发布日期:2018-02-13 10:30:00 +0000
这篇文章发出去的时候,我还是有点战战兢兢的,我怕万一是自己哪里搞错了,被腾讯的人怼回来,有点禁不住。以前在微博转发某云服务客户批评某巨头云的文章时被人家技术专家怼过,这事我一直还都记着呢。
结果没想到,腾讯多个部门的技术人来跟我核实,寻求反馈,还说要送礼物给我。而且他们还主动跟我提及了一些更多的信息,比如根据我的线索,他们追查了一些关键行为数据,具体信息不方便透露,但结论是,我所反馈的是个广泛存在而且影响巨大的事情。
而从我的文章评论中可以看到,劫持的普遍性和广泛性,真是怵目惊心。
1、微信公众号文章,无差别被劫持,而且电信运营商比例极高。
微信能否将公众号内容访问也纳入https范畴?
并且能否有效的通过法律或行政力量遏制地方电信运营商劫持?
2、cnzz技术人员肯定他们官方不放广告,那么根据别人爆出的代码,显然cnzz代码被劫持。此外有人爆料, jquery.js被劫持挂马,百度联盟js被劫持。
通用第三方js 被劫持广泛已经是广泛存在的事情。
强烈呼吁所有使用cnzz或其他第三方统计代码,或其他第三方js代码的网站或app,使用https协议,如果第三方代码不支持https协议,用支持的同类产品替换。
3、淘宝联盟app,淘宝联盟相关产品被劫持。
4、大量下载网站,下载链接被劫持。
5、cdn溯源劫持广泛存在,并非孤例。
6、微信钱包里某链接被劫持,这是前文评论里提到的,想想算运气,如果劫持后钓鱼的话。。。
7、有反馈第三方json接口被劫持,真的无语。
劫持的恶行之所以屡禁不止,有两个原因。
第一,某些官方背景机构直接参与,比如各种运营商的劫持,而且被抓现行后各种抵赖。
上行下效,一些流氓企业靠跟这样的机构合作来获取收益。
第二,利益链条中,收益这部分的提供方没有斩断利益链条的动机。
我举几个典型例子,
比如说,以前有人在某群里说,360太流氓,劫持访问强制用户下载,我看了一下对方提供的信息,发现其实不是360干的,是360的联盟成员干的。
那么,首先,我相信360自己不干这个事情,其次,如果周鸿祎知道很大可能会处理,但作为360这样的企业,我们简单设想一下,这种劫持安装的用户,对360本身来说,依然是有效用户,对联盟部门的kpi来说,依然是有效用户。虽然商誉上受到损害,但作为具体联盟分钱的执行者,从个人利益,团队利益处罚,本身没有去隔断这部分流量的强烈动机。
百度也同理,很多人喊百度流氓,强设hao123,基本上99%都是百度联盟的会员干的,不是百度自己干的,但你说百度官方知道么?负责分钱的人多少会知道一些,这么多钱分不出去不知道人家怎么赚的,大家想想可能么,但怎样,为了维护公司声誉砍自己kpi,这事谁干,退一步说,你砍了这部分流量和收益,人家转身去做360,损害的还是百度的市场份额不是。
在我遇到的这个案例里也是,你说这个王八蛋劫持了流量去做京东,京东本身有主动斩断劫持流量获利的动机么?更没有,在这个案例里,大家骂劫持而已,谁会为这事骂京东呢。劫持流量一样在京东会有成交,会有转化,对京东来说是好流量,京东要是砍,人家转身去做亚马逊,唯品会,京东会有效流量推给对手么?又没有商誉风险,又有kpi收益,凭什么拱手送人。
所以,这就是网络流量劫持为什么在中国特别难以打击,持续祸害十多年而又让所有人无能为力的事情。
但我觉得,巨头还是有责任来维护这个生态健康的。
我以前讲过,生态所受到的伤害,对巨头来说就是利益损害,我忘了哪篇文章提到过,当年dnspod被攻击,出现六省断网的事情,百度收益直接受损,这是当时直接从每日百度广告点击收入数据能看到的。
巨头一定要有这个意识,当带头大哥,就要有责任维护市场的和谐稳定发展,这绝对和自身利益是密切相关的,绝不是喊一个大爱无疆的口号。
所以我还是希望几个巨头,眼光长远一点,心态要开放一点,对劫持这个事情,大家能建立统一战线,几个巨头如果肯联手来处理,这事其实也没那么难,我知道几个巨头各自有小心眼,都恨不得多薅一点对手流量到自己家里来,但彼此互害,只是便宜了一帮王八蛋。
当大哥就要有当大哥的格局,就要有当大哥的视野,大环境维系好,最大的受益者一定是巨头自己,这个问题并不难理解。
不过今天文章还是保留了一点,有一种对用户体验伤害极低,用户感知几乎为0的劫持手段,归因劫持,我就没提,这事我知道一些,当然我自己是不干的,算了,既然用户体验不受伤害,我也犯不着到处去断人财路,这事让该头疼的人头疼去就好了。
今天做个友情广告,所谓友情广告就是,咳咳,没收钱。
我有个老熟人,叫做马刚,最早是瑞星副总裁,嗯,就是我公众号里经常当作反面典型的那个瑞星,之后去汽车之家做市场相关副总裁,而后不知道怎么想不开了,跑出来创业。
创业回到安全领域,但时过境迁,现在纯粹的信息安全市场几乎不存在,安全顶尖人才大部分都被互联网巨头们高价收编,也不知道他咋就非要钻这个牛角尖。
但这家伙还是折腾出事情来了,去年底,他们居然拦截了腾讯的官方程序QQ浏览器和腾讯安全管家,大家还记得3Q大战么,你说马化腾能忍?
结果你们猜怎样,马化腾要求内部团队严格自查,整改,腾讯官方很快就此事公开向公众致歉,对软件中的不当行为进行下线处理,并对相关责任人进行处罚。这是去年底的事情,也就两个月不到,有兴趣的可以搜搜新闻。
此外,上面提到的联盟流量劫持,他们去年也拦截和举证过百度联盟中的劫持行为,在公开举证的压力下,百度也为此彻查并处理了一些通过劫持不当获利的联盟用户。
今天就介绍一下他们的公众号,火绒安全实验室
微信号: HuorongLab
讲真,他们是一群死较真,情商低,还不太会玩传播的异类创业者,文章写的既不生动,也不有趣,没有能刺激点击和传播的标题,内容又干又硬,排版毫无花样,插图文案全都是规规矩矩的就事论事,连表情包都不知道用。一看就是没跟那些大V们上过如何写十万加的课程。
(写完这篇广告后,发现他们新推送文章开始秀标题,玩表情包了,咳咳,被打脸了,算了,不删了,一并列在这里吧。)
所以,如果你就喜欢猎奇,休闲读物,或者偶尔去看看所谓名人光环,行业八卦什么的,这个,算了,不要点击了。
但如果有人非要认认真真的了解互联网的安全风险,认认真真的分析安全威胁,认认真真的了解信息安全风险背后的真相,可能这是个值得关注和阅读的自媒体,至少,可以让你不会问出”为什么没有黑客攻击支付宝“这样傻逼的问题。