这是一个创建于 2054 天前的主题,其中的信可能已经有所发展或是发生改变。
刚才发现百度搜索首页地址还是 http 的,以为是两种协议不强求,兼容使用。
当手动调整到 HTTPS,他自己又会跳转到 HTTP。
使用 HTTP 意味着所有在域下的操作都可以被中间人截取,包括搜索的关键词、浏览的痕迹、用户 COOKIE 等。
在 Chrome 中 HSTS 设置强制百度站点使用 HTTPS,就会出现在 HTTP => HTTPS => HTTP 无限重定向的结果。
只是个 HTTPS 而已,百度为什么不使用 HTTPS,哪怕给用户双向选择也好?
贴图 
 | 1 ellermister OP 此等状况,发现已备案的 bing.com 会更好使一些,虽然一些中文搜索力不如百度。但也是内网状态下的取舍。 |
 | 2 wxsm 2020-02-28 16:42:31 +08:00  2 关注 https 的人都不用百度,用百度的不关注 https |
 | 3 FaceBug 2020-02-28 16:44:29 +08:00 可能是国家安全需要?哈哈哈 |
 | 4 i0error 2020-02-28 16:45:39 +08:00 via Android 1 https://i.loli.net/2020/02/28/6JxSHKguEQFNCAG.png 不是你描述的这样额,是不是网络问题? |
 | 5 wtks1 2020-02-28 16:46:11 +08:00 via Android 没有啊,https 的百度一直使用正常 |
 | 6 SJ2050cn 2020-02-28 16:48:54 +08:00 为啥我输 http 百度直接跳转到 https 了 |
| 7 ellermister OP @i0error https 会强制跳转到 HTTP 的,看这个图。( MD 不知道评论是否有效,无效参见链接)  地址: https://i.bmp.ovh/imgs/2020/02/2248565422e5e7fe.png |
 | 8 baiduyixia 2020-02-28 16:50:25 +08:00 3 百度早就强制跳转到 https 了呀 |
 | 9 PolyQY 2020-02-28 16:50:33 +08:00 via Android 你这应该是运营商或者什么人劫持了,你查看一下连接的 ip 是不是百度的。https 降级攻击是典型的中间人劫持操作。 |
 | 10 st2udio 2020-02-28 16:51:35 +08:00 我这里一直是强转 https |
| 11 PolyQY 2020-02-28 16:52:11 +08:00 via Android 百度很多年前就跳转 https 了,是通过 html refresh 的方式。可能是为了减轻服务器压力。 |
 | 12 bk201 2020-02-28 16:52:27 +08:00 你浏览器被劫持了吧 |
 | 13 Osk 2020-02-28 16:54:03 +08:00 百度最神奇的是一些贴吧 https --> http , 反向操作是最 6 的 |
| 14 ellermiste OP @PolyQY >ping www.baidu.com 正在 Ping www.a.shifen.com [14.215.177.39] 具有 32 字节的数据 ipip.net 查看到的注册信息是:广东省广州市 北京百度网讯科技有限公司电信节点 |
 | 15 chanssl 2020-02-28 16:55:06 +08:00 我这边 https 正常来着 https://i.loli.net/2020/02/28/JscjEnobiHP5W3k.png |
 | 16 python35 2020-02-28 16:55:11 +08:00 我的输入 http 自动跳到 https。 我想起来我曾经装过一个改变浏览器 user-agent 的浏览器插件,后来访问百度就会被屏蔽了 https, 供楼主参考 |
| 17 PolyQY 2020-02-28 16:56:33 +08:00 via Android @ellermister 我还是觉得你被劫持了,我这里四五年前就跳转 https |
 | 18 starcraft 2020-02-28 16:57:33 +08:00 1 你应该没活在一个世界线。 |
 | 19 iasuna 2020-02-28 17:02:11 +08:00 百度 http 和 https 都可以用啊 没有强制 https 可以理解吧 毕竟国内 https 还有各种各样问题 |
 | 20 shansing 2020-02-28 17:04:33 +08:00 @PolyQY 楼主不是访问 https 而没有得到警告?除非楼主浏览器环境受到污染,HTTPS 是不能被劫持的吧?典型的降级攻击应该限于直接 http 访问。 |
| 21 ellermister OP 1 |
| 22 shansing 2020-02-28 17:15:49 +08:00 @ellermister 233333 能分享一下是修改为什么 UA 导致百度主动降级 HTTP 的吗? |
| 23 ellermister OP 1 @shansing 我测试两个 IP,多余没去尝试。`大概`是境内 IP 访问会重定向。而境外 IP 不会? 指令: curl 'https://www.baidu.com/' -H 'User-Agent: PronHub' UA 随意填写不正规的都可以复现。 |
 | 24 hmzt 2020-02-28 17:35:41 +08:00 我还以为我用的是假的百度 |
 | 25 cabing 2020-02-28 17:38:24 +08:00 目前我电脑百度都是 强制 https 的 |
 | 26 also24 2020-02-28 17:41:37 +08:00 @ellermister #23 如果是 UA 导致,那也许可以理解为这是为了兼容旧版本的 IE 浏览器做出的 『兜底』措施。 毕竟旧版本的 IE 存在不支持新的加密算法,不支持 SNI 技术等多个不利于 https 的问题。 |
| 27 ellermister OP @also24 嗯,不过为什么还会根据 IP 所在地区别响应。 |
 | 28 muskill https://www.dogedoge.com 这个也挺好用的 |
 | 29 vocaloidchina 2020-02-28 19:23:01 +08:00 百度首页是已经全部 HTTPS 了,但是贴吧只有关注数目多的才给 HTTPS,像小贴吧都只有 HTTP |
 | 30 Cipool 2020-02-28 20:39:01 +08:00  实测正常,检查一下本地网络是否有被劫持? |
 | 31 citydog 2020-02-28 22:01:56 +08:00 百度很久很久了都是 https |
 | 32 snw 2020-02-28 22:02:24 +08:00 via Android 我记得几年前,百度对境内访问和境外访问分别搞 http 和 https,现在不知道怎样了。 反正不同人测出不同结果很正常,因为采取什么策略只有百度自己知道(也有可能连百度自己都不知道)。 |
 | 33 Tink PRO 百度四五年前就 https 了 |
 | 34 TaurusXin 2020-02-29 01:31:18 +08:00 via iPhone 让我猜一猜,楼主是不是用了一个百度网盘的插件。导致 https to http 的。 不要问我为什么 因为 |
 | 35 zhouweiluan 2020-02-29 17:03:25 +08:00 1 这波冤枉了百度 |
 | 36 leido 2020-12-17 16:28:41 +08:00 |
Select Language