户将微博主域名添加到HSTS预载入列表中后,如果浏览器在访问微博域名时检测到使用HTTP的链接,就会直接跳转到 HTTPS,避免遭受cookie劫持。
-
Nginx服务器证书部署
依赖建议l SSL卸载驱动。建议:openssl版本1.1.0f+。l nginx版本Stable version:最新稳定版,生产环境上建议使用的版本。获取证书MPKI方式:1. 登录htt
-
IIS服务器证书部署
环境说明建议使用IIS8(支持SNI),一个站点一个端口允许同时部署多张证书。Win7,server 2008 r2 ,win8 ,win2012系统上关于加密套件的补丁https://technet
-
为什么需要使用SSL服务器证书?
随着互联网日益发展,新型的网络生活渐入人们的日常生活,网络购物,游戏娱乐,工作办公等等,那么问题也随之产生,使用互联网的同时,如何能保障重要信息呢?于是SSL应运而生,SSL证书就是用于保证信息安全的
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- Windows 11“重大更新”:新版Bing添加至任务栏,iPhone也能在PC端接打电话了!
- 高通推出面向物联网优化的超低功耗LTE调制解调器,集成地面定位支持
- Snapdragon Ride平台,助力打造安全便捷的驾乘体验
- 有TA在,每一刻的声音,都平稳动听
- 创新“零事故”之路:2022年北京网络安全大会开幕
- 历史上的今天:微软收购 PowerPoint 开发商;SGI 和 MIPS 合并
- 【程序员的实用工具推荐】 Mac 效率神器 Alfred
- 锁定骁龙888,喜提牛年第一波好彩头
- 树莓派竟出微控制器了!Raspberry Pi Pico 只需 4 美元!
- 人物|DNVGL宋琳:安全管理要说人话,越野徒步不束自由
- 云时代下,移动云揭秘数据库“新解”
- APISIX 温铭:开源的本质是要拿开发者的杠杆|人物志