面對運營商的“強上”，我們應該如何反擊？

最近，運營商對于用戶流量劫持的玩法變本加厲。原本只是莫名其妙地彈出廣告和流量提示，最近卻又用戶發現，無論下載什么App，都會被運營商換成UC瀏覽器。

這種玩法，讓被運營商“強上”多年的網友決定不再沉默。不僅如此，包括小米在內的六家互聯網企業也決定加入討伐運營商的大軍。（可參考我雷文章《小米們要“造反”，開撕三大運營商》）

網民和互聯網公司羅列的運營商“罪行”大致如下：

• 劫持用戶瀏覽器，強制跳轉到指定網頁

• 劫持新聞類App，強制彈出廣告和促銷信息（其實是低俗的廣告和low爆了的促銷信息）

• 劫持商城類App，強制用戶下載特定的App

【一個典型的被某運營商“強上”的場景】

仔細想來，如果這些遭遇每天都發生在我們身上，還真是有一種生無可戀的感覺。那么，運營商面對這波聲討的浪潮，會選擇收斂嗎？很多網友表示：

• 平胸而論，這次討伐的勝算幾乎為零。

• 胳膊擰不過大腿，蛐蛐擋不住火箭。

• 全國人民都買小米，怕是也干不過運營商。

面對這樣的局面，我們要積極地開展自救。下面才是重點。

流量劫持的伎倆很簡單

這里有一個悲傷的事實：大部分的流量劫持之所以會發生，一方面是因為劫持者沒有操守，另一方面是因為被劫持者沒有做好防護。通俗地講，在痛斥小偷摸走你錢包的同時，也要反省自己的疏忽大意。

用戶自身“漏洞”百出，就增加了被運營商“強上”的幾率。這里的漏洞指的是：網絡協議。

目前，絕大多數的網絡通信都在使用“http”協議，就是我們在網址開頭經常能看到的那個東西。這個協議“喪心病狂”地采用了明文傳輸，也就是說，用戶和站點進行交流的時候，所有的中間環節都可以輕松查看數據內容，而負責數據傳輸的運營商當然有機會替換掉其中的數據內容。打個比方：

你給女朋友互相寫情書，但是你們發出的信件居然連信封都沒有，而送信的郵差恰恰是個流氓。。。（畫面太美，想象不下去了）

原諒“http”吧，這個協議已經被使用了20多年了。在當初“http”被發明出來的時候，世界還處在“夜不閉戶，道不拾遺”的狀態。怎么說呢，我們再也回不去了。。。

如果用戶使用網頁訪問資訊，那么流量中既包含了通信數據，也包含了網頁界面代碼。掌握了所有網頁界面之后，運營商在劫持的時候，甚至還可以把廣告欄放到“恰到好處”的地方，讓這種無節操的推廣看起來相當“美觀”（已無力對運營商的審美觀吐槽）。

如果用戶使用 App 進行訪問，那么運營商可以通過簡單的途徑，搞到一些熱門 App 的代碼，例如小米商城或今日頭條，進而針對這些 App 進行優化，讓應用分發的劫持或者廣告的展示看起來“天衣無縫”。

還有更猛烈的。運營商即使再無節操，也是有基本底線的。但如果黑客利用運營商強上你的時候留下的漏洞，“黑吃黑”地再次劫持了你的數據，那么事情的發展就不在掌握中了。黑客完全可以調用你的攝像頭、獲取你的所有登陸密碼、讀取或修改你手機上的所有文件，包括照片，嗯。

“加密協議”可以防止我們被“強上”

不說那些讓人傷心的事了，既然所有的問題都來自于明文傳輸，那么解決的方法就是“http”的升級版“https”。不要小看這一個多出來的“s”，二者可謂是天壤之別。相比之下，新款 iPhone 加上一個“s”就能糊弄用戶的伎倆簡直弱爆了。

“https”的協議采用了全鏈路的加密，運營商在傳遞數據的過程中，看到的是“天書”一樣的字符。只有傳遞信息的雙方擁有解密數據的密鑰。這樣，即使運營商有心“上我們”，也會發現無處“下家伙”。

雖然“https”已經誕生了很久，但是為了自身的成本控制和用戶方便，仍然有很多站點支持使用“http”進行通信。至于原因，Opera 瀏覽器的 CTO 羅志宇在文章中表示：

https 對硬件的要求要比 http 高， 這個意味著更大的開銷， 而更大的開銷也就意味著需要花費更多的資金購買服務器。其他架構上面帶來的成本可能就跟不用說了。

在這件事上，普通用戶是有勁兒也沒處使的。不想被運營商蹂躪，只能寄希望于網站可以進行協議升級。讓我們欣慰的是，一些互聯網企業已經宣布全站支持https協議了，比如 Google 和 Facebook。等等，這兩個網站存在嗎？為什么我上不去？先不要在意這些細節，最近一年國內很多網站也采取了加密協議，例如淘寶和百度。

• 淘寶宣稱全站都采取了加密協議，所以只要在淘寶網內部瀏覽，安全性是較高的；

• 百度因為是一個搜索引擎，所以無法保證搜索到的內容都是加密傳輸的，因此跳轉到其他網站之后就沒有辦法抵御流量劫持了。

【淘寶網會強制跳轉到https協議進行訪問】

然而，即使是采取加密傳輸，還存在一個小問題，那就是：在用戶的瀏覽過程中，很多情況下存在跳轉行為，而跳轉過程中，有任何一個網站采用“http”協議，都會使得第三方有機會劫持用戶流量。舉例來說，很多用戶喜歡在聚合網站，例如“什么值得買”上瀏覽商品。而“什么值得買”采用的就是未加密的“http”協議。因此理論上來說，在跳轉之前的任意時間點，第三方都可以劫持用戶的數據，然后插在用戶和網站之間。

360的安全專家MJ表示：

如果黑客控制了你的網絡訪問，可以篡改你的訪問申請，比如把你導向一個假的“https://www.taoobao.com”通過這種方式可以劫持你的數據。

也就是說，如果你通過網站跳轉而訪問安全網站，第三方可以用這種方式繼續劫持你的流量。當然這些都是理論上的可能了，運營商幾乎沒有可能做出這么低劣的行徑。

結論是：“花錢”

總之，這些互聯網企業與其聯合起來討伐運營商，倒不如花點時間和金錢把自己的“錢包”加固，讓別人無從下手?？偠灾痪湓挘?/p>

不能讓運營商有哪怕一秒鐘的時間接觸到你的明文數據。

說到這里，似乎解決的方法已經很明朗了，就是對網站協議進行“https”改造。然而，這種改造涉及人員、服務器、技術的全面升級。“過來人”阿里巴巴稱這種改造成本為“巨資”，可見即使對于阿里這種土豪來說，改造網絡協議都是昂貴的。

再來看看這六家聲討運營商的企業：小米、今日頭條、美團大眾點評網、360、騰訊、微博。就財力而言應該都可以實現加密傳輸的改造。尤其是騰訊，本該混跡于BAT行列的它，看到百度和阿里都進行了協議升級，不知內心是否煎熬。

說了這么多，結論只有一個：

想要優雅地避免運營商耍流氓，就需要大把地花銀子。

俗話說，能用錢解決的問題，都不是大問題。為了爭口氣，花點錢算神馬！你們說呢？

【圖片為雷鋒網制作，僅供娛樂】

參考閱讀：《HTTP必死：Google是怎么考慮安全的？》

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。