解锁父母控制隐藏功能

oliverlee

关闭了特征库更新开关，发现连延迟都没有，直接能打开被封的网站

oliverlee

这几个门户网站，第一次打开hao123无效4399无效（可直接打开），2345,17173,7k7k首次无法打开，过一分钟重新加载无法打开的网页可以打开

萝卜大侠

oliverlee 发表于 2023-5-11 15:36
这几个门户网站，第一次打开hao123无效4399无效（可直接打开），2345,17173,7k7k首次无法打开，过一分钟重 ...

我试一下哈，你的是官方的发布版本吧？

oliverlee

是的，官方版本

萝卜大侠

oliverlee 发表于 2023-5-12 09:43
是的，官方版本

在版本较新的浏览器确实是有问题，后续修正下

Justin

很好，感谢大佬

tuzhw

这个家长喜欢，孩子莫名的讨厌

老墩儿

高级高级

jevel

萝卜大侠 发表于 2023-5-22 14:28
在版本较新的浏览器确实是有问题，后续修正下

我也发现这个问题了，多刷新几下就可以浏览了。这是什么原理？
我排除了 IPv6，HTTP2 的影响，是不是因为浏览器与服务器的 HTTPS 证书握手协议换了一个不被 parental_control 支持的协议导致的？

jevel

看了下 parental_control 的源码，以及抓包分析了下，问题应该是 parental_control  只对 TLS client hello 过程中的 SNI （Server Name Indication 服务器名称指示）作检查 导致的。
有些版本的浏览器在多次刷新时，就不再进行 SNI 了，然后就绕过了 parental_control。

解决办法是增加对 TLS certificate 的 rdnSequence 进行检查（可能需要简单正则匹配）甚至 dNSName 进行检查。
由于此解决方法是针对的服务器回包，可能对旁路部署无效。另外，由于识别深度较大，可能性能消耗也较大。