一个安全问题，第三方路由固件挂马问题。

你能想到，就必然已经存在。

爱用不用。担心安全自己做审计

肯定有的。特别是路由固件中带宽帐号明文的。嗯，以前带宽知道账号和密码可以随意定制任何业务。以前最喜欢拿来充 QQ 会员了。
路由挂马，最简单就是内置一个数据监听。把 HTTP 表单内容都记录下来。

所以尽量不用论坛 /博客之类发布的个人作品咯

自己编一个

同问， uboot 用的别人的， openwrt 用的自己的，这样有问题么

想问问,怎样可以科普 openwrt 的知识

你可以抓包看看数据正常不，或者要求源代码，自己 diff 一下看看修改的地方。或者就用官方解决方案，比如 Linksys 出的官方 Openwrt 路由器。

@holong2000 其实说来没有绝对安全的
@hiddenman 自己编自然可以，只是不一定都有那个精力
@tobyxdd 多数固件都是个人制作的吧
@Explorare 恐怕最安全的还是用官方固件吧

不如大家一起在 V2EX 交流一下如何用官方网站上下载的 ImageBuilder 来定制适合自己路由器的固件吧，国内搞这方面的人很少，很多都是想收费定制的，钱倒是不多，但这玩意还是自己动手靠谱。

直接从源码编译没必要，我试过的， ImageBuilder 包修改 dts 文件后重组的固件，是完全没问题的，目前就还有些细节没折腾。

至于 uboot ，我觉得它跟 android 中的 recovery 差不多吧，应该只在刷机起作用，不知正常启动时是否会是一个必经的阶段？像计算机的 BIOS 那样。。。。

@zhixingcsb 我的国内小牌子路由器，上次就因为刷了厂家提供的最新固件，导致下载文件时总是损坏，所以，官方的也不一定最可靠。。。

@pmpio 主要是保证安全性，但是官方固件一般都太保守，而第三方的就不知道安全性了。

@zhixingcsb 官方固件也要分情况。比如某想就在 BIOS 上动手脚，比如国产路由使用默认后台密码，一扫一大片。开源是最好不过的，但要有足够大的社区来进行安全审阅，不然只开源但是没人审阅就没意义了。你这个情况，还是先从有官方解决方案的路由开始吧，一步步来。

目前唯一被大范围曝光的固件挂马的也就是小米路由了吧
利用透明代理强制插入 JS 插入小广告

@lshero 执行远程脚本罢了， JS 的特性之一

@aivier 其实做了透明代理读取任意域下的 cookie 也很简单

@zhixingcsb ddwrt/openwrt/tomato/routeros 哪个都不是个人制作 非要找冷门型号的个人移植那没办法

其实我更好奇不死 uboot 和 breed 的制作方法。

买一个 OpenWrt 官方支持的路由器

@lshero 第一次听说 JS 还能做透明代理，一个市值比你一辈子赚的钱还多的公司没必要盗取你在 18 禁网站的观看记录 Cookie