这是一个创建于 3276 天前的主题,其中的信息可能已经有所发展或是发生改变。
不管中间怎么加密,梯子收到加密数据后,总得解密后才能发送到网站服务器吧,也就是梯子可以拿到明文的用户的网站请求包,也许拿不到 md5 解密的密码,但拿到 cookie ,效果也是一样的,已经可以直接用用户的 id 登录网站了,不知我说得对不对?另外,如果是用户用梯子访问 https 网站,比如邮箱之类的,梯子铺老板能盗用 cookie 登录不?
 | 1 BOYPT 2016-10-29 23:20:16 +08:00 1 ,是的 2 ,不能 |
 | 2 0TSH60F7J2rVkg8t 2016-10-29 23:20:55 +08:00 via iPhone http 可拿 cookie ,可直接用 cookie 登录你的账号。如果登录表单是明文 post 的,还能拿到你的账号和 /或密码。 https 正常情况下拿不到你的 cookie ,也得不到密码。非正常情况,如本机梯子安装了证书,可中间人劫持,或降级攻击,还是能拿到你的数据。 |
 | 3 mingyun 2016-10-29 23:41:35 +08:00 卧槽,是不得开始改密码 |
 | 4 20150517 2016-10-29 23:46:25 +08:00 我做了一个 shadowsocks 的改造版,可以读你 http 上的 cookies,并 log 在文件里.....哈哈 |
 | 5 lisonfan 2016-10-29 23:47:55 +08:00 via iPhone 所以自己搭梯子,美国的服务器便宜的多的是,几十块人名币一年 |
 | 6 xmh51 2016-10-29 23:48:20 +08:00 正常啊。 1.能 2.中间人攻击可拿到信息 |
 | 7 MrFireAwayH 2016-10-29 23:50:36 +08:00 via Android 所以我只用自己的梯 |
 | 8 txlty 2016-10-29 23:58:48 +08:00 这是常识吧?理解网络安全基本概念的人都应该知道的。 不怕慢可以加一层 tor ,梯子就什么都读不出来了。不过 tor 出口节点一样能抓到 http 的 cookie |
 | 9 amb OP 为什么子本地用 http 工具比如 Http Analyzer ,我能看到 https 的 cookie 呢? |
 | 10 murmur 2016-10-30 00:16:16 +08:00  1 cookies 一般是不校验地理位置的 一是国内 IP 乱 jb 分 二是考虑移动用户 但是好一点的系统在地理位置异常的时候 都会锁定账号或者出二次认证 @amb 你信任了你自己的证书 或者像 fiddler 这种插在某个地方搞事。。 |
| 11 MrFireAwayH 2016-10-30 00:29:41 +08:00 via Android @murmur 话说我最近研究 fiddler 抓安卓 https 装了它的证书 可是还是会出现 "有安全问题 是否继续"类似的对话框 有什么好办法么? |
| 12 murmur 2016-10-30 00:30:48 +08:00 @MrFireAwayH 直接访问你的代理 用浏览器 有一个链接可以下载证书 下载完信任了就好了 |
| 14 MrFireAwayH 2016-10-30 00:34:07 +08:00 via Android @murmur 我造……我装了…… |
| 15 MrFireAwayH 2016-10-30 00:36:09 +08:00 via Android @murmur 证书是自动装在安卓的 "用户" tab 里面的 并且标题是 DO Not Trust Fiddler CA 类似字样(我感觉这个名字是 fiddler 给我起的) |
 | 16 6IbA2bj5ip3tK49j 2016-10-30 01:39:33 +08:00 via Android @MrFireAwayH 如果你是浏览器访问,可能是因为 fiddler 生成的假证书有效期太长了。 |
 | 17 helloccav 2016-10-30 02:15:51 +08:00 @lisonfan 请允许我将问题升级一下:假如我买了月饼家的 VPS ,在上面架了一个梯子,马老板不知道我的 VPS 的 ROOT 密码,但他能控制整个月饼云系统,那么马老板可以拿到明文的用户的网站请求包吗? |
 | 19 lightening 2016-10-30 03:16:42 +08:00 看网站实现。比如 Rails 的网站 cookie 都是 web 服务器端加密的,用户自己也看不见、不能改。 |
 | 20 bearqq 2016-10-30 08:32:46 +08:00 via Android 1 除了 ss ,你们玩免流的,同样 |
 | 21 Vizogood 2016-10-30 08:39:14 +08:00 via Android 自己搭梯 |
 | 22 zrj766 2016-10-30 09:15:23 +08:00 via Android 梯子铺?我给你问问老板。。 |
 | 23 raffy2010 2016-10-30 09:25:17 +08:00 via Android 早年间有靠谱同事建议不要用某云,原因你们自己想想 |
 | 24 lhbc 2016-10-30 09:42:51 +08:00 其实只要注意不被中间人就行了 现在还有什么靠谱点的网站不是 https 的(大陆除外)? |
 | 25 snnn 2016-10-30 10:41:39 +08:00 via Android goagent 那样的有这个问题,所以我坚决不用 |
 | 26 fengkuangdedoufu 2016-10-30 10:54:59 +08:00 首先谢谢支持梯子铺,梯子铺是收费服务,有盈利,绝不会做出这样的事情,既然选择,就请相信。 |
| 27 fengkuangdedoufu 2016-10-30 11:09:38 +08:00 @lisonfan 自己搭梯子也是可以的,对症下药,比如你是移动,随便搞个香港绕路鸡,跑的飞起。联通的话,随便搞个日本,也能顺畅的玩玩,晚高峰的话,不一定。但是电信就蛋疼了,要是你是电信,你一个月下来自己搭建的费用肯定不便宜。最后欢迎使用梯子铺的收费服务,便宜好用。哈哈哈 https://www.tizipuss.com/?aff=1 |
