强制使用 HTTPS

Github 再一次受到攻击,和之前的攻击方式不一样,这一次,Github 被普通网民给 DDos 了。

攻击的大致原理是这样的,百度广告联盟所使用的一个 Javascript 文件被篡改,其中嵌入了一段代码,会每两秒钟给 Github 发送一次请求。由于国内很多网站都使用了百度广告联盟,一旦用户访问这些网站,这些用户的浏览器就开始自动攻击 Github。这一度造成了 Github 的服务瘫痪,一天之后才采取措施修复。具体细节可以查看乌云的一篇文章

至于这是谁干的?大家应该都知道的吧。百度自己是不会砸自己场子的,而对 Github 有仇的,只有我们可爱的防火墙了。

之前我们印象中的 GFW 只是一个屏蔽工具,使得我们无法访问一些网站,而这一次 GFW 的升级可谓是令人恐惧的,因为它具备了修改文件的能力。这种攻击方式为称为“中间人攻击”,比方说,你在和朋友聊天的时候,并没有直接和他对话,而是通过一个中间人传话,那么这个中间人,就有了篡改你们对话能力。这次对于百度广告联盟的修改,表面上并没有让用户察觉到被墙了,但实际却发动了一次前所未有的 DDos 攻击。GFW 可以修改百度的文件,也自然可以修改其它网站的文件。如果下次它直接修改了 jQuery 的源文件,以 jQuery 普及程度,这种 DDos 的强度是大多数网站承受不了的。

作为对策之一,本站开启了 HSTS 以应对可能的中间人攻击。HSTS 是一项浏览器技术,网站通过一个特殊的报头(Header)告诉浏览器,建议浏览器使用 HTTPS 进行访问,在极大程度上避免了中间人攻击。在使用了 HTTPS 之后,你和本站的通讯,只有网站服务器和你的浏览器知道,网络上的各种路由器,包括墙,都无法得知,从而也就不能进行攻击了。

另外我也建议,上网的时候请尽可能地选择 HTTPS 的网站,即地址栏前面有一个小锁,表示当前浏览的网站是安全的。


20 条评论 添加

  1. 已经启用了HTTPS,只是国内用2G访问本HTTPS时很慢,有很多时候不能访问,不知道是移动2G对HTTPS不太支持还是其他原因?

    1. 如果你用的是 Firefox 或者 Safari,你需要先访问一下 HTTPS 版本,之后就回不到 HTTP 了;如果你用的是 IE,则需要等到 Windows 10 才行。这样做的原因是我不喜欢把一些设定强加给用户,对于不喜欢或者用不上 HTTPS 的用户,现在还有机会使用 HTTP。

发表评论

电子邮件地址不会被公开。 必填项已用*标注