彻底解决新浪微博自动关注营销垃圾号的问题

首先,这不是新浪微博官方的行为,其次,修改密码,取消应用授权,都解决不了此问题。我也遇到过此问题。 取消关注后,过几小时,又关注上了其他垃圾号。最后找到原因了,一个简单的方法,完全解决了。

具体解决过程,我写在原来的博客上了(网址:http://ant73.com/485.html

这里就直接写最后经过时间检验,证明完全彻底地解决了问题的方法。

不想看分析的,可以直接看红色的字。直接上解决办法。

修改微博密码,并一定勾选上如图的选项“取消第三方应用授权并清空定时微博”。

这样操作,只是解决了,有些应用,会偷偷自动关注的问题。

但是,还有一个漏洞,这个漏洞,只是猜测分析,不确定哈。不过,这个漏洞堵上后,真的,就完全解决自动关注的问题了。

微博黑产在运营商线路上劫持 http://weibo.com 的 HTTP 请求,窃取用户 cookie,然后通过 cookie 给用户加关注。

虽然微博主站已经上了 HTTPS,但用户登录后的 cookie 没有设置 secure,导致用户访问 HTTP 链接时虽然会被 301 到 HTTPS 上,但也会携带有效 cookie 出去,被微博黑产在运营商线路上劫持。

清除授权、修改密码都没有用,只要你登录后在某个特定场景访问到了 HTTP 的微博链接,那就很可能中招。只是在微博 Web 版站内的话没问题,因为默认都是 HTTPS 了,但是你的浏览器书签、别人发给你的链接、旧的外链、其他应用生成的链接都可能还是 HTTP 的。

需要注意的是,以上的结论来自于对比实验和技术可行性分析后的猜测,没有任何的实锤证据可以证明结论的正确性。微博官方应该可以根据访问记录查出来,我没法查,只能合理假设。

把 weibo.com 加到 HSTS 里后,Chrome 再遇到 HTTP 的微博链接,会直接在浏览器内部就跳转到 HTTPS,请求不传到外面去,可以保证通讯安全。然后,你就不要在其他的浏览器或电脑上登录微博了。

 

重点在于,访问微博和微博相关的网站,比如秒拍等,都要加上https。 不用手工加。通过设置chrome浏览器,浏览器会自动对这些站加上https的。这样微博黑产,就不能劫持咱们的微博去偷偷关注垃圾营销号了。

用的Google Chrome浏览器。

在地址栏输入

chrome://net-internals/#hsts

转到如图的设置界面,把weibo.com添加进去。

把miaopai.com也加入HSTS里。

 

这样就完成了。

完全地,彻底地解决了新浪微博会自动关注垃圾营销号的问题。

一定要加上https,不然,只取消应用授权、修改密码,是解决不了问题的根本的。

也不知道,为什么新浪微博,愿意,被网友误会,被骂,也不把这两个站,完全使用https,而是允许,半https,半http。给那些搞黑产的坏人以赚钱机会。

或许是内部勾结?或许是有其他考虑,不能全要求上https。

欢迎您加QQ群619138205 点击链接加入群聊【清风花雨聊天室】:https://jq.qq.com/?_wv=1027&k=5GcS8dM
一起交流