为什么有担心机场不安全的问题?

2022-12-10 22:06:45 +08:00
 mingtdlb

机场把数据全公开分享,让别人去研究?

用户信息很有价值,足以让别人花时间去研究?

机场作为服务端,劫持钓鱼,比如登入 jd ,机场可以劫持东哥的证书?

正常不是都已经有 tls 加密了嘛,数据给他们,不是也只能看到 sni 的信息嘛?

理论上也许有漏洞,可以实现,但会很容易嘛,大家都有这个能力?

还请彦祖们赐教,小弟长长见识。

4136 次点击
所在节点    问与答
13 条回复
lkk
2022-12-10 22:30:21 +08:00
机场可能本来就是有关部门开的,他们不需要知道你的内容,只要记录你有翻墙这个行为就可以了。毕竟三年以下有期徒刑或者拘役,并处或者单处罚金,这个口袋是随时可以收的。
GeruzoniAnsasu
2022-12-10 22:33:58 +08:00
1. 你把手机号交给了不明背景的人
2. 你把密码交给了不明背景的人
3. 你把违法事实交给了不明背景的人
4. 人类这个群体,只要有人想得到,就有人会去尝试。
mingtdlb
2022-12-10 22:40:26 +08:00
@GeruzoniAnsasu
1. 他怎么获取手机号?
2. 同 1
cest
2022-12-10 22:41:02 +08:00
没看最近被 revoke 的 ca ?

机场可以劫持没 ssl pin 的证书
explore365
2022-12-10 22:48:44 +08:00
如果机场是有关部门开的蜜罐,你的手机号有概率被获取,你访问的网站会被获取,等等等等。
GeruzoniAnsasu
2022-12-10 22:55:56 +08:00
@mingtdlb

我美其名曰需要动态验证码+个人密码强 2FA 保护账号就都有了。

你不会想把讨论范围仅限在「那个提供接入服务的服务器」吧?
注册、付费、客户端呢?这些环节在黑产手里能变出十八种花样来卖。
0o0O0o0O0o
2022-12-10 23:05:08 +08:00
我不放心用机场当落地的原因:

一般你要注册、支付、连接,所以你的邮箱、手机号、设定的密码、你的常用真实 IP 等信息可能会被机场记录;

有些机场还会用一些聊天工具来提供支持,又是一个维度的个人信息;

机场未必是蜜罐,但机场往往规模小,被黑也正常,被黑则可能伴随着信息泄露;

机场邻居可能在做一些容易被铁拳的事情,铁拳下来,你被牵连调查;

“正常不是都已经有 tls 加密了嘛”,但总有不这么正常的网站和客户端。

当然你可以通过种种操作来规避以上这些风险,譬如用虚假、特意生成的信息来注册、不通过工单以外的方式获取支持、不通过常用 IP 来使用、本地加一层确保通过代理出去的都是安全的 tls 等,但这么用起来肯定会不爽。
shitdarkdark
2022-12-11 00:25:38 +08:00
自建机场 不担心
Jirajine
2022-12-11 00:35:44 +08:00
你看看你机场的“审计规则”,你就知道为什么了。还有些机场只接受某几个邮箱,甚至要手机号的,就更不用说了。
hafuhafu
2022-12-11 00:44:33 +08:00
单纯只是对完全未知的不信任感而已。
按照我的认知程度,我敢说绝大多数人用机场都是把直接订阅链接丢客户端吧,甚至客户端都是从机场的网站下的...就算真的出现一些小无良机场弄一些啥东西估计也不知道。
我目前能想到最坏的可能出现并且确定能实现的结果:通过订阅链接+提供漏洞版本,比如之前 Clash for Win 的漏洞。
paperseller
2022-12-11 09:21:02 +08:00
曾经见过有机场挂出违规使用 bt 下载的用户的真实 ip 地址、地理坐标、下载时间下载内容。此后主用自建节点,机场用来看流媒体和备用
SenLief
2022-12-11 11:54:42 +08:00
上网的时候不一样会被电信公司捕获?
googlefans
2022-12-11 19:16:20 +08:00
都是透明人

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/901606

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX