最近收到数个 BootCDN 用户的反馈:某些地区的宽带运营商劫持了部分 BootCDN 上的文件,并篡改文件加入了广告代码。
这种方式的流量劫持属于中间人攻击(Man-in-the-Middle Attack,MITM)的一种,其实质就是在数据通路上劫持文件并篡改(一般是加入广告代码),并将篡改后的文件 发送给客户端。在这种攻击下,源服务器上的文件是不受影响的,文件被篡改是发生在传输过程中,由于 HTTP 协议完全是明文传输,很容易被劫持、篡改,因此,只要文件在 加密通道中传输就能够避免被劫持、篡改。
今年 4 月份的时候,我们已经将所有链接默认为 HTTPS 协议了,但是,看来这还是不够。
所以,我们从今天开始,BootCDN 上加速的所有文件不再提供 HTTP 和“相对协议”选项,所有文件只提供 HTTPS 链接。请各位 BootCDN 用户尽快修改为 HTTPS 链接。
多说一句
2015 年底,多家公司就联合声明:呼吁运营商严格打击流量劫持。但是,能够实施这一攻击行为的目前也就是各地的宽带运营商了,让贼捉贼怎么可能?!况且, 在某些地区,这种劫持文件并插入广告的方式已经成为他们轻松来钱的“优质”渠道了,怎能轻易放手!所以,从 15 年起,很多大型网站开启了 HTTPS ,包括 淘宝、百度等。
鉴于国内网络环境复杂,建议大家也尽快支持 HTTPS。尤其是国内云厂商基本都支持 Let’s encrypt 免费证书了,无论申请还是开启 Let’s encrypt 证书都很方便了。
还有,不要申请那些乱七八糟的免费证书,例如 赛门铁克、WoSign、StartSSL 等,至于为什么,请自行百度一下。
BootCDN