公安部网安局公众号近日发文:
2023年6月,北京市公安局网安总队发现北京某单位二级页面显示博彩网站内容。
经进一步核查,事件的起因系该单位主页上链接到其签约广告商的链接域名停用后,被一博彩网站抢注,致使通过互联网访问该域名时,显示为博彩网站页面,造成了不良影响。
针对该情况,北京公安网安部门根据《中华人民共和国网络安全法》等相关规定,对该单位相关负责人进行了约谈,并责令该单位对以上问题立即整改。
公安机关郑重提示:
各网络运营者,尤其是新闻类网站,要进一步完善第三方外链的管理工作,尤其是自动跳转的广告链接。
在页面发布流程中严格审查内容,定期开展专项检查,及时下线到期、失效的第三方链接。
要进一步提升对第三方链接的实时监测能力,及时发现黑链等页面异常情况,有效开展处置工作。
要进一步完善应急处置预案,发现突出情况第一时间处置,尽快消除影响,并将相关情况报送公安机关。
其实,除了以上域名到期后被抢注导致访问该域名时,显示为博彩网站页面,还有一种情况也会导致页面跳转成另外一个未知页面的情况,那就是被流量劫持!
什么是浏览器劫持?
浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。
HTTPS 如何预防流量劫持
由于 HTTPS 足够安全,且无法伪造,因此一般劫持者不会选择运营商下手。
01DNS 劫持
实际上 HTTPS 并不能预防 DNS 劫持,但是由于用户访问页面会空白或者显示网页 HTTPS 不正常,此时会找运营商投诉,因此一般运营商对 DNS 劫持比较慎重,HTTPS 反而是安全的。
02HTTP 劫持
事实上,劫持者一般会直接放行 HTTPS 流量,劫持 HTTPS 网页并不能让用户端显示正常的网页内容。
03预置证书
像一些公司,网吧会强制预置根证书,配合网关达到 HTTPS 劫持的目的。(此方式只能通过 解析 CAA 记录解决劫持,但网页显示空白)。
不同于简单的HTTP代理,HTTPS 服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户会选择关闭页面,所以网站证书需要选择权威CA机构颁发。
这里所说的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构;在中国还要附加一项,就是要拿到工信部许可的CA牌照;这样的CA机构,才有权利签发各类数字证书。
当前,HTTPS依然是非常有效的流量劫持防范措施之一,无论是网络服务提供商还是广大网民,为保障自己的帐户安全和个人权益,都要形成使用HTTPS访问网站的习惯和意识,重要的网站更要及时部署权威机构颁发的SSL证书,才能确保网站关键数据的安全和完整。
热门跟贴