你的微博也被盗赞？试试HSTS强制HTTPS加密

微博帐户被盗赞或被动加关注的问题，可能不少用户都遇到过，天天都会发现本身的帐户莫名其妙关注或点赞了几十个营销号、广告号、明星号的微博，挨个取消被盗的关注和赞，居然成了平常最主要的微博操做，不少用户对此感到不厌其烦。

缘由分析

从技术上看，可以给微博帐号加关注或盗赞的途径一般有：一、微博帐户被盗，可以被别人直接登陆；二、使用第三方客户端等，能够经过微博开放平台OAuth拿到access token，而后权限被滥用；三、在浏览器上使用web版微博登陆时，cookies被泄露了。

对此，微博安全中心也曾给过一些安全建议，好比：建议用户更换密码、升级客户端、设置登陆保护、清除第三方应用权限等等，可是很多用户按照建议完成这些操做后，被盗赞的问题仍然存在。

在对不一样客户端、web端的访问状况进行分析后咱们发现，虽然微博已经启用HTTPS加密 不少开放平台的接口也使用HTTPS加密，但你的浏览器书签、别人发给你的连接、旧的外链、其余应用生成的连接均可能仍是 HTTP 的。当部分请求由HTTP链接301跳转到HTTPS时，这个 HTTP 请求仍然会带上浏览器在 http://weibo.com 域下的全部 cookie。这么一来，当用户登陆后在某个特定场景访问到HTTP的微博连接时，仍然可能遭遇cookie劫持，清除受权或修改密码也没有用。

解决方法

经过给 cookie 设置 secure 或者在服务器端设置 HSTS（HTTP Strict Transport Security） 也能解决这个问题，可是微博服务器端的设置是用户没法控制的，做为用户还有没有什么办法解决这个问题呢？沃通CA（www.wosign.com）建议：比较简单的作法就是，用户在Chrome浏览器手动设置HSTS预载入列表（preload list），将微博域名加入预载入列表，强制HTTPS加密访问。

HSTS表明的是HTTPS严格传输安全协议，它是一个网络安全政策机制，可以强迫浏览器只经过安全的HTTPS链接（永远不能经过HTTP）与网站交互，这可以帮助防止协议降级攻击和cookie劫持。可是对于HSTS生效前的首次HTTP请求，依然没法避免被劫持，浏览器厂商们为了解决这个问题，提出了HSTS Preload List（预载入）方案：内置一份能够按期更新的列表，对于列表中的域名，即便用户以前没有访问过，也会使用HTTPS协议。Chrome运营了一个HSTS 预载入列表，大多数主流浏览器Firefox, Opera, Safari, IE 11 and Edge也都有基于Chrome列表的预载入列表。

在Chrome浏览器设置HSTS预载入列表的方法是：

• 在 Chrome 里打开 chrome://net-internals/#hsts

• Add domain中增长微博主域名

• Query domain中能查询到就能够了

在HSTS预载入列表中加入微博主域名后，Chrome再遇到HTTP的微博链接，会直接在浏览器内部就跳转到 HTTPS，确保请求从一开始就加密，保证通信安全，防止cookie劫持、SSL Strip中间人攻击，您能够经过Chrome开发者工具对此进行验证。关注沃通CA获取全球信任SSL证书。