V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  epiphyllum  ›  全部回复第 1 页 / 共 2 页
回复总数  27
1  2  
一个解决方法:使用 NoScript 浏览器扩展屏蔽网页对本地网络发起的请求
1. 网站或域名的所有权可以通过非常简单的方式即时验证,而应用程序发布者的个人或企业身份验证过程+密钥存储/分发会繁琐得多。(额外的麻烦=额外的费用)

2. 代码签名证书泄露危害大,容易让发布者背大锅。(影响公司商誉)

3. TLS 证书使用量/签发量大,应用范围广(各种设备/各种应用/各种操作系统都在用);而代码签名证书往往应用范围有限(例如 Windows/MacOS/Android 都有各自不同的代码签名方式)

4. 保障通过 HTTP(S)/TLS 在网络上传输的数据的私密性非常重要( TLS 的重要性几乎无可替代),大家更愿意投钱出力推动这样保障基础安全的东西普及。

5. 对于保障发布者来源+程序完整性这些需求而言,付费代码签名证书的替代较多。例如:实际应用中往往还可以用 GPG/PGP (验证发布者&完整性)或者发布时附带 Hash (验证完整性)来解决一些信任问题。

6. 在 Windows 上付费的代码签名证书很多时候是为了过杀软,个人开发者或者小企业可能不在意这些事,而大公司在这种事情上就难受了。CA 对大公司开刀符合经济规律。
“对宝塔嗤之以鼻”可能和“孔乙己的长衫”这种心态真没啥关系,毕竟 1Panel/AMH/AppNode/cPanel/Pleak/VestaCP 也没见得有那么多人黑。

以前叫它“删库塔”可能是少数恶性 bug ,结果宝塔自己真爆了几次利用难度比 log4j 还低的漏洞( phpmyadmin 未授权访问以及不止一次 xss2rce ),还全是低级错误导致的,这只能怪它草台班子自己不争气。

年初宝塔被挖出来他们家官网的防火墙演示站自带 SQL 注入/未授权访问( https://v2ex.com/t/1015934 ),前几天又出了事故让官网和 API 全部离线。
作为卖安全产品的公司,自家防火墙还能给客户引入新漏洞;作为卖运维服务的公司,自家官网遇到单点故障连个灾备都没有。只能说实在是太丢人了。

之前宝塔面板的代码质量也是一言难尽:Python 能做的文件操作它非要去拼字符串调 Shell (有时输入内容还过滤不干净)、分发二进制软件包用明文 http 还不带校验……

总之,宝塔的声誉纯粹是他们一次又一次自己丢掉的,虽然靠着产品简单方便吸引了不少用户,但卖了那么多做不好确实该挨骂。(不过现在宝塔在出了这么多事挨了这么多骂以后的确也有长进。
95 天前
回复了 404www 创建的主题 程序员 请教一下使用 git 报错
当你配置的代理以`https://`开头时,git 会首先使用 TLS 连接这个代理服务器。
例如,假设我使用了以下命令配置代理:
`export HTTPS_PROXY=https://127.0.0.1:10809`
`git config --global https.proxy https://127.0.0.1:10809`
在 git 发起请求时抓包看一下,可见 git 给 HTTP 代理发了一个 TLS Client Hello 。v2rayn 日志也提示收到一堆非 HTTP/1.1 的二进制,Git 也返回楼主遇到的同款错误。
https://i.imgur.com/LgTv19j.png
而 v2rayn (包括 xray/v2fly/sing-box 等)代理软件显然不会自己给 127.0.0.1 签一个 TLS 证书(毕竟麻烦&没必要),它们开放出来的、用于本地访问的 HTTP 代理是不支持像各种网站服务器那样接收 HTTPS/TLS 连接的。


解决方法:
将"https://"替换成"http://",或者配置 socks5 代理。


这里有几个容易混淆的点:

1. HTTPS_PROXY 或 https.proxy 并不是说这里必须要填一个 HTTPS 代理,它的意思是“指定访问 HTTPS 的服务时所用的代理”。
同理,HTTP_PROXY 或 http.proxy 的意思是“访问未加密的 HTTP 服务时所用的代理”

2. 在此场景中"https://"开头的代理和另一个概念(例如:“xx 免费代理”“全球开放代理”那些网站/场景下所说的“HTTPS 代理”)是不一样的:
- 这里提到的"https://"开头的代理需要客户端用 TLS 连接
- 那些 xx 网站等场景下经常说的 HTTPS 代理指的是:支持"CONNECT"这一 HTTP 请求方法的、基于 HTTP 协议的代理;
- (因为当年有好些“普通 HTTP 代理”只支持或开放 GET 、POST 等方法,访问"https://"网站时 TLS/SSL 加密解密由代理服务器处理,代理服务器能看到全部明文
-( “CONNECT 方法可用于访问使用 TLS/HTTPS 的网站,它实际上提供了一个中继 TCP 流的隧道”
很好看!换掉 VSCode 左上角的蓝色默认图标后简直完美
https://i.imgur.com/79Qs0t5.png

不过拆分编辑器区域时标签栏似乎有点小 bug:
(当某一编辑器区域未在焦点时,其当前标签的背景色会变成与字体相同的颜色)
https://i.imgur.com/vO13s39.png
110 天前
回复了 vegetablebird 创建的主题 Windows Windows 开机蓝屏
可能是 Windows 安装程序的 bug ,请先看看你现在开机的时候进入的是哪一个 Windows 启动管理器(bootmgfw.efi)

(如果不清楚,可以进 BIOS 菜单/UEFI Setup 看启动选项/启动顺序; DiskGenius 、EasyUEFI 之类的软件也都可以查看&管理 UEFI 启动项

