小白询问有关使用加速器访问或代理网址的安全问题

2022-10-19 13:49:04 +08:00
 CSGO
最近看到一个帖子,搜索了一下,也确实如此,就是类似一些国内 steam 第三方平台,为了达到正常访问 steam 并不受用户网络环境问题,会使用自己搭建的比如:steamproxy.net ,打开页面可见就是 steam 一摸一样,但确实又不是钓鱼网址,这是类似反向代理吗?以及很多手机 app 上比如登录 steam 也可以发现根本不用开加速器,估计也是类似远离,所以这种网站,如果抛开信任他们公司外,是否安全?毕竟是一个自己的域名,完全可以在某一时刻变成钓鱼网站用户也不知道。

那如果是游戏加速器呢?开了加速器,再访问官方域名,是否安全呢?加速器上有没可能把账号密码盗取?
1715 次点击
所在节点    Steam
8 条回复
AoEiuV020CN
2022-10-19 14:16:54 +08:00
只要加速器不要求你信任证书,那么 https 网站就是安全的,加速器那怕完全接管网络接口也盗不了你账号,
neptuno
2022-10-19 14:28:28 +08:00
steam 第三方平台,你说的是那些长得跟 steam 一样,其实是租 steam 号给你的网站吗
CSGO
2022-10-19 14:46:37 +08:00
@neptuno 不是,就一些饰品交易啥的
LinePro
2022-10-19 14:53:38 +08:00
@AoEiuV020CN #1 之前用过的几款加速器,基本上都会在用户不知情的情况下信任证书(利用管理员权限静默安装证书),只能说普通用户难以察觉 233

所以 OP 提到的开了加速器以后,还需要手动检查证书是否是官方证书,比如查看证书信任链和比对证书指纹。
当然这只是从网络层面考虑。毕竟你都本地运行加速器的程序了,加速器在本地作恶也不是不可以。
LinePro
2022-10-19 15:06:58 +08:00
补充反向代理的问题,反向代理服务器比如 steamproxy.net 其实就是相当于一个中间人,你和中间人建立连接发送账号密码等数据,中间人再和 Steam 官方服务器建立连接发送数据。你是和 https://steamproxy.net 建立 https 连接,你只能保证你到中间人服务器这段链路的数据不会被其他人窃取。中间人是能够解密获取这些数据的,这段加密链路并没有覆盖到 Steam 官方服务器。同样的,你也不能保证中间人不会在 Steam 网站代码里 “加料”,比如登录时只传输明文密码之类的。所以 OP 的第一个问题回答是并不安全,如果你必须要使用这类网站则大前提是信任他们不会作恶。
XIU2
2022-10-19 15:44:10 +08:00
反向代理是有安全风险的,因为所有传输的数据对于反代服务器来说都是明文的。

你用 钥匙 A 把数据锁在 箱子 A 里,然后把 箱子 A 给反代服务器,
反代服务器用 钥匙 A 打开 箱子 A (此时反代服务器能明文看到)把数据拿出来放到另一个 箱子 B 里并用 钥匙 B 锁上,然后将其发给目标网站,
目标网站收到后用 钥匙 B 打开 箱子 B 查看数据,处理后再原路返回。

用户 <=证书 B 加密=> 网站
用户 <=证书 A 加密=> 反(明文)代 <=证书 B 加密=> 网站

用户 和 反代 单独用一套 公匙和私匙,反代 和 目标 单独用一套 公匙和私匙,都是独立的。


上面说的是不同域名反代,如果是同域名(即使用 Steam 的官方域名),那么需要你信任对方自签根证书,这样才能建立 SSL 链接,当然依然是有安全风险。
mxT52CRuqR6o5
2022-10-19 16:49:44 +08:00
加速器大多数都会想办法劫持安装包更新包来节省跨境流量,就会去静默安装证书,
CSGO
2022-10-20 08:58:39 +08:00
@LinePro
@XIU2
@mxT52CRuqR6o5 非常感谢,大概懂了!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/888096

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX