这是一个创建于 150 天前的主题,其中的信息可能已经有所发展或是发生改变。
可以手机抓包一下,就能看见小红书 App 的图片(可能包括视频等静态资源)都是使用的 http (纯明文也没有自己的加密),也就是说你的网络提供者可以看见你具体浏览了什么内容。
第 1 条附言 150 天前
很多人说静态资源用明文没什么,对普通用户没有影响,不过:
1.小红书主要是图片社区,图片明文等于整个帖子就是明文(小红书以图搜图可以直接精确定位帖子),如果你浏览了自己的帖子,你的账户就可以直接定位到。相当于知乎 微博 豆瓣 贴吧 你浏览的信息都是明文。所以还是比较惊讶的,因为测试了知乎和微博帖子内容无论图片还是文字都是加密的。
2.除了惊讶就是提醒一下,不止是网络运营商,比如你在公共 wifi 访问,或者使用他人热点,刷小红书就等于裸奔了。是需要注意一下的哈,以防别有用心的人利用了。
1.小红书主要是图片社区,图片明文等于整个帖子就是明文(小红书以图搜图可以直接精确定位帖子),如果你浏览了自己的帖子,你的账户就可以直接定位到。相当于知乎 微博 豆瓣 贴吧 你浏览的信息都是明文。所以还是比较惊讶的,因为测试了知乎和微博帖子内容无论图片还是文字都是加密的。
2.除了惊讶就是提醒一下,不止是网络运营商,比如你在公共 wifi 访问,或者使用他人热点,刷小红书就等于裸奔了。是需要注意一下的哈,以防别有用心的人利用了。
 | 1 defaqman 150 天前 卧槽 不至于吧。 |
 | 2 wuruxu 150 天前  1 这感觉有点过的,http 很容易被第三方随意更换的 |
 | 3 nulIptr 150 天前 1 我听说 ios 早就强制全 app 都要走 https 了呀,刚才搜了一下叫 atp ,你说的这个有点离谱。 |
 | 4 musi 150 天前 不是默认用的 https? |
 | 5 Rokaki 150 天前 是你抓包的时候全解密了吧 |
 | 6 0o0o0o0 OP @nulIptr 我用的安卓,iOS 具体有没有用不太清楚,安卓我测了一下就是走的 http ,具体域名是*.xhscdn.com ,这个 cdn 使用 http https 都可以访问,安卓 App 这边不知道出于什么原因,默认都是明文请求。 |
| 7 0o0o0o0 OP @Rokaki 没有解密,也没有使用自己的根证书,抓包抓到的就是 http ,没有用 https ,不过我用的安卓,iOS 是不是强制 https 不太清楚 |
 | 8 Shatyuka 150 天前 via iPhone 1 确实  |
 | 9 vincentWdp 150 天前 @0o0o0o0 7# 那也太牛比了, 这都什么水货 |
 | 10 myTrip 150 天前 via iPhone 卧槽 |
 | 11 106npo 150 天前 via Android 17 https 的 CDN 请求要额外加钱,开源节流了 |
 | 12 putaozhenhaochi 150 天前 via Android 静态资源用 http 有啥问题吗 |
 | 13 zlhsvc 150 天前 对大部分用户来说没啥影响,http 省钱 |
 | 15 liqingyou2093 150 天前 xhs 不行了呀,开始省钱了 |
 | 16 refear99 150 天前 省钱啊,之前用阿里云 cdn 静态 https 的费用,一般占总费用的差不多一半了 |
 | 17 1145148964 150 天前 路由器抓包怎么弄? |
 | 18 lingxiaoli 150 天前 @zekeluii #14 大概率是 loon |
 | 19 ca2oh4 150 天前 https 比 http 贵 |
 | 20 coolcoffee 150 天前 可能小红书还巴不得当地运营商去做免费做缓存呢, 像长城、早期的移动都有为了减少网间结算费用悄悄缓存的行为。 |
 | 22 yxmyxmyyy 150 天前 via Android 1 正常,b 站视频默认也是 http ,你得去设置里面自己开启 https |
 | 23 EminemW 150 天前 via iPhone 不觉得有什么问题 |
 | 24 wu67 150 天前 15 社交图片 http 其实无所谓. 反倒是有些银行, 他们的一些链接还是用的 http, 然后跑去检测手机 VPN 状态, 一旦检测到直接强行关闭银行 app...直到最近才把强行关闭改成了弹窗警告... |
 | 25 hello333 静态资源啊,大哥,静态资源用 http 有什么问题吗? |
 | 26 wfg 150 天前 via iPhone 我相信网络提供者(运营商)无论如何都可以看到你浏览的内容 |
 | 27 nilaoda 150 天前 很正常,主流视频网站加载视频也都是 http ,没什么不安全的 |