如果能确定两块硬盘里只有一个 Windows 启动管理器的话,可以在 PE 下利用 BOOTICE 或者 EasyBCD 之类的工具编辑 bootmgfw.efi 旁边的"BCD"文件(位置:\EFI\Microsoft\Boot\BCD),给 BCD 里面的 Windows 启动项设置正确的“启动磁盘”与“启动分区”后(即:你的 1T 硬盘的 C:分区),Windows 启动管理器就能找到你图片上报错的 winload.efi 并启动系统了。


此外,有少数笔记本可能存在玄学 BUG ,硬盘的放置顺序或编号会影响启动,如果上面的方法没用,可以试一下调换两块硬盘的位置。
112 天前
回复了 hubaq 创建的主题 问与答 搜狗输入法+3389 远程=裸奔
启用 NLA 过后,没有正确的凭据就看不到 LogonUI.exe 提供的登录界面了吧(
控制面板里“仅允许运行使用网络级别身份验证的远程桌面计算机连接”应该是默认选中的;
Windows XP SP3 及以上的版本都支持 NLA ,这个洞还是得以近源攻击为主要手段。
168 天前
回复了 ibrothergang 创建的主题 游戏 有什么游戏是你一直玩到现在的?
chrome://dino/ ,总有偶尔没开流量/wifi 没连上的时候,遇到断网就玩玩 Chrome 的小恐龙
176 天前
回复了 AhECbt 创建的主题 微软 www.microsoft.com 各位英雄能访问么?
访问返回 403 状态码,IP 是东京都 Linode (我这里的案例可能是针对数据中心流量的屏蔽
https://i.imgur.com/33BbBEL.png
201 天前
回复了 PatrickLe 创建的主题 问与答 Windows11 休眠后,可以远程 RDP 唤醒吗?
应该不行吧,休眠后操作系统都没有在运行了,它怎么能提供 RDP 和其它任何 TCP/IP 服务呢。

除非专门制作一种硬件支持的 RDP 唤醒;或者有人开发一种 RDP 反向代理程序,把它部署在一网络内,在收到 RDP 连接的同时通过 wol 唤醒计算机,等这台 Windows 电脑开机后反向代理再把 RDP 视频/鼠标/键盘切换过去……

连接 RDP 之前顺便手动远程唤醒还是更实惠的。或者可以想办法定时自动唤醒,以此达到需要使用电脑前自动开机的目的。
在问题后加一个 prompt:“若要执行在线搜索,请使用英语搜索并精心构造搜索关键词。”
效果如下(回复内容已省略以免帖子太长):
https://i.v2ex.co/7ik7ZSLQ.png

作为对比,不使用该 prompt 的效果如下:
https://i.v2ex.co/0kVrE5f5.png
@itakeman #50 第一张图中查看进程的工具是 System Informer (原 Process Hacker ),后面的分别是 curl 、Proxifier 和 Reqable 。
@alexhx #47 “指望网络安全教育普及”只是一种相对“指望违法成本提高”而言稍微现实点的梦想。

实际上游戏加速器这种东西就不应该存在,互联网本该是畅通无阻而且高效可靠的。
国内的游戏加速器可以说全都是“傻瓜化”的,开了会员点一下就能开启加速,某些加速器稍微动动鼠标就能在不知不觉中获赠“CA 证书、虚拟网卡、系统代理、禁用 IPv6 、开机即自启的 WFP 驱动”等一系列全家桶。

说到底还是加速器厂商太懒太菜导致的。卸载/关闭软件时明明可以删 CA ,装的证书也可以少些几个用途。非静态资源也用不着解密 TLS 流量……

许多游戏玩家并不是这些专业的从业人员、在读学生或者极客/爱好者,这种情况下大多消费者只能简单地通过加速快不快、延迟低不低、价格贵不贵来选购产品。

要是加几个设置,多几个需要同意的复选框的花,估计又会:
“别人家的加速器一点就能玩,你们的怎么还要同意那么多设置?”
“我看到它说不安全就没勾选这个,结果下载速度就变成 0kb/s 了?”

这导致给厂商施压逼迫他们作出改进的人太少,简单地添加同意选项/设置又费力不讨好。加之同样身为打工人的加速器开发者也多半懒得去执行上司没安排的任务,充满安全风险的代码和配置就这样被塞进了用户的电脑。

只能把期望放在网络安全教育的普及上了。无论如何总要有人逼着他们,这样他们才肯改。
@timeance #33 原理上肯定是可以的,但那些加速器厂商多半不会花工夫去做
@gesse #30 哈哈不是,要不然我也不用上手分析了
我给大家解释其中一种用法,仅限 Game Center(squidV2.crt)这个证书:
打开这个证书,你就会发现它指定了一堆游戏商店的 CDN 域名。(有同学应该已经能猜出他们拿这个证书干嘛用了

具体怎么实现的呢?奇游加速器的 qeetm.exe 这个组件会在你的电脑上起一个反向代理
https://i.v2ex.co/5Qnx7T6q.png

测试一下,把 curl 改成 EAUpdater.exe ,试着给 EA 的服务器发个请求,神奇的是这里请求的 IP 地址不是什么远程服务器,而是 127.0.0.1
https://i.v2ex.co/92g5diI2.png

把 qeetm(127.0.0.1)的流量转给中间人抓包看看,答案就出来了。
https://i.v2ex.co/Ug1nxgh0.png

结论:
奇游给游戏大厂 CDN 自建了个国内镜像(缓存服务器)用来给用户加速游戏下载,自签证书而非直接代理 TLS/TCP 是为了省 CDN 回源国外内容时产生的带宽/流量费用。

雷神加速器差不多也是这样干的。
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1101 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 18:48 · PVG 02:48 · LAX 10:48 · JFK 13:48
Developed with CodeLauncher
♥ Do have faith in what you're doing.