出现原因

周末时段,某位vcb-s网站组新手(嗯,就是我了)在调试nginx时不慎在编辑conf时添加了下面一行代码,导致在 北京时间9月8日下午3时附近开始,北京时间9月9日8时30分前,访问过主站(https://www.vcb-s.com)的浏览器都会记录一条错误的安全设置指示:vcb-s下所有域名均强制启用https,不允许例外。

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains" always;

但由于vcb-s论坛的https升级尚在筹备之中,故导致了用户浏览器被强制跳转到https协议访问通道但论坛本身并未做相关处理而无法访问。

暂时解决办法

目前主流浏览器分两类,故解决办法也分两类

一. Chrome 系(包括qq浏览器,百度浏览器,360浏览器等)

1. 退出关闭当前浏览器
2. 打开链接 chrome://net-internals/#hsts
3. 在 Query HSTS/PKP domain 处键入 vcb-s.com
4. 若查询结果显示为 found,则进行下一步;如显示 Not found 则可以直接访问
5. 在 Delete domain security policies 处键入 vcb-s.com,敲击回车
6. 重启浏览器,你理应可以正常访问vcb-s论坛

 

 

 

二. Firefox

1. 退出关闭火狐浏览器
2. 打开链接 about:support
3. 找到 Profile Folder,点击 打开文件夹
4. 退出火狐浏览器
5. 找到 SiteSecurityServiceState.txt 文件
6. 右键编辑,或使用你熟悉的文本编辑器打开,找到 带 vcb-s.com 行 ,删除
7. 保存,关闭文件夹并打开火狐浏览器,你理应可以正常访问vcb-s论坛

部分firefox用户反映手动清空firefox所有历史记录包括cookies等 也是可以的,如果对历史记录并不在意的话清空历史数据也可以达到目的。

注意,这条措施对chrome无效。

 

 

三。edge

网上并未找到edge清理hsts的办法。

 

据尝试,所有浏览器在无痕(隐私)模式下均可正常访问,如遇到上诉措施无法帮助到您的情况下,可尝试使用无痕(隐私)模式访问vcb-s论坛。

现在是否还会添加该条错误的安全指示?

已经移除该设定,用户可正常访问。

 

2019-09-10补充:

如遇到按照以上设置后仍出现“访问主站后论坛就进不去了”的情况,可以尝试以下步骤

一。chrome

  1. 右键菜单中选择 开发者工具/查看元素/检查,以打开浏览器的开发者工具
  2. 切换至 Application ,点击 Clear site data
  3. 退出、重启浏览器,正常进行前文所述的hsts标记清理步骤

二。Firefox

参照官方文档:怎么清除缓存

Project list / 作品项目列表

(Image Credit: HOJI@pixiv) Online Docs / 在线表格 Google Sheet Notes / 注释: UID / RS / Rev / SP = 年月+序号 / 重发 / 重制 / 集中式补丁包 UID / R...

阅读全文

VCB-Studio 2024 秋季组员招募(已截止)

本次 2024 秋季招新面向整理组、压制组和发布组,欢迎大家踊跃报名。 入群方式 有意报名任意组的同学,请直接加群 873142259(QQ 可能出现搜不到的情况,...

阅读全文

VCB-Studio 支持 IEEE 的决定: 发布时禁止使用涩图 [愚人节快乐]

VCB-S 全心全意地支持 IEEE 的倡议,并热情地加入到他们促进多样性和性别平等的努力中。 At VCB-S, we wholeheartedly support the IEEE’s initiative ...

阅读全文

36 条评论

  1. 不好意思,現在使用Chrome訪問 bbs.vcb-s.com ,想登入時都會卡在需要驗證我不是機器人的畫面,即使通過驗證,登入依舊會失敗,請問該如何解決呢?(試過上述文章的方法了)

    1. 具体表现是?
      是指搞完之后论坛还是跳转到https协议导致访问不到
      还是操作完之后一时能访问但过一段时间又不行了

    1. 卡巴斯基>左下角設定>進階>威脅和排除項目設定>管理排除項目>新增>在物件那欄填上「HEUR:Trojan.Script.Generic」>新增
      先暫時規避一下吧^^

    2. 关于那个事情我在论坛那边已有回复。这边简单再复述一下就是:
      HTML5时代网页没什么东西可以让卡巴斯基查杀的。

      js可以做的东西少之又少,只有flash时代才会有各种奇葩的病毒因为flash是独立的体系。请放心浏览。

      更新:
      有热心网友已经提出了被卡巴斯基黑名单的代码,该代码已经移除。可以看一下现在还有没有报毒。

        1. 据计算,挖矿脚本收益不如放广告,除非你碰到的是一堆僵尸访问量。
          沙箱逃逸漏洞太难用了,而且修得也快,等公布 PoC 已经修完了,何况对于此类攻击,白嫖党本来就已经是低价值目标了,除非是日本官员依法入侵设备,大概对上传者影响较大(版权因素+日本官员入侵家用设备合法)?

      1. 目前 Web 大环境的主要攻击,大概是网络钓鱼和挖矿脚本,以及一些还没来得及修复的底层沙箱逃逸漏洞。但相应的:
        1、UGC 太普遍,网络钓鱼无法避免,至少上 NLP 才行,至于仿造,常见的被仿网站可以专门做判断,但如果是小众如 reimu.net 被仿,大概只能去广域爬虫校验了(意思是,用搜索引擎手气不错一下页面内的长段文字),要是 exhentai 这种被仿,甚至没什么办法确认。
        2、挖矿脚本要么太明显,要么没什么收益,或者两者兼有,据计算,相同的浏览量挖矿脚本收益甚至不如放广告,屏蔽广告的恐怕也不是那么容易被挖矿脚本的人。
        3、目前的沙箱逃逸漏洞太难使用了,Spectre、Meltdown、Rowhammer,一个比一个难用,投入太大,还是那句,不如放广告。
        至于反浏览器指纹(fingerprinting)检测,我觉得是没有的,太难做,还要伪造操作习惯。

    1. 你或许需要对浏览器做一次缓存清理。在右上角点点点按钮的菜单里边有一项隐私设置,进去后选择清理缓存,再按chrome解决办法走一次

  2. 我用的浏览器是Google Chrome,按这篇文章的方法做了之后,能打开字幕论坛,但是关了浏览器之后再过一段时间后又打不开字幕论坛了,貌似是又添加了那条错误的安全设置指示,不知道是不是我自己的问题emmm

    1. 可以考虑参考文章尾部的的缓存清理说明。
      如情况还是存在可以记录以下访问过主站的那些链接,在回复里贴一下,我手工排查是否还有漏网之鱼。

欢迎留言

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据