 | 28 fcten 150 天前 9 居然有这么多人觉得没问题的... http 就是一个裸奔的协议,用户能看到什么东西全靠运营商自觉。我们之前遇到的问题有一大类就是 http 资源被运营商劫持导致各种各样的问题。 |
 | 30 billbur 150 天前 省钱,然后哪个运营商乱搞就敲一笔钱,开源节流?我乱说的 |
 | 31 clf 150 天前 web 端倒是全 https……客户端全是 Http ?省钱? |
 | 32 nunterr 150 天前 大惊小怪,对于做安全来说 http\ https 区别不大,想看到你内容的人都能有办法看到 |
 | 34 RonnieShanHa 150 天前 你能看到说明就不是 普通用户了; 不是普通用户 2 者区别大哪里了 还要付出额外的运维费用; |
| 35 RonnieShanHa 150 天前 1 加解密都是要算力, 花 5 毛钱保护 1 毛钱的水贴 不值当; |
 | 36 way2create 150 天前 那如果不是公开发布的,也这样么 |
| 38 0o0o0o0 OP @way2create 是的,只要是图片 |
 | 39 Genieliu111 150 天前 @llxvs https 加密你怎么看浏览的内容? |
 | 40 Dora112233 150 天前 是不是 http 省点带宽费用 |
 | 41 0o0o0o0 OP @Dora112233 带宽和算力都省,而且如果用的第三方 cdn 比如阿里的 cdn ,https 是按量收费的,那就是直接省钱 |
 | 42 freezebreze 150 天前 4 此事在鸵鸟算法中亦有记载 |
 | 43 bojue 150 天前 @freezebreze 学习了新算法 |
 | 45 9A0DIP9kgH1O4wjR 150 天前 为什么会有人觉得静态资源用 http 没问题呢?浏览器现在 https 都无法加载 http 的静态资源了。。。 |
 | 46 zhwq 150 天前 1 这个真正的问题不是裸奔,是会被劫持,你看美女,我给你换成黄网,你看求助我给你换成网贷。。。 |
 | 47 Greenm 150 天前 8 很多人对于网络安全的认识仿佛还停留在大清。 HTTP 的资源除了泄露你浏览的内容和记录之外,还会被运营商劫持,流量劫持这个东西非常赚钱。 这就是为什么早期大家都用明文存储静态资源,而现在几乎看不到大中厂这样做了,哪怕贵一点麻烦一点,也必须全程 HTTPS 。 |
| 50 way2create 150 天前 @0o0o0o0 坑 那照这么说只要上传了 用到 xhscdn 哪怕是草稿箱没发布 还是私密性设置都一样被会被看到了 我虽然不怎么用 xhs 但也会搜搜东西 印象 xhs 默认点发笔记第一步就是让你选照片的,没准这时候已经上传了 |
| 51 0o0o0o0 OP @way2create 测试了一下,草稿箱不会上传 |
| 52 way2create 150 天前 @0o0o0o0 多谢测试反馈 那好一些 我还挺常手抖点错的 |
 | 53 ala2008 150 天前 想问,HTTPS 还可以被拦截和篡改数据吗 |
 | 54 yh7gdiaYW 150 天前 这东西就跟浏览器的浏览记录类似吧,但访问的完全是公开合法的内容,对我来说这类记录能不能抓到是无所谓的 |
 | 55 salmon5 150 天前 我觉得倒不是 https 贵,而是 http 省了一些证书配置和客户端兼容问题(比例应该很少),这样对于负责这块的来说减少一些工作量 |
| 56 salmon5 150 天前 应该是为了省钱 |
 | 58 marvz 150 天前 测试了一下,还真是,无水印图片直接就看到了 |
 | 60 lisongeee 150 天前 意思就是说刷小红书帖子的时候,由于 http 可以被劫持 里面的图片可能会突然变成广告或者诈骗二维码图片 |
 | 61 rb6221 150 天前 我觉得最蛋疼的一点是小红书没有省流模式,默认只加载最高清晰度的图片和视频,没有设置项可以调,在我想省流量的时候调不了就很难受 |
 | 62 duanxianze 150 天前 我觉得无所谓,你都发小红书了,肯定不是啥隐私,不过这么大的厂,这点成本都省,实属不应该 |
 | 63 Bananana 150 天前 很神奇的是,居然小红书这么大的 App 能被随意抓包,都不验证书防中间人攻击的吗??还不如我司的 App 。。。 |
 | 67 knightdf 150 天前 小红书本来就这水平 |
 | 68 Hilalum 150 天前 @1145148964 tcpdump |
 | 70 bbao 150 天前 知乎和微博帖子内容无论图片还是文字都是加密 早起也是明文的,起码中期也还是明文的 |
