这是一个创建于 2729 天前的主题,其中的信息可能已经有所发展或是发生改变。
不管中间怎么加密,梯子收到加密数据后,总得解密后才能发送到网站服务器吧,也就是梯子可以拿到明文的用户的网站请求包,也许拿不到 md5 解密的密码,但拿到 cookie ,效果也是一样的,已经可以直接用用户的 id 登录网站了,不知我说得对不对?另外,如果是用户用梯子访问 https 网站,比如邮箱之类的,梯子铺老板能盗用 cookie 登录不?
 |
1
BOYPT 2016-10-29 23:20:16 +08:00
1 ,是的
2 ,不能 |
 |
2
ahhui 2016-10-29 23:20:55 +08:00 via iPhone
http 可拿 cookie ,可直接用 cookie 登录你的账号。如果登录表单是明文 post 的,还能拿到你的账号和 /或密码。
https 正常情况下拿不到你的 cookie ,也得不到密码。非正常情况,如本机梯子安装了证书,可中间人劫持,或降级攻击,还是能拿到你的数据。 |
 |
3
mingyun 2016-10-29 23:41:35 +08:00
卧槽,是不得开始改密码
|
 |
4
20150517 2016-10-29 23:46:25 +08:00
我做了一个 shadowsocks 的改造版,可以读你 http 上的 cookies,并 log 在文件里.....哈哈
|
 |
5
lisonfan 2016-10-29 23:47:55 +08:00 via iPhone
所以自己搭梯子,美国的服务器便宜的多的是,几十块人名币一年
|
 |
6
xmh51 2016-10-29 23:48:20 +08:00
正常啊。 1.能 2.中间人攻击可拿到信息
|
 |
7
MrFireAwayH 2016-10-29 23:50:36 +08:00 via Android
所以我只用自己的梯
|
 |
8
txlty 2016-10-29 23:58:48 +08:00
这是常识吧?理解网络安全基本概念的人都应该知道的。
不怕慢可以加一层 tor ,梯子就什么都读不出来了。不过 tor 出口节点一样能抓到 http 的 cookie |
 |
9
amb OP 为什么子本地用 http 工具比如 Http Analyzer ,我能看到 https 的 cookie 呢?
|
 |
10
murmur 2016-10-30 00:16:16 +08:00  1
cookies 一般是不校验地理位置的 一是国内 IP 乱 jb 分 二是考虑移动用户
但是好一点的系统在地理位置异常的时候 都会锁定账号或者出二次认证 @amb 你信任了你自己的证书 或者像 fiddler 这种插在某个地方搞事。。 |
|
11
MrFireAwayH 2016-10-30 00:29:41 +08:00 via Android
@murmur 话说我最近研究 fiddler 抓安卓 https 装了它的证书 可是还是会出现 "有安全问题 是否继续"类似的对话框 有什么好办法么?
|
|
12
murmur 2016-10-30 00:30:48 +08:00
@MrFireAwayH 直接访问你的代理 用浏览器 有一个链接可以下载证书 下载完信任了就好了
|
|
14
MrFireAwayH 2016-10-30 00:34:07 +08:00 via Android
@murmur 我造……我装了……
|
|
15
MrFireAwayH 2016-10-30 00:36:09 +08:00 via Android
@murmur 证书是自动装在安卓的 "用户" tab 里面的 并且标题是 DO Not Trust Fiddler CA 类似字样(我感觉这个名字是 fiddler 给我起的)
|
 |
16
xgfan 2016-10-30 01:39:33 +08:00 via Android
@MrFireAwayH 如果你是浏览器访问,可能是因为 fiddler 生成的假证书有效期太长了。
|
 |
17
helloccav 2016-10-30 02:15:51 +08:00
@lisonfan 请允许我将问题升级一下:假如我买了月饼家的 VPS ,在上面架了一个梯子,马老板不知道我的 VPS 的 ROOT 密码,但他能控制整个月饼云系统,那么马老板可以拿到明文的用户的网站请求包吗?
