遇到我上次那个广告问题





iOS fly ~

还玩微博呢

新浪这恶心也不是一天两天了，今经常偷偷摸摸给你加营销号！

其实不是微博官方给你关注乱七八糟的账号，而且你登录后的token或者cookies被运营商拦截了，然后可以做的事就太多了

回复3#Macd10

不是微博干的HiPDA·NG

关注的微博不按时间轴排序、两条微博之间夹带广告、评论里夹带广告、一些自媒体营销号…真心不如看头条 iOS fly ~

那是谁干的？难道我的微博被人黑了？ iOS fly ~

愿闻其详！

这么说Twitter也不安全？

其实大部分的网络服务都不安全，你要连接服务器，就需要带上token让服务器知道你的身份，特别是现在广泛应用的OAuth2协议，那中间环节就有获得这个token的可能性。

https能解决这个问题吗？

回复4#cuqk
现在都是https的 怎么可能拦截

我能说很多年以前我就预见过会有这么一天吗。
有一些人自身就是那个情况，所以不免要遭喷。而人都是一样的，无论什么原因挨怼到一定程度必然会反击。

回复12#linkwood

https也不是完全安全的。而且OAuth2协议，access token就是直接附加在url上。

回复14#cuqk
https 对于运营商来说地址是加密的，你怎么拿到。

开玩笑呢 iOS fly ~

貌似广告是唯一能变现的东西 iOS fly ~

想法不错啊，广告做到明星那里去
你说他们拍戏需要手机厚电这种吗

一直只用网页版
总是发现渣浪 偷偷给我关注人

很久不登录的微博账号被谁拦截的呢？ ios fly～

没太明白你所说的“地址是加密的”，是什么意识，特别是这个“地址”指的是什么

必须需要，快去吧

回复20#cuqk
就是说url是加密的，作为管道的运营商不可能拿到，那么token更不可能拿到。

所以你在开玩笑 iOS fly ~

那个来去之间，整天就知道到处蹭热点，要么就是装无辜，正事从来不干

错字病句标点符号看得真难受 iOS fly ~

营销号无孔不入，我不信微博没关系 推推送送

回复22#ljq29
他就是随口一说，真有证据运营商干能干这个事，爆炸性只比之前的垃圾短信的威力更大 iOS fly ~

如果你指运营商拿到的https请求的url参数是加密后的，那你可以在电脑上用Fiddler抓包，然后访问https网站，看抓取到的是否为加密后无法识别的url。
如果你指的是页面js会对url参数加密后再访问服务器，那既然js能对url参数加密，加密方法就应该是在js文件中，要逆向加密算法也就没什么技术问题了。

https的本意是让通过post请求（非get）请求的请求体内容（非url参数）加密传输，让中间环节即使获取也无法解密，但之前已经前新闻，论坛里也有帖子，中间运营商通过强制替换https证书的方式，解密https，从而截取内容。


另，OAuth2协议的方式就是把access token附加在url中作为url参数。


所以我是认真的，不是开玩笑。

回复27#cuqk
fiddler不导入证书到系统的话不可能抓到url iOS fly ~

回复27#cuqk
非对称加密了解一下... iOS fly ~

回复27#cuqk
中间人攻击需要在本机安装证书 iOS fly ~

我都说了这么些细节的东西，非泛泛而谈，你怎么还会觉得我不了解https使用了非对称加密呢。

Fiddler不导入证书，可以抓，但没法解开其中请求包体的内容，所以运营商才会使用强制替换https证书的方式，这时候证书都是运营商的证书，非服务提供商的证书
不管解不解开包体内容，URL参数都是明文，页面发起的请求参数是怎么样的，中间抓取环节都能完整明文看到。

所以获取token对于运营商而言真不是什么难度。

真要再提升安全级别，APP和服务器通过自定义的协议交互，但在网页版是不能指望这种功能了。

1. 我记得oauth2的token是放在后台的吧，只有code是放在url里的，而code是一次性的。
2.fiddler抓包要信任证书HiPDA·NG

回复32#aaa333ddd

OAuth2的内容，可以看看这篇文章：http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html请求到令牌（access token）后，令牌不是一次性的，后续的交互都需要使用令牌。

Fiddler抓包，可以看看我上面一个回复

回复31#cuqk
除非中间人攻击 https 怎么破解你告诉我？

运营商惯常用的 是 劫持 http 和 dns污染，弹小广告啥的。

中间人攻击必须要你浏览器里有运营商掌握的证书，不然怎么攻击？

这类证书一般采用垃圾软件的形式附带分发

iOS fly ~

回复31#cuqk
还有token就算在请求参数里，你能看道又怎么样？ 说了有非对称加密呀！

运营商有新浪的私钥么？ iOS fly ~

上面的回复已经说了，运营商替换https请求的证书，这就已经是中间人攻击了。如果你非要问我再具体的细节，问我运营商是怎么做到，那我也确实不知道。

真的，你先看看OAuth2协议吧。


我们的讨论就此结束吧

我也遇到这个问题，取消关注也好，拉黑也好，反正大家说的招式都用了一遍，完全没有，我只好删掉app不用了。没想到大明星也会受这个影响。 眉头仍布满密云

oauth2 是三方认证，url里只有一次性临时code

token是在payload或者https only cookie里的

post请求需要csrf

证书级操作需要在双端本机完成

这些都是基本的安全措施，这都能随意攻破，互联网账号早就满天飞了

URL中的access_token是临时的，但非一次性的，所以才会有access_token过期及重新获取access_token的概念和操作。
关于这个https破解劫持和OAuth的讨论，不继续了。

回复38#mijuu
支持兄弟 打脸，真的楼上不太了解大家讨论下，搞得就他一个人懂似得... iOS fly ~

我回看了我在这个帖子里的所有回复，从第一个回复开始，我回复的内容都是把要表达的内容直观直接地说了出来，而没有故弄玄虚说一半不说一半。
且我认为我的所有回复是礼貌的。

如果讨论的结果确实是我的知识点是错误的，我也会更新我的知识点。

但你从一开始就带不太客气的回复，且反复说“你是开玩笑的吧”这类话语，现在又抱团要打脸，是因为自己的知识量不足，看到一个能说出一个123的指出我的知识有错误的回复，所以特别亲切么？

讨论而已，没必要非要得出个输赢。

access token是双服务端操作，这要内鬼才能拿到。

还不能取消。最恶心就是这个，所以微博没落得很快，普通用户流失巨大。 iOS fly ~

不太了解你所说的双服务端 操作是什么概念。
客户端向服务端请求到了access_token后，后续的数据请求，都需要加上access_token。运营商在中间拦截获取获取了这个access_token，就能伪造客户端的身份。这跟服务端的内鬼并无关系

如果你客户端使用到了access token ，那说明你oauth2 使用方法错了，这东西不是给客户端用的，请使用你们自己的token 来完成用户验证

d版不少人心态不对

喜欢b乎那套不少

回复41#cuqk
抱歉最近脾气有点爆 iOS fly ~

蔡徐坤粉丝干的 iOS fly ~

虽然你道歉了但我还是认为我的技术观点是正确的哈哈哈哈