关于机场安全性问题求助

1.HTTPS
2.工具别用机场直接提供下载的，到第三方去下

1. 完全可以，HTTPS + 不安装第三方证书可防
2. 开放源代码不代表不会被植入恶意代码，有很多被投毒的案例，何况你还用的是不知道哪里下载的二进制包

https ，机场主最多知道你访问了什么域名和端口，参数都加密

@Kathy1989 #3
例如他知道你访问了油管，不知道你看具体哪个视频，https 视频的 url 参数都是加密的

不放心就链式代理自己落地

clash 里的规则自己改一下。
http 就相当于裸奔了。

不知底细的一元机场确实适合自己搞个落地，而且以后再换机场也方便

严格来说这些非大厂(ExpressVPN,NordVPN)的产品肯家有安全隐患
只不过大家平时都是用来娱乐消遣用也无所谓了
还有就是用中转机场，GOV 可以拿到你的数据

广告都打了，不发网址就过分了

@Kathy1989 油管会根据 IP 最近观看的视频推广告，尤其是未登录状态下权重很高，一定程度上可以猜出你看了什么视频

@snipking 2.clash verge 是在 GitHub 源地址下的，两万多颗星，很多人用，如果有恶意代码应该会被发现吧

@hanqian 请教一下落地是指什么意思？

@kulous 真没有打广告，不会发的

@Kathy1989 我会陆续都配上 https 的，谢谢

自己买个便宜的 VPS 搭一个代理，然后走机场中转，这样速度和安全都有保障。

一元机场都是月抛号，成本很低的，还都是直连

https + 电脑无毒，就是安全的，机场最多知道你访问了哪个域名和 IP ，仅此而已。

@Snake2 你最终通过哪个服务器访问被墙的网站，那个服务器就是落地。也就是楼上说的，你-机场-你的服务器-被墙网站 这样

关键词：链式代理

leensa：论投毒，在座的都是小弟

@wellerman #15 给个关键词哥，怎么中转其它代理

append-proxies:
- name: warpchain
type: wireguard
server: engage.cloudflareclient.com
port: 2408
public-key: xxxx
private-key: xxxxx
ip: 172.16.0.1
udb: true
reserved: [x,y,z]
dialer-proxy: "AllProxy"
prepend-proxy-groups:
- name: "AllProxy"
type: url-test
url: 'https://www.gstatic.com/generate_204'
interval: 300
tolerance: 150
lazy: true
include-all-proxies: true
exclude-filter: "(?i)warpchain|日本"

https 不装第三方证书，应该没有问题。

机场只能看到你访问的域名和你的 IP 地址，http 偷密码没必要，还不如给你中间人攻击插广告来钱快
唯一担心点是知道你的支付信息，也就是能把你实名出来。（虚拟币除外）

1.安全不用担心。以常用的 ss 协议举例子，首先 ss 是有加密的，比如使用的 chacha20-ietf-poly1305 ，然后你网站一般都是 https 了，又有 tls 加密了。机场主破解不了。除非他特意去给你解密外层的 chacha20-ietf-poly1305 。https 需要你本地安装证书才可以，最著名的机场就是速蛙云了。通过你本地安装证书来实现自动奈飞解锁，本质就是完全劫持请求。

2.工具一般不会有风险。可能会有漏洞，开发者持续更新即可，就如同问 linux 和 windows 安不安全一样。代理软件本质只是给你的系统请求进行加密封装转发。

3.一元机场基本月抛，真不建议，机器成本低。最起码买 10 元左右的。现在机场基本几十 M/s 是很容易达到的。要推荐机场的,几十家机场：suo.st/CRwiCQx

@hanqian 明白了，谢谢

不用全局代理就行，规则的话把你们公司业务系统的域名配置成走直连就不会通过机场了
机场最大的安全性是你在机场设置的密码，容易拿来去做撞库攻击

@Goooooos append-proxies 字段没见过啊?!!! 文档在哪

@GoNewEra https://clash-verge-rev.github.io/guide/merge.html

套一层 wgcf

@Snake2 #12 用机场出国，然后再转到自己的 vps 落地

之前刷 TG 看到一个频道说一元机场的机场主是个十多岁的小孩，不知道真的假的

HTTP 绝对是能泄漏信息的。

在可靠渠道下载客户端，用机场配置的基础上，自己配置一套路由规则，把不需要走机场的都设置为直连。

clash verge 确实好用。顺便推荐一下自用的机场 1 元 100g
aHR0cHM6Ly9kYXNoLmZzY2xvdWQuY2MvIy9yZWdpc3Rlcj9jb2RlPVVHdmR3Zm5M

@timnottom #21 上面有人回复了：链式代理

具体到，IOS 小飞机上就用中转。macos 和 PC 上，比如我用的是私有的 v2ray 出口转发到机杨 clash 的本地端口上。

公司的业务系统怎么会走代理呢？你设置的规则有问题吧

@Snake2 clash verge 没问题，只要 github 或者 google play 下载就行。
另外如果非常注重安全的话，那么建议尽量自建，成本并不比你买机场高。毕竟独立的 ip 就你一个人用。
机场的话，登录尽量不要使用你本地 ip ，支付不要用你实名。一旦机场主被抓，肯定会供出用户

本机-机场-自己节点
关键字 relay

这都不是问题，买个便宜的落地机就行，机场最大的问题是实名翻 Q 。

@plasticman64 502 论坛以前一堆十几岁小孩开机场，还有卖 vps 骗钱跑路的。

@Snake2 #11 clash-verge-rev 是活着的项目。从 repo 上下载二进制也不能保证没有投毒，想要保险就从人们已经用过一段时间的源码自己编译。

我记得之前某个大机场的机场主说没事的时候就回去看你们访问了哪些地址

@q727729853 #34 价格是便宜，不知道稳定性和速度怎么样？

@Christli 我家网速是 200M 的，绝对可以跑满。好像有免费的测试流量，你试试

你使用人家的代理，流量肯定都经过人家服务器呀，https 是可以解密的， 可以解密你的 url 跟参数等等。域名是根据 sni 来的

@int80 请问什么是链式代理？

@bclerdx 有的点类似洋葱路由一级级跳，最后一跳自己的机器作出口

@Snake2 现在稳定的机场
一种是特别老牌的 V*N
一种是有点关系的，能在野蛮的互相 DDoS 和各种清理活动中活下来的。（因为机场是灰色地带，所以你被 D 了报工信是没人管的，只能认栽或反 D 看谁熬得过谁）
所以即使是正规的机场，安全性也就那样（一般都会象征性也屏蔽几个站点以及不让用 DNS over HTTPS 以保留浏览记录，懂得都懂）
凑合用就行了。其实在一个不需要机场的世界，平民出口带宽大概会被挤爆，大家都在卷各种加速器，也会互相举报谁凭关系拿了多少优质带宽什么的，互相不能 DDoS 了但是互相污染 ip 并最终导致不得已的实名云云，很可能是个有点类似的场景。