|
 |
19
lightening 2016-10-30 03:16:42 +08:00
看网站实现。比如 Rails 的网站 cookie 都是 web 服务器端加密的,用户自己也看不见、不能改。
|
 |
20
bearqq 2016-10-30 08:32:46 +08:00 via Android 1
除了 ss ,你们玩免流的,同样
|
 |
21
Vizogood 2016-10-30 08:39:14 +08:00 via Android
自己搭梯
|
 |
22
zrj766 2016-10-30 09:15:23 +08:00 via Android
梯子铺?我给你问问老板。。
|
 |
23
raffy2010 2016-10-30 09:25:17 +08:00 via Android
早年间有靠谱同事建议不要用某云,原因你们自己想想
|
 |
24
lhbc 2016-10-30 09:42:51 +08:00
其实只要注意不被中间人就行了
现在还有什么靠谱点的网站不是 https 的(大陆除外)? |
 |
25
snnn 2016-10-30 10:41:39 +08:00 via Android
goagent 那样的有这个问题,所以我坚决不用
|
 |
26
fengkuangdedoufu 2016-10-30 10:54:59 +08:00
首先谢谢支持梯子铺,梯子铺是收费服务,有盈利,绝不会做出这样的事情,既然选择,就请相信。
|
|
27
fengkuangdedoufu 2016-10-30 11:09:38 +08:00
@lisonfan 自己搭梯子也是可以的,对症下药,比如你是移动,随便搞个香港绕路鸡,跑的飞起。联通的话,随便搞个日本,也能顺畅的玩玩,晚高峰的话,不一定。但是电信就蛋疼了,要是你是电信,你一个月下来自己搭建的费用肯定不便宜。最后欢迎使用梯子铺的收费服务,便宜好用。哈哈哈 https://www.tizipuss.com/?aff=1
|
 |
28
chroming 2016-10-30 11:16:50 +08:00
所以在遇到求推荐 ss 时很多人都推荐自己搭,主要就是考虑安全性问题
|
 |
29
limhiaoing 2016-10-30 11:28:40 +08:00 via iPhone
如果访问目标服务器使用 http 确实是可以看到的,但是使用 https 的话正常的 http 代理是用隧道透传的,是看不到 cookie 的等信息的, go 阿根廷是个例外(这东西不安全)。
|
|
30
lisonfan 2016-10-30 11:41:47 +08:00 via iPhone
@fengkuangdedoufu 我现在就是用的美国,速度可以,用了锐速
|
 |
31
springx 2016-10-30 11:51:47 +08:00
正是因为考虑到安全性所以才推荐自己搭,而且自己搭的话可以搭个和自己网络最适合的梯子,并且自己还可以有针对性的进行优化。除了省钱之外,梯子铺没有更多的优点了。
|
 |
32
a86913179 2016-10-30 12:38:41 +08:00
贱卖流量 10 元 50G 20 元 100G 30 元 200G 50 元 500G , BT 可以偶尔用,但别 24 小时挂着,平时上班基本不管,除非宕机会上去看一下。有兴趣可以私信我
|
 |
33
echo111222 2016-10-30 12:38:52 +08:00 via Android
所以借楼问下,有什么实惠的 vps 么
|
|
34
a86913179 2016-10-30 12:48:52 +08:00
@echo111222 很多,建议你去 lowendstock.com 去看下
|
|
35
a86913179 2016-10-30 12:50:17 +08:00
对了,我是个有信仰的人,不挂 SSR ,不开加速软件,所以除了香港节点外,速度都随缘,高峰不保证。。。不高峰 8K 是没啥问题。
|
 |
36
Quaintjade 2016-10-30 13:00:23 +08:00 via Android
自己搭的, VPS 商也可以看见,准确地说从解密的服务器到目标服务器直接一切中间人都能看见。
所谓的自搭比直接买安全,只是认为一般 vps 商的用户比 vpn 商的用户多、流量大,以及 vpn 可以把监听筛选记录功能做进客户端、 vps 一般只能在出口监听筛选记录(除了像千万云这种在客户机里装木马的)。 |
|
37
Quaintjade 2016-10-30 13:07:00 +08:00 via Android
@Quaintjade
然而有些小 VPS 商的用户不多,想做的话是可能的。 另外, openvz 小鸡的文件好像直接从母鸡就能看见来着( kvm 不全盘加密也有办法访问),所以保存在 vps 的密码 /密钥对 vps 商是透明的,只能依赖商家人品。 |
 |
38
kohnv 2016-10-30 13:10:36 +08:00 via iPhone
之前买了个 vps 搭 shadowsocks ,后来女神听说可以翻墙找我借账号,于是我修改了 shadowscks 的源码,把女神的所有请求都 log 下来,不仅能看到访问了什么网站,还能拿到 cookie 。不过没什么卵用,女神上的都是 facebook 这种 https 的网站,只能 log 下来一堆乱码
|
 |
39
jadecoder 2016-10-30 13:13:18 +08:00 2
以为梯子铺是指卖梯子的,看到最后才发现是实指....
