最近发现一个现象。只要我访问任意新域名,该域名的 HTTPS 服务会收到 / /favicon.ico /home/favicon.ico 三个来自全国各地的访问。

已观察到的 UA 为 Firefox/45.0 或者 Firefox/6.0 或者 Chrome/55.*。这三个请求可能来自同一IP也可能不一样。

域名是通过 SNI 泄漏的。对其进行 DNS 查询并不会触发。使用 curl 访问即可触发。使用同样的 SNI 连接到不正确的 IP 并不会触发(SNI 已发但 TLS 握手未完成)。

我是在玩 Cloudflare 新推出的免费 Argo 隧道服务时注意到这个现象的。

Follow

@lilydjwg @parisio
果然,所有人关注的重点都是Argo免费~

@lilydjwg @TurnipG 所以这大概可以解释为什么最近tls死的那么厉害的原因了……
Sign in to participate in the conversation
mstdn.jp

Mastodon日本鯖です.