微博凭空自动关注和点赞 使用HSTS强制HTTPS加密避免变“傀儡”

微博作为时事热点的最前沿的,备受许多用户的喜欢,但是很多微博用户都有过同样的遭遇,那就是自己的微博账号在不知情的情况下自动关注了博主或给微博点赞的问题,很多用户想不明白,自己明明没有过这些操作,甚至微博都没有打开,为什么每次上线自己关注的人就无缘无故多出了几十个营销号,还点赞了几十条看都没看过的微博。
面对这种情况,用户只能被迫挨个将这些凭空出现的关注和点赞取消,但是每次取消后下一次又会再一次出现,这给许多微博用户带来非常不好的体验。
出现这种情况的原因
一般来说,微博账号在不知情的情况下自动关注博主或点赞微博无非以下三个原因:
1、用户的微博账号密码被窃取,被他人登录操作造成的;
2、用户使用第三方客户端登陆微博账号,第三方客户端在拿到微博的访问令牌后,然后权限被滥用;
3、在使用浏览器访问PC版微博时,在登录账号的时候cookies被泄露了。
在此之前,微博安全中心也向用户给出了安全建议,比如:建议用户更换密码、升级客户端、设置登录保护、清除第三方应用权限等等,但即时用户按照微博安全中心的建议尝试进行这些操作后,依旧无法完全解决问题,上述情况依然会发生。
虽然微博已经启用HTTPS加密,但是我们在使用微博时其他人发给你的链接有可能是使用HTTP的链接。当部分请求由HTTP站点使用301跳转到HTTPS时,这个HTTP请求仍然会带上浏览器在微博域下的所有cookie。这样一来,用户在登录账号后在某个特定场景访问到HTTP的微博链接时,仍然可能遭遇cookie劫持。
解决方法
对于微博用户来说,目前比较简单的解决方法就是在浏览器预置HSTS域名列表,目前谷歌、火狐或IE浏览器均支持该功能,用户将微博的域名加入预载入列表,就能强制浏览器仅使用HTTPS加密访问,减少被劫持的可能。
HSTS全称为HTTPS严格传输安全协议,网站选择使用HSTS后,能够强迫浏览器只使用HTTPS连接与网站进行信息交互,但是对于HSTS生效前的首次HTTP请求,仍然存在使用明文而被劫持的可能,所以我们可以通过浏览器预置HSTS域名列表来解决,事先在浏览器内预置一份列表,当用户访问列表中的域名时,即使用户是第一次访问,浏览器也会使用HTTPS协议。
当用户将微博主域名添加到HSTS预载入列表中后,如果浏览器在访问微博域名时检测到使用HTTP的链接,就会直接跳转到 HTTPS,避免遭受cookie劫持。
-
Cloudflare实战指南:企业级密钥交换算法配置白皮书
SSL证书密钥交换机制主要用于在客户端和服务器之间安全地交换密钥,以确保通信的保密性和完整性。以下是SSL证书密钥交换机制的详细介绍:一、密钥交换的基本原理密钥交换的核心目的是让通信双方(通常称为客户
-
证书链不完整致瘫网站?华为/腾讯云工程师亲授修复秘笈
SSL证书链不完整可能导致浏览器提示证书错误或无法建立安全连接。以下是修复SSL证书链不完整的详细介绍:检查证书链完整性使用在线工具检查:可以使用一些在线的SSL证书检查工具,如SSL Server
-
TLS 1.3时代来临:SSL证书算法如何匹配新一代协议?
选择SSL证书加密算法时,需要考虑多个因素,包括安全性、性能、兼容性和合规性等。以下是一些选择SSL证书加密算法的要点:常见的SSL证书加密算法RSA:RSA是一种广泛应用的非对称加密算法,通过公钥和
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- FileConverter开源、免费、功能强大的文件格式转换工具。
- Windows 开发不完全指南:程序开发与逆向分析相辅相成
- 华为完成首次6GHz频谱试验;iPhone 支持 Siri 操作关机;Gitlab 禁止使用 Windows|极客头条
- CTF实战练习Cmcc_simplerop
- Qualcomm招聘|高通在这里,等待闪闪发光的你
- 华为2022届应届生全球招聘
- 骁龙定制剧本杀《消失的NPC》明日上线!速来get独家攻略
- 小米11 Ultra体验报告:全主摄超大底影像先锋
- 好消息!Win 10文件历史记录备份故障解决了
- 堪称神器的命令行工具系列——curl
- Flink 在又拍云日志批处理中的实践
- 当音乐博士开始写代码...