半年前我曾经因为移动端HTTP劫持添加手机浮层广告跟联通茬过一次,一直闹到工信部因为我没拿到确切证据最终不了了之。但是,这次不一样了,这次是PC端,而且复现率比原先高得多。也就意味着我有充足的机会可以拿到证据,并且,我拿到了,通过劫持前后对比提取出来的劫持插入的网页代码。
恐怕我要先解释一下什么叫HTTP劫持:HTTP劫持是一种运营商常用来向用户投送广告的手段,和DNS劫持不同的是HTTP劫持对用户的影响”更小”用户依然能加载出原有的网页,只是多了层广告。受影响的网页包括所有未开启HTTPS的网页,随机出现,刷新后会消失。
我这次是怎么发现被劫持了呢?因为人类希望的A站和B站。众所周知A、B两站对广告这个事情一直很克制,页面里很少出现广告,尤其是不会出现广告联盟提供的广告。如果一个烂到家的广告出现在AB站,那你几乎就可以确定是被劫持了。但是,作为一个严谨的电工,我还是给A站的猴们发了邮件,也得到了确认,虽然回我邮件的好像是个PM。
为了确定不是路由器或者电脑的问题呢我又通过另外一个物理地址的联通线路确认了一遍,同样的结果,插入的广告代码字节水平相同。两个站点,两条线路,两组路由(Netgear+ERX/CISCO+CISCO) ,两台电脑,相同的状况。从网站到我的电脑要经过多少个环节呢,网站服务器>CDN>联通>路由>终端。那么有哪个变量是相同的呢?联通。只有联通能实现在两个完全不同的网站上加上完全相同的广告。你可能会问,为什么不可能是其他运营商呢,诚然网站和我中间可能经过多家运营商,但是,这两个网站的IDC并不是一家而且也没有运营商会大胆到在IDC侧的网络动手动脚。那么几乎就只有一种解释联通的链路上有人/公司/什么神秘物质添加了这段代码进来,但是不论这个添加代码的something是不是和联通公司有可以被证明的利益或其他关系,这个锅联通都稳稳的背定了。我分析了整段代码,虽然我是一个真电工,没学过HTML但是还是能分析出点东西的。
开头上来就加载了一个不显示的带参数的百度LOGO,我试过了把参数删掉返回值也是同样的图片。我怀疑这是某种百度的统计方式。
里面提到了好几家广告联盟包括360及其参股的mediav和几家小公司当然还有相应的统计ID,和好多个和备案信息不符的域名(感谢国内的备案制度),全程没有说联通一个字,是的从源代码上很难直接和联通公司建立联系。
我最想不明白的是有一段向广告服务器返回识别信息的,不光有我可以理解的匿名识别号比如jdpin,和网络参数比如IP Mac,竟然还有IMEI,QQ,E-mail,taobaoname这种非匿名ID。首先是震惊然后是怀疑他是怎么拿到这些ID的。
HTTP劫持这个事情其实也不是一天两天了,那一个“正常的”“别人家的”解决流程是什么样呢?你打客服,只要提到了HTTP劫持这个词就会被拉进一个白名单,不会再收到广告,但是也不会有任何解释。联通呢?联通每次的解决方法都是随便找一个基层既不了解HTTP劫持是什么东西又没有权限解决的人来接工单,一般是所在片区的线路员或者是销售人员。如我所说我在一座城市的两个区都收到了同样的广告那么也就证明这个劫持一定是运行在市一级主干网之上,所以所在地的人员即使是机房的技术人员也不可能知道具体情况。即使你找到工信部也是一样的结果,不知道,不承认,不解决。因为即使你拿到源代码还是很难证明“联通公司”和“广告受益人”之间的关系,就以目前截到的源代码来说没有任何一个域名直接指向联通,作为投放广告服务器的域名是一个和备案和网站内容不一致的注册人是一个个人的域名的二级域名,还有几个备案是某公司实际上一级域名根本就没有解析的。剩下的线索就只有广告受益者在各广告联盟上用于统计数量的识别码了,但是这个ID反过来对应哪个人我想不出有什么方法可以查出来。这次相对于前一次来讲似乎更积极一些,但是我还是对结果持悲观态度。