9-09 13,658
出現原因
周末時段,某位vcb-s網站組新手(嗯,就是我了)在調試nginx時不慎在編輯conf時添加了下面一行代碼,導致在 北京時間9月8日下午3時附近開始,北京時間9月9日8時30分前,訪問過主站(https://www.vcb-s.com)的瀏覽器都會記錄一條錯誤的安全設置指示:vcb-s下所有域名均強制啟用https,不允許例外。
add_header Strict-Transport-Security "max-age=15768000; includeSubDomains" always;
但由於vcb-s論壇的https升級尚在籌備之中,故導致了用戶瀏覽器被強制跳轉到https協議訪問通道但論壇本身並未做相關處理而無法訪問。
暫時解決辦法
目前主流瀏覽器分兩類,故解決辦法也分兩類
一. Chrome 系(包括qq瀏覽器,百度瀏覽器,360瀏覽器等)
1. 退出關閉當前瀏覽器
2. 打開鏈接 chrome://net-internals/#hsts
3. 在 Query HSTS/PKP domain 處鍵入 vcb-s.com
4. 若查詢結果顯示為 found,則進行下一步;如顯示 Not found 則可以直接訪問
5. 在 Delete domain security policies 處鍵入 vcb-s.com,敲擊回車
6. 重啟瀏覽器,你理應可以正常訪問vcb-s論壇
二. Firefox
1. 退出關閉火狐瀏覽器
2. 打開鏈接 about:support
3. 找到 Profile Folder,點擊 打開文件夾
4. 退出火狐瀏覽器
5. 找到 SiteSecurityServiceState.txt 文件
6. 右鍵編輯,或使用你熟悉的文本編輯器打開,找到 帶 vcb-s.com 行 ,刪除
7. 保存,關閉文件夾並打開火狐瀏覽器,你理應可以正常訪問vcb-s論壇
部分firefox用戶反映手動清空firefox所有歷史記錄包括cookies等 也是可以的,如果對歷史記錄並不在意的話清空歷史數據也可以達到目的。
注意,這條措施對chrome無效。
三。edge
網上並未找到edge清理hsts的辦法。
據嘗試,所有瀏覽器在無痕(隱私)模式下均可正常訪問,如遇到上訴措施無法幫助到您的情況下,可嘗試使用無痕(隱私)模式訪問vcb-s論壇。
現在是否還會添加該條錯誤的安全指示?
已經移除該設定,用戶可正常訪問。
2019-09-10補充:
如遇到按照以上設置後仍出現“訪問主站後論壇就進不去了”的情況,可以嘗試以下步驟
一。chrome
- 右鍵菜單中選擇 開發者工具/查看元素/檢查,以打開瀏覽器的開發者工具
- 切換至 Application ,點擊 Clear site data
- 退出、重啟瀏覽器,正常進行前文所述的hsts標記清理步驟
二。Firefox
參照官方文檔:怎么清除缓存
不好意思,現在使用Chrome訪問 bbs.vcb-s.com ,想登入時都會卡在需要驗證我不是機器人的畫面,即使通過驗證,登入依舊會失敗,請問該如何解決呢?(試過上述文章的方法了)
這個跟上文應該沒有關係,論壇那邊的網絡我不太了解。
論壇以前沒改頭像的用戶現在發不了貼,無法回復,私信,而且現在改了仍然提示“抱歉,您需要設置自己的頭像後才能進行本操作”,清cookie重新登錄也不行,已經好幾天了仍然不行,留言板那裡也有人反映,希望解決一下
下面是截圖:
https://s1.ax1x.com/2020/03/27/G9XXqg.png
https://s1.ax1x.com/2020/03/27/G9Xxaj.png
感謝,已經修好了
現在論壇 域名被劫持了嗎,我點擊變成其他網站
現在又好了, ❓
不行
具體表現是?
