FireFox浏览器神操作跳到BC站，被Hacker盯上了？

今天在使用firefox（https://www.mozilla.org/zh-CN/firefox/new/）时，出现一个非常非常奇怪的问题，貌似Firefox是被人黑（hack）了。

首先，我的Firefox是在官网 https://www.mozilla.org 下载的国际版，没有垃圾插件广告之类的问题，平时也很少用到。

在Firefox浏览器的地址栏下面会不时出现一个浏览器级别的提示，下图红框中的内容：

所有网页顶部会不定期出现这个弹窗，而且会不时的自己消失掉，又不时会自己出现。

提示语“你必须先登录此网络才能访问互联网”，按钮“打开网络登陆页面”，非常的蹊跷，莫名会让人产生一种需要登录才能上网的错觉，加上这个提示看上去并不像网页上的弹窗提示，而像是浏览器上的。

这就有意思了，更有意思是当你点击右边那个按钮后：先是打开网址 detectportal.firefox.com/success.txt ，然后马上跳转到这个 https://www.dyh*qw.com/ 网站，页面上出现下图这样一个鲜红的公告，几秒后又跳到一个BC网站 https://la*bv.com/ 并停留下来了。

鲜红的公告

查看 detectportal.firefox.com/success.txt 返回的内容，发现它就是上面那个公告，虽然我不知道那个浏览器级别的入口提示是如何利用这个文件做到的（我知道了，原因在下面），Firefox官方域名下的这个文件是被篡改了，导致了后面一系列的跳转到BC站。

显然，Firefox被人黑了，实际上并没有，而是网络被劫持了，这个文件的请求被重定向了。

查明原因

经过一番查证，原来Firefox会默认发送请求到 detectportal.firefox.com/success.txt ，这个文件正常情况下应该返回一个 success 字符串。

通过这个请求，FireFox可以判断当前网络是否是处于强制门户中（需要登录才能上外网，未登录会跳转到一个指定网页，一般就是获取授权页面），这种网络在很多公共场所有用到，比如游乐场，机场之类的，会有免费wifi，但是需要你注册登录一下才能上外网，FireFox就是通过请求自己服务器上的那个文件来检测的。

而FireFox请求的这个文件被（电信）网络劫持，重定向到恶意代码（红色公告）上了。这么说的理由是因为如果你挂上全局代理去访问这个文件，可以正常返回那个 success ，自然也就不会出现提示框。而关掉代理，就会出现我前面那种跳转。

当Firefox的请求没有拿到返回的 success 字符串，FireFox会认为当前网络是强制门户，这时候就出现了顶部那个浏览器级别的提示框，而当你点击后面的按钮，Firefox就会打开它认为应该展示的强制门户获取授权页面（也就是那个公告）。

解决

网络是武汉市中国电信，尝试更换114，dnspod以及google的8.8.8.8的DNS没有解决。

按照下面的操作关掉Firefox的配置项 network.captive-portal-service 即可。

1. 在Firefox的地址栏输入 about:config ，点接受风险进入配置。
2. 搜索 network.captive-portal-service.enadbled 并将其设置为 false 即可。

不得不说，这是一种非常隐蔽的劫持，只有当你使用Firefox才会出现，区别于简单粗暴的弹窗，这种情况会让人感到非常困惑。