关于机场安全性问题求助

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 513 天前的主题，其中的信息可能已经有所发展或是发生改变。

关于机场安全性问题求助各位大佬
先交代下上网坏境：pc 和 mac 上使用的科学上网工具都是 clash verge,搭配两个机场使用，其中一个机场是建立一年不到的一元机场，跟别的一元机场不一样，它家流量大速度快，一开始是当备用的，后来成了主力，这里不是打广告，我一直好奇这家是靠什么盈利的。
用的时间久了我就开始担心安全的问题，现在主要有两个问题：
问题一：因为我经常登录公司业务系统的管理员账号，每次我登录的时候都会习惯性的把 clash 关了，但总有几次忘了关，现在的疑问就是，机场有能力截取我的数据并破解出网页的登录账号密码吗？有些不重要的业务系统没有配置 ssl 证书，是 http 访问。
问题二：科学上网工具本身有没有安全风险，比如有后门或者重定向（不太懂）？

安全性

数据

风险

52 条回复 • 2025-07-04 14:27:02 +08:00

cheng6563

2024-06-05 11:58:23 +08:00

1.HTTPS
2.工具别用机场直接提供下载的，到第三方去下

snipking

2024-06-05 12:03:17 +08:00

1. 完全可以，HTTPS + 不安装第三方证书可防
2. 开放源代码不代表不会被植入恶意代码，有很多被投毒的案例，何况你还用的是不知道哪里下载的二进制包

Kathy1989

2024-06-05 12:07:34 +08:00

https ，机场主最多知道你访问了什么域名和端口，参数都加密

Kathy1989

2024-06-05 12:08:18 +08:00

@Kathy1989 #3
例如他知道你访问了油管，不知道你看具体哪个视频，https 视频的 url 参数都是加密的

int80

2024-06-05 12:34:56 +08:00 via Android

不放心就链式代理自己落地

kneo

2024-06-05 12:44:40 +08:00 via Android

clash 里的规则自己改一下。
http 就相当于裸奔了。

XnEnokq9vkvVq4

2024-06-05 12:48:21 +08:00 via iPhone

不知底细的一元机场确实适合自己搞个落地，而且以后再换机场也方便

Andim

2024-06-05 12:50:03 +08:00

严格来说这些非大厂(ExpressVPN,NordVPN)的产品肯家有安全隐患
只不过大家平时都是用来娱乐消遣用也无所谓了
还有就是用中转机场，GOV 可以拿到你的数据

