最近，運(yùn)營(yíng)商對(duì)于用戶流量劫持的玩法變本加厲。原本只是莫名其妙地彈出廣告和流量提示，最近卻又用戶發(fā)現(xiàn)，無(wú)論下載什么App，都會(huì)被運(yùn)營(yíng)商換成UC瀏覽器。

這種玩法，讓被運(yùn)營(yíng)商“強(qiáng)上”多年的網(wǎng)友決定不再沉默。不僅如此，包括小米在內(nèi)的六家互聯(lián)網(wǎng)企業(yè)也決定加入討伐運(yùn)營(yíng)商的大軍。（可參考我雷文章《小米們要“造反”，開(kāi)撕三大運(yùn)營(yíng)商》）

網(wǎng)民和互聯(lián)網(wǎng)公司羅列的運(yùn)營(yíng)商“罪行”大致如下：

• 劫持用戶瀏覽器，強(qiáng)制跳轉(zhuǎn)到指定網(wǎng)頁(yè)

• 劫持新聞?lì)怉pp，強(qiáng)制彈出廣告和促銷(xiāo)信息（其實(shí)是低俗的廣告和low爆了的促銷(xiāo)信息）

• 劫持商城類(lèi)App，強(qiáng)制用戶下載特定的App

【一個(gè)典型的被某運(yùn)營(yíng)商“強(qiáng)上”的場(chǎng)景】

仔細(xì)想來(lái)，如果這些遭遇每天都發(fā)生在我們身上，還真是有一種生無(wú)可戀的感覺(jué)。那么，運(yùn)營(yíng)商面對(duì)這波聲討的浪潮，會(huì)選擇收斂嗎？很多網(wǎng)友表示：

• 平胸而論，這次討伐的勝算幾乎為零。

• 胳膊擰不過(guò)大腿，蛐蛐擋不住火箭。

• 全國(guó)人民都買(mǎi)小米，怕是也干不過(guò)運(yùn)營(yíng)商。

面對(duì)這樣的局面，我們要積極地開(kāi)展自救。下面才是重點(diǎn)。

流量劫持的伎倆很簡(jiǎn)單

這里有一個(gè)悲傷的事實(shí)：大部分的流量劫持之所以會(huì)發(fā)生，一方面是因?yàn)榻俪终邲](méi)有操守，另一方面是因?yàn)楸唤俪终邲](méi)有做好防護(hù)。通俗地講，在痛斥小偷摸走你錢(qián)包的同時(shí)，也要反省自己的疏忽大意。

用戶自身“漏洞”百出，就增加了被運(yùn)營(yíng)商“強(qiáng)上”的幾率。這里的漏洞指的是：網(wǎng)絡(luò)協(xié)議。

目前，絕大多數(shù)的網(wǎng)絡(luò)通信都在使用“http”協(xié)議，就是我們?cè)诰W(wǎng)址開(kāi)頭經(jīng)常能看到的那個(gè)東西。這個(gè)協(xié)議“喪心病狂”地采用了明文傳輸，也就是說(shuō)，用戶和站點(diǎn)進(jìn)行交流的時(shí)候，所有的中間環(huán)節(jié)都可以輕松查看數(shù)據(jù)內(nèi)容，而負(fù)責(zé)數(shù)據(jù)傳輸?shù)倪\(yùn)營(yíng)商當(dāng)然有機(jī)會(huì)替換掉其中的數(shù)據(jù)內(nèi)容。打個(gè)比方：

你給女朋友互相寫(xiě)情書(shū)，但是你們發(fā)出的信件居然連信封都沒(méi)有，而送信的郵差恰恰是個(gè)流氓。。。（畫(huà)面太美，想象不下去了）

原諒“http”吧，這個(gè)協(xié)議已經(jīng)被使用了20多年了。在當(dāng)初“http”被發(fā)明出來(lái)的時(shí)候，世界還處在“夜不閉戶，道不拾遺”的狀態(tài)。怎么說(shuō)呢，我們?cè)僖不夭蝗チ?。?！?/p>

