机场把数据全公开分享,让别人去研究?
用户信息很有价值,足以让别人花时间去研究?
机场作为服务端,劫持钓鱼,比如登入 jd ,机场可以劫持东哥的证书?
正常不是都已经有 tls 加密了嘛,数据给他们,不是也只能看到 sni 的信息嘛?
理论上也许有漏洞,可以实现,但会很容易嘛,大家都有这个能力?
还请彦祖们赐教,小弟长长见识。
1
lkk 2022-12-10 22:30:21 +08:00 1
机场可能本来就是有关部门开的,他们不需要知道你的内容,只要记录你有翻墙这个行为就可以了。毕竟三年以下有期徒刑或者拘役,并处或者单处罚金,这个口袋是随时可以收的。
|
2
GeruzoniAnsasu 2022-12-10 22:33:58 +08:00 1
1. 你把手机号交给了不明背景的人
2. 你把密码交给了不明背景的人 3. 你把违法事实交给了不明背景的人 4. 人类这个群体,只要有人想得到,就有人会去尝试。 |
3
mingtdlb OP |
4
cest 2022-12-10 22:41:02 +08:00
没看最近被 revoke 的 ca ?
机场可以劫持没 ssl pin 的证书 |
5
explore365 2022-12-10 22:48:44 +08:00
如果机场是有关部门开的蜜罐,你的手机号有概率被获取,你访问的网站会被获取,等等等等。
|
6
GeruzoniAnsasu 2022-12-10 22:55:56 +08:00 1
@mingtdlb
我美其名曰需要动态验证码+个人密码强 2FA 保护账号就都有了。 你不会想把讨论范围仅限在「那个提供接入服务的服务器」吧? 注册、付费、客户端呢?这些环节在黑产手里能变出十八种花样来卖。 |
7
0o0O0o0O0o 2022-12-10 23:05:08 +08:00 1
我不放心用机场当落地的原因:
一般你要注册、支付、连接,所以你的邮箱、手机号、设定的密码、你的常用真实 IP 等信息可能会被机场记录; 有些机场还会用一些聊天工具来提供支持,又是一个维度的个人信息; 机场未必是蜜罐,但机场往往规模小,被黑也正常,被黑则可能伴随着信息泄露; 机场邻居可能在做一些容易被铁拳的事情,铁拳下来,你被牵连调查; “正常不是都已经有 tls 加密了嘛”,但总有不这么正常的网站和客户端。 当然你可以通过种种操作来规避以上这些风险,譬如用虚假、特意生成的信息来注册、不通过工单以外的方式获取支持、不通过常用 IP 来使用、本地加一层确保通过代理出去的都是安全的 tls 等,但这么用起来肯定会不爽。 |
8
shitdarkdark 2022-12-11 00:25:38 +08:00
自建机场 不担心
|
9
Jirajine 2022-12-11 00:35:44 +08:00
你看看你机场的“审计规则”,你就知道为什么了。还有些机场只接受某几个邮箱,甚至要手机号的,就更不用说了。
|
10
hafuhafu 2022-12-11 00:44:33 +08:00
单纯只是对完全未知的不信任感而已。
按照我的认知程度,我敢说绝大多数人用机场都是把直接订阅链接丢客户端吧,甚至客户端都是从机场的网站下的...就算真的出现一些小无良机场弄一些啥东西估计也不知道。 我目前能想到最坏的可能出现并且确定能实现的结果:通过订阅链接+提供漏洞版本,比如之前 Clash for Win 的漏洞。 |
11
paperseller 2022-12-11 09:21:02 +08:00 via iPhone
曾经见过有机场挂出违规使用 bt 下载的用户的真实 ip 地址、地理坐标、下载时间下载内容。此后主用自建节点,机场用来看流媒体和备用
|
12
SenLief 2022-12-11 11:54:42 +08:00 via iPhone
上网的时候不一样会被电信公司捕获?
|
13
googlefans 2022-12-11 19:16:20 +08:00
都是透明人
|