面对运营商的“强上”，我们应该如何反击？

最近，运营商对于用户流量劫持的玩法变本加厉。原本只是莫名其妙地弹出广告和流量提示，最近却又用户发现，无论下载什么App，都会被运营商换成UC浏览器。

这种玩法，让被运营商“强上”多年的网友决定不再沉默。不仅如此，包括小米在内的六家互联网企业也决定加入讨伐运营商的大军。（可参考我雷文章《小米们要“造反”，开撕三大运营商》）

网民和互联网公司罗列的运营商“罪行”大致如下：

• 劫持用户浏览器，强制跳转到指定网页

• 劫持新闻类App，强制弹出广告和促销信息（其实是低俗的广告和low爆了的促销信息）

• 劫持商城类App，强制用户下载特定的App

【一个典型的被某运营商“强上”的场景】

仔细想来，如果这些遭遇每天都发生在我们身上，还真是有一种生无可恋的感觉。那么，运营商面对这波声讨的浪潮，会选择收敛吗？很多网友表示：

• 平胸而论，这次讨伐的胜算几乎为零。

• 胳膊拧不过大腿，蛐蛐挡不住火箭。

• 全国人民都买小米，怕是也干不过运营商。

面对这样的局面，我们要积极地开展自救。下面才是重点。

流量劫持的伎俩很简单

这里有一个悲伤的事实：大部分的流量劫持之所以会发生，一方面是因为劫持者没有操守，另一方面是因为被劫持者没有做好防护。通俗地讲，在痛斥小偷摸走你钱包的同时，也要反省自己的疏忽大意。

用户自身“漏洞”百出，就增加了被运营商“强上”的几率。这里的漏洞指的是：网络协议。

目前，绝大多数的网络通信都在使用“http”协议，就是我们在网址开头经常能看到的那个东西。这个协议“丧心病狂”地采用了明文传输，也就是说，用户和站点进行交流的时候，所有的中间环节都可以轻松查看数据内容，而负责数据传输的运营商当然有机会替换掉其中的数据内容。打个比方：

你给女朋友互相写情书，但是你们发出的信件居然连信封都没有，而送信的邮差恰恰是个流氓。。。（画面太美，想象不下去了）

原谅“http”吧，这个协议已经被使用了20多年了。在当初“http”被发明出来的时候，世界还处在“夜不闭户，道不拾遗”的状态。怎么说呢，我们再也回不去了。。。

如果用户使用网页访问资讯，那么流量中既包含了通信数据，也包含了网页界面代码。掌握了所有网页界面之后，运营商在劫持的时候，甚至还可以把广告栏放到“恰到好处”的地方，让这种无节操的推广看起来相当“美观”（已无力对运营商的审美观吐槽）。

如果用户使用 App 进行访问，那么运营商可以通过简单的途径，搞到一些热门 App 的代码，例如小米商城或今日头条，进而针对这些 App 进行优化，让应用分发的劫持或者广告的展示看起来“天衣无缝”。

还有更猛烈的。运营商即使再无节操，也是有基本底线的。但如果黑客利用运营商强上你的时候留下的漏洞，“黑吃黑”地再次劫持了你的数据，那么事情的发展就不在掌握中了。黑客完全可以调用你的摄像头、获取你的所有登陆密码、读取或修改你手机上的所有文件，包括照片，嗯。

“加密协议”可以防止我们被“强上”

不说那些让人伤心的事了，既然所有的问题都来自于明文传输，那么解决的方法就是“http”的升级版“https”。不要小看这一个多出来的“s”，二者可谓是天壤之别。相比之下，新款 iPhone 加上一个“s”就能糊弄用户的伎俩简直弱爆了。

“https”的协议采用了全链路的加密，运营商在传递数据的过程中，看到的是“天书”一样的字符。只有传递信息的双方拥有解密数据的密钥。这样，即使运营商有心“上我们”，也会发现无处“下家伙”。

虽然“https”已经诞生了很久，但是为了自身的成本控制和用户方便，仍然有很多站点支持使用“http”进行通信。至于原因，Opera 浏览器的 CTO 罗志宇在文章中表示：

https 对硬件的要求要比 http 高， 这个意味着更大的开销， 而更大的开销也就意味着需要花费更多的资金购买服务器。其他架构上面带来的成本可能就跟不用说了。

在这件事上，普通用户是有劲儿也没处使的。不想被运营商蹂躏，只能寄希望于网站可以进行协议升级。让我们欣慰的是，一些互联网企业已经宣布全站支持https协议了，比如 Google 和 Facebook。等等，这两个网站存在吗？为什么我上不去？先不要在意这些细节，最近一年国内很多网站也采取了加密协议，例如淘宝和百度。

• 淘宝宣称全站都采取了加密协议，所以只要在淘宝网内部浏览，安全性是较高的；

• 百度因为是一个搜索引擎，所以无法保证搜索到的内容都是加密传输的，因此跳转到其他网站之后就没有办法抵御流量劫持了。

【淘宝网会强制跳转到https协议进行访问】

然而，即使是采取加密传输，还存在一个小问题，那就是：在用户的浏览过程中，很多情况下存在跳转行为，而跳转过程中，有任何一个网站采用“http”协议，都会使得第三方有机会劫持用户流量。举例来说，很多用户喜欢在聚合网站，例如“什么值得买”上浏览商品。而“什么值得买”采用的就是未加密的“http”协议。因此理论上来说，在跳转之前的任意时间点，第三方都可以劫持用户的数据，然后插在用户和网站之间。

360的安全专家MJ表示：

如果黑客控制了你的网络访问，可以篡改你的访问申请，比如把你导向一个假的“https://www.taoobao.com”通过这种方式可以劫持你的数据。

也就是说，如果你通过网站跳转而访问安全网站，第三方可以用这种方式继续劫持你的流量。当然这些都是理论上的可能了，运营商几乎没有可能做出这么低劣的行径。

结论是：“花钱”

总之，这些互联网企业与其联合起来讨伐运营商，倒不如花点时间和金钱把自己的“钱包”加固，让别人无从下手。总而言之一句话：

不能让运营商有哪怕一秒钟的时间接触到你的明文数据。

说到这里，似乎解决的方法已经很明朗了，就是对网站协议进行“https”改造。然而，这种改造涉及人员、服务器、技术的全面升级。“过来人”阿里巴巴称这种改造成本为“巨资”，可见即使对于阿里这种土豪来说，改造网络协议都是昂贵的。

再来看看这六家声讨运营商的企业：小米、今日头条、美团大众点评网、360、腾讯、微博。就财力而言应该都可以实现加密传输的改造。尤其是腾讯，本该混迹于BAT行列的它，看到百度和阿里都进行了协议升级，不知内心是否煎熬。

说了这么多，结论只有一个：

想要优雅地避免运营商耍流氓，就需要大把地花银子。

俗话说，能用钱解决的问题，都不是大问题。为了争口气，花点钱算神马！你们说呢？

【图片为雷锋网制作，仅供娱乐】