 | 71 orangie 150 天前 在 iOS 上抓包试了一下,苹果这边小红书是 https 的 cdn 。 |
 | 72 Tomatopotato 150 天前 对于图片视频来啥 的确没啥问题啊.... 你说运营商劫持,这又不是 html ,移动客户端显示图片的组件也只能固定显示几个格式,能做的无非是替换内容... 如果真有劫持...首先看到这帖子不应该在 V2EX 而是在微博了 |
 | 74 SaitoAsuka 150 天前 loon 抓包看 avatar 是 https ,其他图片是 http |
 | 75 Yadomin 150 天前 我记得以前 qq 的图片也是 http 的,不知道现在改没改 |
 | 78 dem0ns 150 天前 iOS 微信公众号文章封面也可以,没开 ssl 校验 |
 | 79 avrillavigne 150 天前 @fr13ncl5 iPhone 上 shadowrocket 可以生成根证书,添加信任即可 |
 | 80 kaedea 150 天前 via Android 这有啥,现在很多的视频 App 的播放器为了跨平台都是开 HttpServer ,同个局域网内你通过 HTTP 端口嗅探,甚至可以直接共享别人正在播放的短视频。 |
 | 81 the1812 150 天前 b 站也是,保存个图片因为是从 https 站点保存 http 资源,默认会被 Chrome 拦掉 |
 | 82 ZhiyuanLin 150 天前 http 如果想防劫持的话可以加入本地 sha256 校验就是…… |
 | 83 Chingjyu 150 天前 via iPhone @ZhiyuanLin 如果下发的 sha256 也在 http 里被篡改了呢 |
 | 84 busier 150 天前 via Android 设备都属于终端沦陷设备了 纠结网络层意义不是很大 |
 | 85 FanyFull 150 天前 鱼皮们即将抵达战场。 |
 | 86 beyondstars 150 天前 帅锅给 AI 吧,就说是 AI 生成的,不是自己写的。 |
 | 87 ETiV 150 天前 via iPhone 4 科普一下:只要客户端能够做好校验机制、传输的内容不涉及敏感信息,用 http 是没问题的,特别是在传输大尺寸文件的时候。 Debian 内置的 apt 源,默认都是 http 协议,因为有签名机制。 PlayStation 、Switch ,无论是系统更新还是下载游戏,也都是 http ,因为有签名机制。 苹果可以让用户在自己的内网部署下载缓存,如果是用 https 的话根本做不到。 https://support.apple.com/zh-cn/guide/deployment/depde72e125f/web 因为浏览器没这套东西,所以一刀切用 https 才是靠谱的。 |
 | 88 jayin 150 天前 87 楼讲得对,客户端有校验机制就好了。 再举个例子吧,微信的消息其实就是 HTTP 协议,但是内容是加密的,能说他不安全吗? 早年运营商有内鬼,存在篡改 HTML 内容,加点跳转代码,卖流量盈利。但是这玩意是图片,难道帮你替换成引流二维码?从利益的角度,没啥什么动力篡改图片、视频。 从小红书的角度,用 http 至少省了 15% 的费用。 |
 | 89 wegbjwjm 150 天前 via iPhone 所以完全靠信任? |
 | 90 bao3 150 天前 1 居然有朋友觉得静态就可以 http …… IEC 62443 ,NIS2 ,CRA 这几年安全法规都不停在发布,感觉上面那些朋友的意思是,这个世界是吃饱了没事,生产环境要什么安全,一个图片能有多大危险。世界已经不同了 |
 | 91 lynan 149 天前 员工 OKR:用 http 协议降低 HTTPS CDN 的成本高达 xxxxxxxxx 元 升职加薪技术荣誉奖一把梭 |
 | 92 daweii 149 天前 via iPhone 10 哪天开个公共 wifi 直接给你把连接 wifi 的人的小红书投稿图片全替换成标语就老实了。 |
 | 94 spritecn div class="badges"> 149 天前 总得过网关,不管带不带 s 总能想拦总能拦,你又不是没用过花瓶抓过包 |
 | 96 Outshine 149 天前 @freezebreze 学习了新算法 |
 | 97 cpstar 149 天前 那是不是可以通过中间人篡改内容,植入攻击的代码?比如中间人在图片上嵌入一些攻击代码,利用图片渲染底层逻辑的漏洞? |
 | 99 hiwind 149 天前 via iPhone 试了抓包一下 iOS 上这个域名的包也是明文 http 可以直接看到图片 |
Select Language