360 要发行自己的根证书了,查了一下,貌似 360 是伪装 Chrome 的.....
1
mayx 2018-12-18 19:55:11 +08:00
360 想多了,不可能有什么用,360 浏览器能有多少用户也敢这么干
|
2
honeycomb 2018-12-18 20:28:53 +08:00 via Android
revokeChinacert,hosts 都上
|
4
CallMeReznov 2018-12-18 20:37:20 +08:00
360 现在是国家队.不过这个产品我感觉最终的结局会和 360"免杀白名单"一样被点草
|
5
iwtbauh 2018-12-18 20:42:49 +08:00 5
我的个人站都是直接屏蔽这些浏览器
location / { if ($http_user_agent ~* (MSIE|360SE|360EE|MetaSr|MQQBrowser|QQ|TIM|MicroMessenger|WeiBo|UCWEB) ) { return 403; } .... } 起一个智(di duan)商(ren kou)过滤器的作用 你要是只屏蔽 360 保留 360SE 和 360EE 即可 |
6
des 2018-12-18 20:55:46 +08:00 via Android 2
网页里面放个用了 360 根证书的网站资源,检测到这个资源就给加个 cookie,然后就可以定点爆破了
|
7
nolo 2018-12-18 20:59:50 +08:00 via Android
@iwtbauh 360 的 ua 很早就伪装成 chrome/ie,已经无法通过 ua 识别 360 浏览器
|
8
mayx 2018-12-18 21:59:19 +08:00
刚刚百度了一下:
``` var is360 = window.showModalDialog&&window.chrome; ``` 试试这个? |
9
iwtbauh 2018-12-18 22:08:06 +08:00 via Android
|
11
iwtbauh 2018-12-18 22:19:32 +08:00 via Android
|
12
xfspace 2018-12-18 22:21:08 +08:00 via Android
360 搞一套独立 Windows 证书管理系统的证书管理系统么
Firefox 的方式 360 没有资格过系统预置 CA 的么 |
14
SunnyLyx 2018-12-18 23:04:48 +08:00 via Android
来自网络。
沃通 由 王高华、张千夫、某个奇虎 360 全资的子公司 三方一起合资成立 |
15
XiaoXiaoNiWa 2018-12-18 23:10:37 +08:00 via Android 1
我不知道楼上屏蔽 360 UA 访问除了自慰有什么用
为黑而黑显得很无脑 |
16
XiaoXiaoNiWa 2018-12-18 23:14:21 +08:00 via Android
只要 CA 不乱签发、吊销证书,就是可信的
每个人都有自己的用户体验,使用什么浏览器应该是用户自己的权利 |
17
C2G 2018-12-18 23:23:00 +08:00 via Android 7
@XiaoXiaoNiWa #16 作为内容 /服务提供商,选择什么样的用户也是自己的权利。
|
18
LanFomalhaut 2018-12-18 23:30:36 +08:00
..学别人给自己家浏览器内置 CA 信任管理
|
19
XiaoXiaoNiWa 2018-12-18 23:33:46 +08:00 via Android
@C2G 有道理。接受批评,谢谢。
|
20
C2G 2018-12-18 23:55:47 +08:00 via Android 1
360 安全浏览器的 help 有个内核控制标签说明。可以根据这个来固定并判断 ua。距其页面称,该功能已于所有的 360 浏览器中实现。
https://browser.360.cn/se/help/kernel.html 根据这个获取 360UA 然后就简单了。 360 极速已经有 Chromium69 内核版本了,最简单粗暴就是如果 UI 不是其他国产浏览器且内核< 70 版本直接 ban |
21
annoy1309 2018-12-19 01:00:06 +08:00
@C2G 根据我的统计(我日访问大概 3wPV,小站),国内大量 Chrome 用户由于某 wall 的存在,无法自动更新,大量版本 6x,甚至 5x 的存在( 5x 的版本也不过 17 年的事情)。主要来源是国内各大 PC 应用市场,傻瓜化系统镜像
如果小于 70 就 ban,基本就是这两个月没更新过 Chrome 就得 ban 掉呀,印象中今年 10 月才发布的正式版 70 啊 |
22
moult 2018-12-19 02:22:38 +08:00 via iPhone
单独准备一个废域名,去 360 申请签发一个域名证书,然后 ajax 请求那个域名,能请求通,证明信任 360 的根证书,自然也就是用 360 的产品访问了。
|
23
binux 2018-12-19 02:32:36 +08:00
|
24
C2G 2018-12-19 06:46:40 +08:00 via Android
@annoy1309 #21 我的意思是,收集除了 360 的其他常用浏览器 UA,如果没在这个 UA 表里,且访问时的 Chrome 版本< 70 则 ban 访问
|
25
iwtbauh 2018-12-19 07:45:35 +08:00 via Android
|
26
winddweb 2018-12-19 08:37:57 +08:00
你们讨论了半天,应该去 GitHub 上开个开源项目「如何屏蔽 360 浏览器访问」
|
27
keinx 2018-12-19 10:12:20 +08:00
说了这么多,来发出来你们屏蔽 360 浏览器的网站项目呀,别停留在贴代码的状态来自慰了可以吗?
对要一直屏蔽下去,不要发出来的时候屏蔽,过不了多久又取消屏蔽! 立贴为证 3 年后看看发出来的屏蔽 360 浏览器的网站项目是不是还屏蔽着 360 浏览器或者说早就网站挂了,域名都已经没有续费了。 |