如果用戶使用網(wǎng)頁(yè)訪問(wèn)資訊，那么流量中既包含了通信數(shù)據(jù)，也包含了網(wǎng)頁(yè)界面代碼。掌握了所有網(wǎng)頁(yè)界面之后，運(yùn)營(yíng)商在劫持的時(shí)候，甚至還可以把廣告欄放到“恰到好處”的地方，讓這種無(wú)節(jié)操的推廣看起來(lái)相當(dāng)“美觀”（已無(wú)力對(duì)運(yùn)營(yíng)商的審美觀吐槽）。

如果用戶使用 App 進(jìn)行訪問(wèn)，那么運(yùn)營(yíng)商可以通過(guò)簡(jiǎn)單的途徑，搞到一些熱門(mén) App 的代碼，例如小米商城或今日頭條，進(jìn)而針對(duì)這些 App 進(jìn)行優(yōu)化，讓?xiě)?yīng)用分發(fā)的劫持或者廣告的展示看起來(lái)“天衣無(wú)縫”。

還有更猛烈的。運(yùn)營(yíng)商即使再無(wú)節(jié)操，也是有基本底線的。但如果黑客利用運(yùn)營(yíng)商強(qiáng)上你的時(shí)候留下的漏洞，“黑吃黑”地再次劫持了你的數(shù)據(jù)，那么事情的發(fā)展就不在掌握中了。黑客完全可以調(diào)用你的攝像頭、獲取你的所有登陸密碼、讀取或修改你手機(jī)上的所有文件，包括照片，嗯。

“加密協(xié)議”可以防止我們被“強(qiáng)上”

不說(shuō)那些讓人傷心的事了，既然所有的問(wèn)題都來(lái)自于明文傳輸，那么解決的方法就是“http”的升級(jí)版“https”。不要小看這一個(gè)多出來(lái)的“s”，二者可謂是天壤之別。相比之下，新款 iPhone 加上一個(gè)“s”就能糊弄用戶的伎倆簡(jiǎn)直弱爆了。

“https”的協(xié)議采用了全鏈路的加密，運(yùn)營(yíng)商在傳遞數(shù)據(jù)的過(guò)程中，看到的是“天書(shū)”一樣的字符。只有傳遞信息的雙方擁有解密數(shù)據(jù)的密鑰。這樣，即使運(yùn)營(yíng)商有心“上我們”，也會(huì)發(fā)現(xiàn)無(wú)處“下家伙”。

雖然“https”已經(jīng)誕生了很久，但是為了自身的成本控制和用戶方便，仍然有很多站點(diǎn)支持使用“http”進(jìn)行通信。至于原因，Opera 瀏覽器的 CTO 羅志宇在文章中表示：

https 對(duì)硬件的要求要比 http 高， 這個(gè)意味著更大的開(kāi)銷(xiāo)， 而更大的開(kāi)銷(xiāo)也就意味著需要花費(fèi)更多的資金購(gòu)買(mǎi)服務(wù)器。其他架構(gòu)上面帶來(lái)的成本可能就跟不用說(shuō)了。

在這件事上，普通用戶是有勁兒也沒(méi)處使的。不想被運(yùn)營(yíng)商蹂躪，只能寄希望于網(wǎng)站可以進(jìn)行協(xié)議升級(jí)。讓我們欣慰的是，一些互聯(lián)網(wǎng)企業(yè)已經(jīng)宣布全站支持https協(xié)議了，比如 Google 和 Facebook。等等，這兩個(gè)網(wǎng)站存在嗎？為什么我上不去？先不要在意這些細(xì)節(jié)，最近一年國(guó)內(nèi)很多網(wǎng)站也采取了加密協(xié)議，例如淘寶和百度。

• 淘寶宣稱全站都采取了加密協(xié)議，所以只要在淘寶網(wǎng)內(nèi)部瀏覽，安全性是較高的；

• 百度因?yàn)槭且粋€(gè)搜索引擎，所以無(wú)法保證搜索到的內(nèi)容都是加密傳輸?shù)?，因此跳轉(zhuǎn)到其他網(wǎng)站之后就沒(méi)有辦法抵御流量劫持了。

