这是一个创建于 1723 天前的主题,其中的信息可能已经有所发展或是发生改变。
刚才发现百度搜索首页地址还是 http 的,以为是两种协议不强求,兼容使用。
当手动调整到 HTTPS,他自己又会跳转到 HTTP。
使用 HTTP 意味着所有在域下的操作都可以被中间人截取,包括搜索的关键词、浏览的痕迹、用户 COOKIE 等。
在 Chrome 中 HSTS 设置强制百度站点使用 HTTPS,就会出现在 HTTP => HTTPS => HTTP 无限重定向的结果。
只是个 HTTPS 而已,百度为什么不使用 HTTPS,哪怕给用户双向选择也好?
贴图
 |
1
ellermister OP 此等状况,发现已备案的 bing.com 会更好使一些,虽然一些中文搜索力不如百度。但也是内网状态下的取舍。
|
 |
2
wxsm 2020-02-28 16:42:31 +08:00  2
关注 https 的人都不用百度,用百度的不关注 https
|
 |
3
FaceBug 2020-02-28 16:44:29 +08:00
可能是国家安全需要?哈哈哈
|
 |
4
i0error 2020-02-28 16:45:39 +08:00 via Android 1
https://i.loli.net/2020/02/28/6JxSHKguEQFNCAG.png
不是你描述的这样额,是不是网络问题? |
 |
5
wtks1 2020-02-28 16:46:11 +08:00 via Android
没有啊,https 的百度一直使用正常
|
 |
6
SJ2050cn 2020-02-28 16:48:54 +08:00
为啥我输 http 百度直接跳转到 https 了
|
|
7
ellermister OP @i0error
https 会强制跳转到 HTTP 的,看这个图。( MD 不知道评论是否有效,无效参见链接)  地址: https://i.bmp.ovh/imgs/2020/02/2248565422e5e7fe.png |
 |
8
baiduyixia 2020-02-28 16:50:25 +08:00 3
百度早就强制跳转到 https 了呀
|
 |
9
PolyQY 2020-02-28 16:50:33 +08:00 via Android
你这应该是运营商或者什么人劫持了,你查看一下连接的 ip 是不是百度的。https 降级攻击是典型的中间人劫持操作。
|
 |
10
st2udio 2020-02-28 16:51:35 +08:00
我这里一直是强转 https
|
|
11
PolyQY 2020-02-28 16:52:11 +08:00 via Android
百度很多年前就跳转 https 了,是通过 html refresh 的方式。可能是为了减轻服务器压力。
|
 |
12
bk201 2020-02-28 16:52:27 +08:00
你浏览器被劫持了吧
|
 |
13
Osk 2020-02-28 16:54:03 +08:00
百度最神奇的是一些贴吧 https --> http , 反向操作是最 6 的
|
|
14
ellermister OP @PolyQY
>ping www.baidu.com 正在 Ping www.a.shifen.com [14.215.177.39] 具有 32 字节的数据 ipip.net 查看到的注册信息是:广东省广州市 北京百度网讯科技有限公司电信节点 |
 |
15
chanssl 2020-02-28 16:55:06 +08:00
我这边 https 正常来着
https://i.loli.net/2020/02/28/JscjEnobiHP5W3k.png |
 |
16
python35 2020-02-28 16:55:11 +08:00
我的输入 http 自动跳到 https。 我想起来我曾经装过一个改变浏览器 user-agent 的浏览器插件,后来访问百度就会被屏蔽了 https, 供楼主参考
|
|
17
PolyQY 2020-02-28 16:56:33 +08:00 via Android
@ellermister 我还是觉得你被劫持了,我这里四五年前就跳转 https
|
 |
18
starcraft 2020-02-28 16:57:33 +08:00 1
你应该没活在一个世界线。
|
 |
19
iasuna 2020-02-28 17:02:11 +08:00
百度 http 和 https 都可以用啊 没有强制 https 可以理解吧 毕竟国内 https 还有各种各样问题
|
 |
20
shansing 2020-02-28 17:04:33 +08:00
@PolyQY 楼主不是访问 https 而没有得到警告?除非楼主浏览器环境受到污染,HTTPS 是不能被劫持的吧?典型的降级攻击应该限于直接 http 访问。
|
|
21
ellermister OP 1
|
|
22
shansing 2020-02-28 17:15:49 +08:00
@ellermister 233333 能分享一下是修改为什么 UA 导致百度主动降级 HTTP 的吗?
|
|
23
ellermister OP 1
@shansing
我测试两个 IP,多余没去尝试。`大概`是境内 IP 访问会重定向。而境外 IP 不会? 指令: curl 'https://www.baidu.com/' -H 'User-Agent: PronHub' UA 随意填写不正规的都可以复现。 |
 |
24
hmzt 2020-02-28 17:35:41 +08:00
我还以为我用的是假的百度
|
 |
25
cabing 2020-02-28 17:38:24 +08:00
目前我电脑百度都是 强制 https 的
|
 |
26
also24 2020-02-28 17:41:37 +08:00
@ellermister #23
如果是 UA 导致,那也许可以理解为这是为了兼容旧版本的 IE 浏览器做出的 『兜底』措施。 毕竟旧版本的 IE 存在不支持新的加密算法,不支持 SNI 技术等多个不利于 https 的问题。 |
|
27
ellermister OP @also24 嗯,不过为什么还会根据 IP 所在地区别响应。
|
 |
28
muskill 2020-02-28 18:09:33 +08:00
https://www.dogedoge.com 这个也挺好用的
|
 |
29
vocaloidchina 2020-02-28 19:23:01 +08:00
百度首页是已经全部 HTTPS 了,但是贴吧只有关注数目多的才给 HTTPS,像小贴吧都只有 HTTP
|
 |
30
Cipool 2020-02-28 20:39:01 +08:00
 实测正常,检查一下本地网络是否有被劫持? |
 |
31
citydog 2020-02-28 22:01:56 +08:00
百度很久很久了都是 https
|
 |
32
snw 2020-02-28 22:02:24 +08:00 via Android
我记得几年前,百度对境内访问和境外访问分别搞 http 和 https,现在不知道怎样了。
反正不同人测出不同结果很正常,因为采取什么策略只有百度自己知道(也有可能连百度自己都不知道)。 |
 |
33
Tink 2020-02-29 01:24:02 +08:00 via iPhone
百度四五年前就 https 了
|
 |
34
xinge666 2020-02-29 01:31:18 +08:00 via iPhone
让我猜一猜,楼主是不是用了一个百度网盘的插件。导致 https to http 的。
不要问我为什么 因为 |
 |
35
zhouweiluan 2020-02-29 17:03:25 +08:00 1
这波冤枉了百度
|
 |
36
leido 2020-12-17 16:28:41 +08:00
|
Select Language