微博賬戶被盜贊或被動(dòng)加關(guān)注的問題，可能很多用戶都遇到過，每天都會(huì)發(fā)現(xiàn)自己的賬戶莫名其妙關(guān)注或點(diǎn)贊了幾十個(gè)營(yíng)銷號(hào)、廣告號(hào)、明星號(hào)的微博，挨個(gè)取消被盜的關(guān)注和贊，竟然成了日常最主要的微博操作，很多用戶對(duì)此感到不厭其煩。

原因分析

從技術(shù)上看，能夠給微博賬號(hào)加關(guān)注或盜贊的途徑通常有：1、微博賬戶被盜，能夠被別人直接登錄；2、使用第三方客戶端等，可以通過微博開放平臺(tái)OAuth拿到access token，然后權(quán)限被濫用；3、在瀏覽器上使用web版微博登錄時(shí)，cookies被泄露了。

對(duì)此，微博安全中心也曾給過一些安全建議，比如：建議用戶更換密碼、升級(jí)客戶端、設(shè)置登錄保護(hù)、清除第三方應(yīng)用權(quán)限等等，但是不少用戶按照建議完成這些操作后，被盜贊的問題仍然存在。

在對(duì)不同客戶端、web端的訪問情況進(jìn)行分析后我們發(fā)現(xiàn)，雖然微博已經(jīng)啟用HTTPS加密?很多開放平臺(tái)的接口也使用HTTPS加密，但你的瀏覽器書簽、別人發(fā)給你的鏈接、舊的外鏈、其他應(yīng)用生成的鏈接都可能還是 HTTP 的。當(dāng)部分請(qǐng)求由HTTP連接301跳轉(zhuǎn)到HTTPS時(shí)，這個(gè) HTTP 請(qǐng)求仍然會(huì)帶上瀏覽器在 weibo.com 域下的所有 cookie。這么一來，當(dāng)用戶登錄后在某個(gè)特定場(chǎng)景訪問到HTTP的微博鏈接時(shí)，仍然可能遭遇cookie劫持，清除授權(quán)或修改密碼也沒有用。

解決方法

通過給 cookie 設(shè)置 secure 或者在服務(wù)器端設(shè)置 HSTS（HTTP Strict Transport Security） 也能解決這個(gè)問題，但是微博服務(wù)器端的設(shè)置是用戶無(wú)法控制的，作為用戶還有沒有什么辦法解決這個(gè)問題呢？沃通CA（www.wosign.com）建議：比較簡(jiǎn)單的做法就是，用戶在Chrome瀏覽器手動(dòng)設(shè)置HSTS預(yù)載入列表（preload list），將微博域名加入預(yù)載入列表，強(qiáng)制HTTPS加密訪問。

HSTS代表的是HTTPS嚴(yán)格傳輸安全協(xié)議，它是一個(gè)網(wǎng)絡(luò)安全政策機(jī)制，能夠強(qiáng)迫瀏覽器只通過安全的HTTPS連接（永遠(yuǎn)不能通過HTTP）與網(wǎng)站交互，這能夠幫助防止協(xié)議降級(jí)攻擊和cookie劫持。但是對(duì)于HSTS生效前的首次HTTP請(qǐng)求，依然無(wú)法避免被劫持，瀏覽器廠商們?yōu)榱私鉀Q這個(gè)問題，提出了HSTS Preload List（預(yù)載入）方案：內(nèi)置一份可以定期更新的列表，對(duì)于列表中的域名，即使用戶之前沒有訪問過，也會(huì)使用HTTPS協(xié)議。Chrome運(yùn)營(yíng)了一個(gè)HSTS 預(yù)載入列表，大多數(shù)主流瀏覽器Firefox, Opera, Safari, IE 11 and Edge也都有基于Chrome列表的預(yù)載入列表。

在Chrome瀏覽器設(shè)置HSTS預(yù)載入列表的方法是：

在 Chrome 里打開 chrome://net-internals/#hsts

Add domain中增加微博主域名

Query domain中能查詢到就可以了

在HSTS預(yù)載入列表中加入微博主域名后，Chrome再遇到HTTP的微博連接，會(huì)直接在瀏覽器內(nèi)部就跳轉(zhuǎn)到 HTTPS，確保請(qǐng)求從一開始就加密，保證通訊安全，防止cookie劫持、SSL Strip中間人攻擊，您可以通過Chrome開發(fā)者工具對(duì)此進(jìn)行驗(yàn)證。

總結(jié)

以上是生活随笔為你收集整理的你的微博也被盗赞？试试HSTS强制HTTPS加密的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。