【淘寶網(wǎng)會(huì)強(qiáng)制跳轉(zhuǎn)到https協(xié)議進(jìn)行訪問(wèn)】

然而，即使是采取加密傳輸，還存在一個(gè)小問(wèn)題，那就是：在用戶的瀏覽過(guò)程中，很多情況下存在跳轉(zhuǎn)行為，而跳轉(zhuǎn)過(guò)程中，有任何一個(gè)網(wǎng)站采用“http”協(xié)議，都會(huì)使得第三方有機(jī)會(huì)劫持用戶流量。舉例來(lái)說(shuō)，很多用戶喜歡在聚合網(wǎng)站，例如“什么值得買(mǎi)”上瀏覽商品。而“什么值得買(mǎi)”采用的就是未加密的“http”協(xié)議。因此理論上來(lái)說(shuō)，在跳轉(zhuǎn)之前的任意時(shí)間點(diǎn)，第三方都可以劫持用戶的數(shù)據(jù)，然后插在用戶和網(wǎng)站之間。

360的安全專家MJ表示：

如果黑客控制了你的網(wǎng)絡(luò)訪問(wèn)，可以篡改你的訪問(wèn)申請(qǐng)，比如把你導(dǎo)向一個(gè)假的“https://www.taoobao.com”通過(guò)這種方式可以劫持你的數(shù)據(jù)。

也就是說(shuō)，如果你通過(guò)網(wǎng)站跳轉(zhuǎn)而訪問(wèn)安全網(wǎng)站，第三方可以用這種方式繼續(xù)劫持你的流量。當(dāng)然這些都是理論上的可能了，運(yùn)營(yíng)商幾乎沒(méi)有可能做出這么低劣的行徑。

結(jié)論是：“花錢(qián)”

總之，這些互聯(lián)網(wǎng)企業(yè)與其聯(lián)合起來(lái)討伐運(yùn)營(yíng)商，倒不如花點(diǎn)時(shí)間和金錢(qián)把自己的“錢(qián)包”加固，讓別人無(wú)從下手。總而言之一句話：

不能讓運(yùn)營(yíng)商有哪怕一秒鐘的時(shí)間接觸到你的明文數(shù)據(jù)。

說(shuō)到這里，似乎解決的方法已經(jīng)很明朗了，就是對(duì)網(wǎng)站協(xié)議進(jìn)行“https”改造。然而，這種改造涉及人員、服務(wù)器、技術(shù)的全面升級(jí)?！斑^(guò)來(lái)人”阿里巴巴稱這種改造成本為“巨資”，可見(jiàn)即使對(duì)于阿里這種土豪來(lái)說(shuō)，改造網(wǎng)絡(luò)協(xié)議都是昂貴的。

再來(lái)看看這六家聲討運(yùn)營(yíng)商的企業(yè)：小米、今日頭條、美團(tuán)大眾點(diǎn)評(píng)網(wǎng)、360、騰訊、微博。就財(cái)力而言應(yīng)該都可以實(shí)現(xiàn)加密傳輸?shù)母脑?。尤其是騰訊，本該混跡于BAT行列的它，看到百度和阿里都進(jìn)行了協(xié)議升級(jí)，不知內(nèi)心是否煎熬。

說(shuō)了這么多，結(jié)論只有一個(gè)：

想要優(yōu)雅地避免運(yùn)營(yíng)商耍流氓，就需要大把地花銀子。

俗話說(shuō)，能用錢(qián)解決的問(wèn)題，都不是大問(wèn)題。為了爭(zhēng)口氣，花點(diǎn)錢(qián)算神馬！你們說(shuō)呢？

【圖片為雷鋒網(wǎng)制作，僅供娛樂(lè)】

參考閱讀：《HTTP必死：Google是怎么考慮安全的？》

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。