kulous

2024-06-05 12:50:09 +08:00 via Android

广告都打了，不发网址就过分了

drymonfidelia

2024-06-05 12:51:41 +08:00

@Kathy1989 油管会根据 IP 最近观看的视频推广告，尤其是未登录状态下权重很高，一定程度上可以猜出你看了什么视频

Snake2

2024-06-05 13:07:15 +08:00

@snipking 2.clash verge 是在 GitHub 源地址下的，两万多颗星，很多人用，如果有恶意代码应该会被发现吧

Snake2

2024-06-05 13:07:59 +08:00

@hanqian 请教一下落地是指什么意思？

Snake2

2024-06-05 13:09:07 +08:00

@kulous 真没有打广告，不会发的

Snake2

2024-06-05 13:10:41 +08:00

@Kathy1989 我会陆续都配上 https 的，谢谢

wellerman

2024-06-05 13:12:28 +08:00

自己买个便宜的 VPS 搭一个代理，然后走机场中转，这样速度和安全都有保障。

x86

2024-06-05 13:19:09 +08:00

一元机场都是月抛号，成本很低的，还都是直连

lichao

2024-06-05 13:24:40 +08:00

https + 电脑无毒，就是安全的，机场最多知道你访问了哪个域名和 IP ，仅此而已。

XnEnokq9vkvVq4

2024-06-05 13:25:02 +08:00 via iPhone

@Snake2 你最终通过哪个服务器访问被墙的网站，那个服务器就是落地。也就是楼上说的，你-机场-你的服务器-被墙网站这样

fred649

2024-06-05 13:25:53 +08:00

关键词：链式代理

huage

2024-06-05 13:39:43 +08:00

leensa：论投毒，在座的都是小弟

timnottom

2024-06-05 13:44:51 +08:00

@wellerman #15 给个关键词哥，怎么中转其它代理

Goooooos

2024-06-05 14:03:40 +08:00

append-proxies:
- name: warpchain
type: wireguard
server: engage.cloudflareclient.com
port: 2408
public-key: xxxx
private-key: xxxxx
ip: 172.16.0.1
udb: true
reserved: [x,y,z]
dialer-proxy: "AllProxy"
prepend-proxy-groups:
- name: "AllProxy"
type: url-test
url: 'https://www.gstatic.com/generate_204'
interval: 300
tolerance: 150
lazy: true
include-all-proxies: true
exclude-filter: "(?i)warpchain|日本"

Ipsum

2024-06-05 14:19:02 +08:00

https 不装第三方证书，应该没有问题。

YDCHYD

2024-06-05 14:20:10 +08:00 via iPhone

机场只能看到你访问的域名和你的 IP 地址，http 偷密码没必要，还不如给你中间人攻击插广告来钱快
唯一担心点是知道你的支付信息，也就是能把你实名出来。（虚拟币除外）

iamv2er

2024-06-05 14:25:47 +08:00

1.安全不用担心。以常用的 ss 协议举例子，首先 ss 是有加密的，比如使用的 chacha20-ietf-poly1305 ，然后你网站一般都是 https 了，又有 tls 加密了。机场主破解不了。除非他特意去给你解密外层的 chacha20-ietf-poly1305 。https 需要你本地安装证书才可以，最著名的机场就是速蛙云了。通过你本地安装证书来实现自动奈飞解锁，本质就是完全劫持请求。

2.工具一般不会有风险。可能会有漏洞，开发者持续更新即可，就如同问 linux 和 windows 安不安全一样。代理软件本质只是给你的系统请求进行加密封装转发。

3.一元机场基本月抛，真不建议，机器成本低。最起码买 10 元左右的。现在机场基本几十 M/s 是很容易达到的。要推荐机场的,几十家机场：suo.st/CRwiCQx

Snake2

2024-06-05 14:26:22 +08:00

@hanqian 明白了，谢谢

datoujiejie221

2024-06-05 14:47:40 +08:00

不用全局代理就行，规则的话把你们公司业务系统的域名配置成走直连就不会通过机场了
机场最大的安全性是你在机场设置的密码，容易拿来去做撞库攻击

GoNewEra

2024-06-05 15:53:34 +08:00

@Goooooos append-proxies 字段没见过啊?!!! 文档在哪

Goooooos

2024-06-05 16:02:50 +08:00

@GoNewEra https://clash-verge-rev.github.io/guide/merge.html

Rehtt

2024-06-05 16:51:50 +08:00 via Android

套一层 wgcf

qingshengwen

2024-06-05 16:55:12 +08:00

@Snake2 #12 用机场出国，然后再转到自己的 vps 落地

plasticman64

2024-06-05 16:56:48 +08:00

之前刷 TG 看到一个频道说一元机场的机场主是个十多岁的小孩，不知道真的假的

libook

2024-06-05 16:59:23 +08:00

HTTP 绝对是能泄漏信息的。

在可靠渠道下载客户端，用机场配置的基础上，自己配置一套路由规则，把不需要走机场的都设置为直连。

LiLaoMo

2024-06-05 17:01:33 +08:00

clash verge 确实好用。顺便推荐一下自用的机场 1 元 100g
aHR0cHM6Ly9kYXNoLmZzY2xvdWQuY2MvIy9yZWdpc3Rlcj9jb2RlPVVHdmR3Zm5M

