V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
mingtdlb
V2EX  ›  问与答

为什么有担心机场不安全的问题?

  •  
  •   mingtdlb · 2022-12-10 22:06:45 +08:00 · 4035 次点击
    这是一个创建于 699 天前的主题,其中的信息可能已经有所发展或是发生改变。

    机场把数据全公开分享,让别人去研究?

    用户信息很有价值,足以让别人花时间去研究?

    机场作为服务端,劫持钓鱼,比如登入 jd ,机场可以劫持东哥的证书?

    正常不是都已经有 tls 加密了嘛,数据给他们,不是也只能看到 sni 的信息嘛?

    理论上也许有漏洞,可以实现,但会很容易嘛,大家都有这个能力?

    还请彦祖们赐教,小弟长长见识。

    13 条回复    2022-12-11 19:16:20 +08:00
    lkk
        1
    lkk  
       2022-12-10 22:30:21 +08:00   ❤️ 1
    机场可能本来就是有关部门开的,他们不需要知道你的内容,只要记录你有翻墙这个行为就可以了。毕竟三年以下有期徒刑或者拘役,并处或者单处罚金,这个口袋是随时可以收的。
    GeruzoniAnsasu
        2
    GeruzoniAnsasu  
       2022-12-10 22:33:58 +08:00   ❤️ 1
    1. 你把手机号交给了不明背景的人
    2. 你把密码交给了不明背景的人
    3. 你把违法事实交给了不明背景的人
    4. 人类这个群体,只要有人想得到,就有人会去尝试。
    mingtdlb
        3
    mingtdlb  
    OP
       2022-12-10 22:40:26 +08:00   ❤️ 1
    @GeruzoniAnsasu
    1. 他怎么获取手机号?
    2. 同 1
    cest
        4
    cest  
       2022-12-10 22:41:02 +08:00
    没看最近被 revoke 的 ca ?

    机场可以劫持没 ssl pin 的证书
    explore365
        5
    explore365  
       2022-12-10 22:48:44 +08:00
    如果机场是有关部门开的蜜罐,你的手机号有概率被获取,你访问的网站会被获取,等等等等。
    GeruzoniAnsasu
        6
    GeruzoniAnsasu  
       2022-12-10 22:55:56 +08:00   ❤️ 1
    @mingtdlb

    我美其名曰需要动态验证码+个人密码强 2FA 保护账号就都有了。

    你不会想把讨论范围仅限在「那个提供接入服务的服务器」吧?
    注册、付费、客户端呢?这些环节在黑产手里能变出十八种花样来卖。
    0o0O0o0O0o
        7
    0o0O0o0O0o  
       2022-12-10 23:05:08 +08:00   ❤️ 1
    我不放心用机场当落地的原因:

    一般你要注册、支付、连接,所以你的邮箱、手机号、设定的密码、你的常用真实 IP 等信息可能会被机场记录;

    有些机场还会用一些聊天工具来提供支持,又是一个维度的个人信息;

    机场未必是蜜罐,但机场往往规模小,被黑也正常,被黑则可能伴随着信息泄露;

    机场邻居可能在做一些容易被铁拳的事情,铁拳下来,你被牵连调查;

    “正常不是都已经有 tls 加密了嘛”,但总有不这么正常的网站和客户端。

    当然你可以通过种种操作来规避以上这些风险,譬如用虚假、特意生成的信息来注册、不通过工单以外的方式获取支持、不通过常用 IP 来使用、本地加一层确保通过代理出去的都是安全的 tls 等,但这么用起来肯定会不爽。
    shitdarkdark
        8
    shitdarkdark  
       2022-12-11 00:25:38 +08:00
    自建机场 不担心
    Jirajine
        9
    Jirajine  
       2022-12-11 00:35:44 +08:00
    你看看你机场的“审计规则”,你就知道为什么了。还有些机场只接受某几个邮箱,甚至要手机号的,就更不用说了。
    hafuhafu
        10
    hafuhafu  
       2022-12-11 00:44:33 +08:00
    单纯只是对完全未知的不信任感而已。
    按照我的认知程度,我敢说绝大多数人用机场都是把直接订阅链接丢客户端吧,甚至客户端都是从机场的网站下的...就算真的出现一些小无良机场弄一些啥东西估计也不知道。
    我目前能想到最坏的可能出现并且确定能实现的结果:通过订阅链接+提供漏洞版本,比如之前 Clash for Win 的漏洞。
    paperseller
        11
    paperseller  
       2022-12-11 09:21:02 +08:00 via iPhone
    曾经见过有机场挂出违规使用 bt 下载的用户的真实 ip 地址、地理坐标、下载时间下载内容。此后主用自建节点,机场用来看流媒体和备用
    SenLief
        12
    SenLief  
       2022-12-11 11:54:42 +08:00 via iPhone
    上网的时候不一样会被电信公司捕获?
    googlefans
        13
    googlefans  
       2022-12-11 19:16:20 +08:00
    都是透明人
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1808 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:39 · PVG 00:39 · LAX 08:39 · JFK 11:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.