出現原因

周末時段,某位vcb-s網站組新手(嗯,就是我了)在調試nginx時不慎在編輯conf時添加了下面一行代碼,導致在 北京時間9月8日下午3時附近開始,北京時間9月9日8時30分前,訪問過主站(https://www.vcb-s.com)的瀏覽器都會記錄一條錯誤的安全設置指示:vcb-s下所有域名均強制啟用https,不允許例外。

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains" always;

但由於vcb-s論壇的https升級尚在籌備之中,故導致了用戶瀏覽器被強制跳轉到https協議訪問通道但論壇本身並未做相關處理而無法訪問。

暫時解決辦法

目前主流瀏覽器分兩類,故解決辦法也分兩類

一. Chrome 系(包括qq瀏覽器,百度瀏覽器,360瀏覽器等)

1. 退出關閉當前瀏覽器
2. 打開鏈接 chrome://net-internals/#hsts
3. 在 Query HSTS/PKP domain 處鍵入 vcb-s.com
4. 若查詢結果顯示為 found,則進行下一步;如顯示 Not found 則可以直接訪問
5. 在 Delete domain security policies 處鍵入 vcb-s.com,敲擊回車
6. 重啟瀏覽器,你理應可以正常訪問vcb-s論壇

 

 

 

二. Firefox

1. 退出關閉火狐瀏覽器
2. 打開鏈接 about:support
3. 找到 Profile Folder,點擊 打開文件夾
4. 退出火狐瀏覽器
5. 找到 SiteSecurityServiceState.txt 文件
6. 右鍵編輯,或使用你熟悉的文本編輯器打開,找到 帶 vcb-s.com 行 ,刪除
7. 保存,關閉文件夾並打開火狐瀏覽器,你理應可以正常訪問vcb-s論壇

部分firefox用戶反映手動清空firefox所有歷史記錄包括cookies等 也是可以的,如果對歷史記錄並不在意的話清空歷史數據也可以達到目的。

注意,這條措施對chrome無效。

 

 

三。edge

網上並未找到edge清理hsts的辦法。

 

據嘗試,所有瀏覽器在無痕(隱私)模式下均可正常訪問,如遇到上訴措施無法幫助到您的情況下,可嘗試使用無痕(隱私)模式訪問vcb-s論壇。

現在是否還會添加該條錯誤的安全指示?

已經移除該設定,用戶可正常訪問。

 

2019-09-10補充:

如遇到按照以上設置後仍出現「訪問主站後論壇就進不去了」的情況,可以嘗試以下步驟

一。chrome

  1. 右鍵菜單中選擇 開發者工具/查看元素/檢查,以打開瀏覽器的開發者工具
  2. 切換至 Application ,點擊 Clear site data
  3. 退出、重啟瀏覽器,正常進行前文所述的hsts標記清理步驟

二。Firefox

參照官方文檔:怎麼清除緩存

Project list / 作品項目列表

(image credit: Tiv) Online Docs / 在線表格 Google Sheet Notes / 注釋: UID / RS / RW / SP = 年月+序號 / 重發 / 重製 / 集中式補丁包 UID / RS / RW /...

阅读全文

關於禁止轉載本組作品至 U2 的聲明

即日起禁止將本組新老項目和作品搬運至 U2。 如發現搬運,請路過的遊客以本文為憑投反對或舉報。 有些與字幕組 / 其他 raw 組合作的番劇,如果用本組賬號發佈...

阅读全文

VCB-Studio 2020 夏季組員招募(已截止)

大家暑假快樂(暑假都快過完了),這次招新分流組提前發車啦。歡迎大家來分流組一起 battle。 由於最近觀察到分流組出現了流量不平衡的情況,老組員不斷退役...

阅读全文

36 条评论

  1. 不好意思,現在使用Chrome訪問 bbs.vcb-s.com ,想登入時都會卡在需要驗證我不是機械人的畫面,即使通過驗證,登入依舊會失敗,請問該如何解決呢?(試過上述文章的方法了)

    1. 卡巴斯基>左下角設定>進階>威脅和排除項目設定>管理排除項目>新增>在物件那欄填上「HEUR:Trojan.Script.Generic」>新增
      先暫時規避一下吧^^

    2. 關於那個事情我在論壇那邊已有回復。這邊簡單再複述一下就是:
      HTML5時代網頁沒什麼東西可以讓卡巴斯基查殺的。

      js可以做的東西少之又少,只有flash時代才會有各種奇葩的病毒因為flash是獨立的體系。請放心瀏覽。

      更新:
      有熱心網友已經提出了被卡巴斯基黑名單的代碼,該代碼已經移除。可以看一下現在還有沒有報毒。

        1. 據計算,挖礦腳本收益不如放廣告,除非你碰到的是一堆殭屍訪問量。
          沙箱逃逸漏洞太難用了,而且修得也快,等公布 PoC 已經修完了,何況對於此類攻擊,白嫖黨本來就已經是低價值目標了,除非是日本官員依法入侵設備,大概對上傳者影響較大(版權因素+日本官員入侵家用設備合法)?

      1. 目前 Web 大環境的主要攻擊,大概是網絡釣魚和挖礦腳本,以及一些還沒來得及修復的底層沙箱逃逸漏洞。但相應的:
        1、UGC 太普遍,網絡釣魚無法避免,至少上 NLP 才行,至於仿造,常見的被仿網站可以專門做判斷,但如果是小眾如 reimu.net 被仿,大概只能去廣域爬蟲校驗了(意思是,用搜索引擎手氣不錯一下頁面內的長段文字),要是 exhentai 這種被仿,甚至沒什麼辦法確認。
        2、挖礦腳本要麼太明顯,要麼沒什麼收益,或者兩者兼有,據計算,相同的瀏覽量挖礦腳本收益甚至不如放廣告,屏蔽廣告的恐怕也不是那麼容易被挖礦腳本的人。
        3、目前的沙箱逃逸漏洞太難使用了,Spectre、Meltdown、Rowhammer,一個比一個難用,投入太大,還是那句,不如放廣告。
        至於反瀏覽器指紋(fingerprinting)檢測,我覺得是沒有的,太難做,還要偽造操作習慣。

    1. 你或許需要對瀏覽器做一次緩存清理。在右上角點點點按鈕的菜單裡邊有一項隱私設置,進去後選擇清理緩存,再按chrome解決辦法走一次

  2. 我用的瀏覽器是Google Chrome,按這篇文章的方法做了之後,能打開字幕論壇,但是關了瀏覽器之後再過一段時間後又打不開字幕論壇了,貌似是又添加了那條錯誤的安全設置指示,不知道是不是我自己的問題emmm

    1. 可以考慮參考文章尾部的的緩存清理說明。
      如情況還是存在可以記錄以下訪問過主站的那些鏈接,在回復里貼一下,我手工排查是否還有漏網之魚。

欢迎留言

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据