是指搞完之後論壇還是跳轉到https協議導致訪問不到
還是操作完之後一時能訪問但過一段時間又不行了
卡巴斯基報毒,能不能解決一下。。。
卸載卡巴斯基
卡巴斯基>左下角設定>進階>威脅和排除項目設定>管理排除項目>新增>在物件那欄填上「HEUR:Trojan.Script.Generic」>新增
先暫時規避一下吧^^
關於那個事情我在論壇那邊已有回復。這邊簡單再複述一下就是:
HTML5時代網頁沒什麼東西可以讓卡巴斯基查殺的。
js可以做的東西少之又少,只有flash時代才會有各種奇葩的病毒因為flash是獨立的體系。請放心瀏覽。
更新:
有熱心網友已經提出了被卡巴斯基黑名單的代碼,該代碼已經移除。可以看一下現在還有沒有報毒。
不是有js挖礦腳本嗎,還有Intel爆出的一系列漏洞有可能被用來虛擬機逃逸,而js大概是最為普及的虛擬機應用了吧。
挖礦腳本太明顯了,看一下cpu使用率就知道了
據計算,挖礦腳本收益不如放廣告,除非你碰到的是一堆殭屍訪問量。
沙箱逃逸漏洞太難用了,而且修得也快,等公布 PoC 已經修完了,何況對於此類攻擊,白嫖黨本來就已經是低價值目標了,除非是日本官員依法入侵設備,大概對上傳者影響較大(版權因素+日本官員入侵家用設備合法)?
目前 Web 大環境的主要攻擊,大概是網絡釣魚和挖礦腳本,以及一些還沒來得及修復的底層沙箱逃逸漏洞。但相應的:
1、UGC 太普遍,網絡釣魚無法避免,至少上 NLP 才行,至於仿造,常見的被仿網站可以專門做判斷,但如果是小眾如 reimu.net 被仿,大概只能去廣域爬蟲校驗了(意思是,用搜索引擎手氣不錯一下頁面內的長段文字),要是 exhentai 這種被仿,甚至沒什麼辦法確認。
2、挖礦腳本要麼太明顯,要麼沒什麼收益,或者兩者兼有,據計算,相同的瀏覽量挖礦腳本收益甚至不如放廣告,屏蔽廣告的恐怕也不是那麼容易被挖礦腳本的人。
3、目前的沙箱逃逸漏洞太難使用了,Spectre、Meltdown、Rowhammer,一個比一個難用,投入太大,還是那句,不如放廣告。
至於反瀏覽器指紋(fingerprinting)檢測,我覺得是沒有的,太難做,還要偽造操作習慣。
成功解決 吃瓜看祭天組員 😎
已解決~
訪問錯誤的長期解決辦法:論壇增加https支持
手機chrome進不去了。。按照設置也沒用
你或許需要對瀏覽器做一次緩存清理。在右上角點點點按鈕的菜單裡邊有一項隱私設置,進去後選擇清理緩存,再按chrome解決辦法走一次
祭天 😛
已解決!(按:瀏覽器為chrome。)
我是chrome DEV版,一切正常,2邊都可以登錄。
已解決,chrome
話說都登陸不了,還怎麼留言 😯
主站可以登錄,不影響
我用的瀏覽器是Google Chrome,按這篇文章的方法做了之後,能打開字幕論壇,但是關了瀏覽器之後再過一段時間後又打不開字幕論壇了,貌似是又添加了那條錯誤的安全設置指示,不知道是不是我自己的問題emmm
可以考慮參考文章尾部的的緩存清理說明。
如情況還是存在可以記錄以下訪問過主站的那些鏈接,在回復里貼一下,我手工排查是否還有漏網之魚。
感謝 按文章尾部的的緩存清理說明操作之後已解決問題
一看到老哥你這ID我就想到了Lost River,都怪那些沙雕網友
如還有訪問問題可以留言本文章,這幾天我都會盡量看評論。
請教一下,我清理了 Safari 的緩存後可以打開論壇,但一旦登錄主站,論壇立刻無法打開,該如何解決呢
目前管理員面板還在搶救當中,除了管理員面板外的請求應該都是乾淨的了。
管理端面板已經搶救完成,如有出現那應該是本地緩存的原因了。參考文章尾部
辛苦啦,已恢復正常~
辦法很有效 已解決 我是Chrome瀏覽器