wellerman

2024-06-05 17:03:44 +08:00

@timnottom #21 上面有人回复了：链式代理

具体到，IOS 小飞机上就用中转。macos 和 PC 上，比如我用的是私有的 v2ray 出口转发到机杨 clash 的本地端口上。

pkoukk

2024-06-05 18:28:12 +08:00

公司的业务系统怎么会走代理呢？你设置的规则有问题吧

xipiping

2024-06-05 18:41:58 +08:00

@Snake2 clash verge 没问题，只要 github 或者 google play 下载就行。
另外如果非常注重安全的话，那么建议尽量自建，成本并不比你买机场高。毕竟独立的 ip 就你一个人用。
机场的话，登录尽量不要使用你本地 ip ，支付不要用你实名。一旦机场主被抓，肯定会供出用户

tiiis

2024-06-05 20:12:21 +08:00 via iPhone

本机-机场-自己节点
关键字 relay

rulagiti

2024-06-06 08:32:49 +08:00

这都不是问题，买个便宜的落地机就行，机场最大的问题是实名翻 Q 。

Meteora626

2024-06-06 09:29:56 +08:00

@plasticman64 502 论坛以前一堆十几岁小孩开机场，还有卖 vps 骗钱跑路的。

wheat0r

2024-06-06 10:37:24 +08:00

@Snake2 #11 clash-verge-rev 是活着的项目。从 repo 上下载二进制也不能保证没有投毒，想要保险就从人们已经用过一段时间的源码自己编译。

sqshanbing

2024-06-06 11:27:55 +08:00 via iPhone

我记得之前某个大机场的机场主说没事的时候就回去看你们访问了哪些地址

Christli

2024-06-06 21:21:58 +08:00

@q727729853 #34 价格是便宜，不知道稳定性和速度怎么样？

LiLaoMo

2024-06-06 22:05:52 +08:00

@Christli 我家网速是 200M 的，绝对可以跑满。好像有免费的测试流量，你试试

yuedingwangji

2024-06-08 05:22:48 +08:00

你使用人家的代理，流量肯定都经过人家服务器呀，https 是可以解密的，可以解密你的 url 跟参数等等。域名是根据 sni 来的

bclerdx

2024-06-11 16:50:11 +08:00 via Android

@int80 请问什么是链式代理？

int80

2024-06-11 19:18:49 +08:00 via Android

@bclerdx 有的点类似洋葱路由一级级跳，最后一跳自己的机器作出口

yankebupt

2024-06-17 18:38:16 +08:00

@Snake2 现在稳定的机场
一种是特别老牌的 V*N
一种是有点关系的，能在野蛮的互相 DDoS 和各种清理活动中活下来的。（因为机场是灰色地带，所以你被 D 了报工信是没人管的，只能认栽或反 D 看谁熬得过谁）
所以即使是正规的机场，安全性也就那样（一般都会象征性也屏蔽几个站点以及不让用 DNS over HTTPS 以保留浏览记录，懂得都懂）
凑合用就行了。其实在一个不需要机场的世界，平民出口带宽大概会被挤爆，大家都在卷各种加速器，也会互相举报谁凭关系拿了多少优质带宽什么的，互相不能 DDoS 了但是互相污染 ip 并最终导致不得已的实名云云，很可能是个有点类似的场景。

shenyuzhi

2024-06-20 11:43:33 +08:00

套个 WARP 就完事了。机场只能看到你一直在和 WARP 通信，其它什么都看不到。WARP 也不会增加延迟，还能解锁一些服务。

darrentao

2024-07-05 11:44:57 +08:00

便宜机场，稳定，需要自取
aHR0cHM6Ly94bi0tbWVzMzU4YTl1cmN0eC5jb20vIy9yZWdpc3Rlcj9jb2RlPTUzeUtNU1pt

Jmoment

2024-07-22 13:49:18 +08:00

一元机场盗微软账号

mortalbibo

119 天前

魔戒，老牌机场了，按量付费，流量用不完就一直用，十几块钱用了两年了，感觉还行
地址是(base64 编码):aHR0cHM6Ly93d3cubW9qaWUubWUvIy9yZWdpc3Rlcj9jb2RlPTJoQk90cXBK