|
 |
41
onionnews 2016-10-30 13:37:12 +08:00 via Android
现在电脑换上 xx-net 了,速度很满意,不知道安全不
|
 |
42
hack 2016-10-30 13:56:01 +08:00
@MrFireAwayH 黑一家 CA ,拿到一个可信的
|
 |
44
elikoi17 2016-10-30 14:39:33 +08:00 via Android
|
 |
45
tracymcladdy 2016-10-30 15:23:35 +08:00
自己搭梯子,要匿名梯子后加 tor
|
 |
46
usedname 2016-10-30 15:40:42 +08:00
岂止是 cookie ?
|
 |
47
doubleflower 2016-10-30 16:14:53 +08:00
基本上有重要数据的网站都是 https 了,所以也不用太担心什么。
|
 |
50
dizzy 2016-10-30 18:00:00 +08:00
自己发的帖子貌似不能上主页,搭车请问下,梯子铺用的什么 vps ?为什么比我自己的快不少。
|
 |
51
kang000feng 2016-10-30 19:21:30 +08:00
|
|
52
kang000feng 2016-10-30 19:26:13 +08:00
还是自己搭梯子最安全 见之前贴 /t/316153
|
 |
53
loveqianool 2016-10-30 20:34:59 +08:00 via Android
@a86913179 怎么私信
|
|
54
a86913179 2016-10-30 21:04:13 +08:00
@loveqianool 习惯了,哈哈,发现 v2 不能私信。。。直接 email:[email protected]
|
 |
55
kaneyuki 2016-10-30 21:11:04 +08:00
所以梯子永远是自己的好
|
 |
57
tony1016 2016-10-31 09:30:20 +08:00
http 可以, https 不行
|
 |
58
killerv 2016-10-31 09:32:20 +08:00
所以梯子最好还是自己做
|
 |
61
Dearyangheng 2016-10-31 16:09:09 +08:00
@lisonfan 怎么自己搭梯子 还有那么便宜的服务器在哪里买的 给个地址咧
|
 |
62
lslqtz 2016-11-14 19:43:22 +08:00
搭车问个问题,有啥 VPN 好买,梯子对游戏来说。。
|
 |
63
mcree 2016-12-08 18:42:40 +08:00
@kohnv 你自己搞一个 CA 证书告诉她要装这个证书才能用,或者把 ss 客户端改一改偷偷装个证书(咦,支付宝安全控件好像就干了这事)。
|
|
65
a86913179 2016-12-14 21:45:16 +08:00
@Dearyangheng 想要速度就是一分钱一分货,支付不起服务器费用还是去用别人的!
|
|
66
a86913179 2016-12-14 21:49:29 +08:00
@Dearyangheng 如果不追求速度, CAC 有一次付费终身使用机器,做活动大概 3 刀~ 10 刀的样子。还有不要贪便宜买 OVZ ,买年付 10 刀左右的 KVM 开个锐速一般 4Mbps 是有的。想要 20 ~ 50Mbps 的一个月 5 ~ 10 刀左右,想要 100Mbps 满速的,基本都是一个月 20 ~ 30 刀的。
|
 |
67
g0o 2019-03-25 01:32:57 +08:00 via Android
so 走付费 v 呀 pn,不记录日志,https://topvpn.github.io
|
 |
68
Frostbyte 246 天前
可以拿到但一般梯子不会专门记录,发送后即丢弃,可以看下这个梯子全平台客户端,24 小时试用,10Gbps 带宽,无限流量,私有协议,稳
https://www.laogou.us/register.html?trackId=9d837e609b0c5a3c |
Select Language