V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bellchu
V2EX  ›  互联网

免费和安全的关系

  •  1
     
  •   bellchu · 2015-01-25 15:27:12 +08:00 via iPhone · 3450 次点击
    这是一个创建于 3587 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一直看到好多社区共享免费的VPN,Proxy,SS,加速等等服务。我个人完全不反对这些免费的服务,也不去怀疑提供商的人品。

    我更担心的是作为一个免费的服务,对用户的数据安全保护是否有做到位。如果没有,广大免费服务的用户如何保护好自己的隐私。
    22 条回复    2015-03-30 18:47:04 +08:00
    bellchu
        1
    bellchu  
    OP
       2015-01-25 15:27:30 +08:00 via iPhone   ❤️ 1
    bellchu
        2
    bellchu  
    OP
       2015-01-25 15:29:53 +08:00 via iPhone
    手机上拿不到Youtube全链接,有电脑的同学帮忙发全吧。不然没播放框,谢谢!
    icedx
        3
    icedx  
       2015-01-25 15:30:49 +08:00   ❤️ 2
    &feature=youtu.be
    bellchu
        4
    bellchu  
    OP
       2015-01-25 15:34:20 +08:00 via iPhone
    @icedx 多谢!



    视频是一个非常简单且常用的利用免费Proxy找肉鸡的示范.
    icedx
        5
    icedx  
       2015-01-25 15:36:21 +08:00
    @bellchu 听起来是印度英语...
    bellchu
        6
    bellchu  
    OP
       2015-01-25 15:37:06 +08:00 via iPhone
    @icedx 西班牙人
    ytf4425
        7
    ytf4425  
       2015-01-25 15:46:50 +08:00
    用户的数据安全?
    shadowsocks数据连接完全是加密的,所以用户的数据安全应该只会出现在数据库这一块(服务器都被入侵了那就不算了)
    数据库安全应该能很好的做到位,毕竟这方面的经验有,网上教程又一大堆
    用户嘛,请使用https
    icedx
        8
    icedx  
       2015-01-25 17:15:06 +08:00 via Android
    @bellchu 诶吗 这个屌
    ChanneW
        9
    ChanneW  
       2015-01-25 17:27:01 +08:00
    看来墙成了 https 推广的助力
    bellchu
        10
    bellchu  
    OP
       2015-01-25 21:26:12 +08:00
    @ChanneW https是必备,可问题是https不是万金油,去年heartbleed的新闻已经够多了,然后SHA1已经死了,但是无数网站还在用SHA1证书。
    https://hashcat.net/events/p12/js-sha1exp_169.pdf

    做为免费连接的提供方,安全方面不到位的话,稍有不慎就会演变成MITM攻击方.

    Google死命的加速淘汰SHA1这方面比我朝的百X好多了,现在Chrome里面看不见绿锁🔒的网站都不敢注册
    xoxo
        11
    xoxo  
       2015-01-25 21:29:10 +08:00
    哎, 网络安全的基础就是不信任任何第三方.
    bellchu
        12
    bellchu  
    OP
       2015-01-25 21:48:51 +08:00
    @xoxo 换句话说MITM攻击的基础就是让第三方信任你 LOL
    JackNo1
        13
    JackNo1  
       2015-01-26 08:58:23 +08:00
    @bellchu 其实百度还算好了,前一阵子弄了个加密搜索,其他的国内搜索引擎还做不到这个。
    bellchu
        14
    bellchu  
    OP
       2015-01-26 16:31:37 +08:00
    @JackNo1 嗯,我说Google淘汰SHA1倒不是说搜索引擎方面的SSL加密,我个人觉得,搜索引擎搞加密其实意义不大,除非你把搜索记录当作自己的隐私。Google做的是全站加密,是它的服务全上了SSL,百度好像SSL覆盖的服务没几个吧,网盘的话也不是全站SSL加密的,而且直接访问URL不会强制https。
    国内的服务商还需加强安全意识,现在很多情况下是防了GFW,却没有防别的。
    JackNo1
        15
    JackNo1  
       2015-01-26 16:50:16 +08:00
    @bellchu 百度不需要防GFW,它的自我审查已经很到位了。我觉得它为自己搞https可能是因为经常被运营商窃听、劫持加些广告和返利什么的。毕竟以前有人在百度上搜索关键词之后很快就有商家打电话推销相关产品这种情况出现过,如果这些信息不是百度透露出去的话这么做也可以维护它自己的声誉。
    不过百度除了搜索外,其他的服务的确基本上都没有https(好像只有搜索、钱包和部分网盘有),另外百度的https太隐蔽了,既没有做过什么宣传,也没有自动跳转,估计小白们是不会知道的。
    simplecloud
        16
    simplecloud  
       2015-01-26 17:14:35 +08:00
    赞一个~
    bellchu
        17
    bellchu  
    OP
       2015-01-26 17:18:15 +08:00
    @JackNo1 我说的是用户防GFW,却没注意去防别的方面的攻击,因为翻墙也是有安全代价的。 百度防GFW那肯定是不想赚钱了。
    bellchu
        18
    bellchu  
    OP
       2015-01-26 17:18:32 +08:00
    @simplecloud 我知道你是串门来的
    simplecloud
        19
    simplecloud  
       2015-01-26 17:23:00 +08:00
    @bellchu 恩呢~在自己帖子快被黑惨了~泪
    bellchu
        20
    bellchu  
    OP
       2015-01-26 17:34:30 +08:00   ❤️ 1
    @simplecloud 推广嘛别带URL就行,把你之前招聘的转一个节点的链接不就完了。
    simplecloud
        21
    simplecloud  
       2015-01-26 17:43:51 +08:00
    @bellchu 恩恩~有道理~我能说我是~~~真的~~~有苦说不出~~~~
    kaige
        22
    kaige  
       2015-03-30 18:47:04 +08:00 via Android
    收費的安全性才值得懷疑,因為根據付費渠道是可以查出誰在使用這個服務的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3122 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:27 · PVG 22:27 · LAX 06:27 · JFK 09:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.