 | 28 chroming 2016-10-30 11:16:50 +08:00 所以在遇到求推荐 ss 时很多人都推荐自己搭,主要就是考虑安全性问题 |
 | 29 limhiaoing 2016-10-30 11:28:40 +08:00 via iPhone 如果访问目标服务器使用 http 确实是可以看到的,但是使用 https 的话正常的 http 代理是用隧道透传的,是看不到 cookie 的等信息的, go 阿根廷是个例外(这东西不安全)。 |
| 30 lisonfan 2016-10-30 11:41:47 +08:00 via iPhone @fengkuangdedoufu 我现在就是用的美国,速度可以,用了锐速 |
 | 31 springx 2016-10-30 11:51:47 +08:00 正是因为考虑到安全性所以才推荐自己搭,而且自己搭的话可以搭个和自己网络最适合的梯子,并且自己还可以有针对性的进行优化。除了省钱之外,梯子铺没有更多的优点了。 |
 | 32 a86913179 2016-10-30 12:38:41 +08:00 贱卖流量 10 元 50G 20 元 100G 30 元 200G 50 元 500G , BT 可以偶尔用,但别 24 小时挂着,平时上班基本不管,除非宕机会上去看一下。有兴趣可以私信我 |
| 33 3A93EifxUzhBjhu6 2016-10-30 12:38:52 +08:00 via Android 所以借楼问下,有什么实惠的 vps 么 |
| 34 a86913179 2016-10-30 12:48:52 +08:00 @echo111222 很多,建议你去 lowendstock.com 去看下 |
| 35 a86913179 2016-10-30 12:50:17 +08:00 对了,我是个有信仰的人,不挂 SSR ,不开加速软件,所以除了香港节点外,速度都随缘,高峰不保证。。。不高峰 8K 是没啥问题。 |
 | 36 Quaintjade 2016-10-30 13:00:23 +08:00 via Android 自己搭的, VPS 商也可以看见,准确地说从解密的服务器到目标服务器直接一切中间人都能看见。 所谓的自搭比直接买安全,只是认为一般 vps 商的用户比 vpn 商的用户多、流量大,以及 vpn 可以把监听筛选记录功能做进客户端、 vps 一般只能在出口监听筛选记录(除了像千万云这种在客户机里装木马的)。 |
| 37 Quaintjade 2016-10-30 13:07:00 +08:00 via Android @Quaintjade 然而有些小 VPS 商的用户不多,想做的话是可能的。 另外, openvz 小鸡的文件好像直接从母鸡就能看见来着( kvm 不全盘加密也有办法访问),所以保存在 vps 的密码 /密钥对 vps 商是透明的,只能依赖商家人品。 |
 | 38 kohnv 2016-10-30 13:10:36 +08:00 via iPhone 之前买了个 vps 搭 shadowsocks ,后来女神听说可以翻墙找我借账号,于是我修改了 shadowscks 的源码,把女神的所有请求都 log 下来,不仅能看到访问了什么网站,还能拿到 cookie 。不过没什么卵用,女神上的都是 facebook 这种 https 的网站,只能 log 下来一堆乱码 |
 | 39 jadecoder 2016-10-30 13:13:18 +08:00 2 以为梯子铺是指卖梯子的,看到最后才发现是实指.... |
 | 41 onionnews 2016-10-30 13:37:12 +08:00 via Android 现在电脑换上 xx-net 了,速度很满意,不知道安全不 |
 | 42 hack 2016-10-30 13:56:01 +08:00 @MrFireAwayH 黑一家 CA ,拿到一个可信的 |
 | 44 elikoi17 2016-10-30 14:39:33 +08:00 via Android |
 | 45 tracymcladdy 2016-10-30 15:23:35 +08:00 自己搭梯子,要匿名梯子后加 tor |
 | 46 usedname 2016-10-30 15:40:42 +08:00 岂止是 cookie ? |
 | 47 doubleflower 2016-10-30 16:14:53 +08:00 基本上有重要数据的网站都是 https 了,所以也不用太担心什么。 |
 | 48 KgM4gLtF0shViDH3 2016-10-30 16:47:09 +08:00 via iPhone @lisonfan 美国的太慢,还是香港日本的好。 |
 | 50 dizzy 2016-10-30 18:00:00 +08:00 自己发的帖子貌似不能上主页,搭车请问下,梯子铺用的什么 vps ?为什么比我自己的快不少。 |
 | 51 kang000feng 2016-10-30 19:21:30 +08:00 |
| 52 kang000feng 2016-10-30 19:26:13 +08:00 还是自己搭梯子最安全 见之前贴 /t/316153 |
 | 53 loveqianool 2016-10-30 20:34:59 +08:00 via Android @a86913179 怎么私信 |
| 54 a86913179 2016-10-30 21:04:13 +08:00 @loveqianool 习惯了,哈哈,发现 v2 不能私信。。。直接 email:[email protected] |
 | 55 kaneyuki 2016-10-30 21:11:04 +08:00 所以梯子永远是自己的好 |
 | 57 tony1016 2016-10-31 09:30:20 +08:00 http 可以, https 不行 |
 | 58 killerv 2016-10-31 09:32:20 +08:00 所以梯子最好还是自己做 |
 | 61 Dearyangheng 2016-10-31 16:09:09 +08:00 @lisonfan 怎么自己搭梯子 还有那么便宜的服务器在哪里买的 给个地址咧 |
 | 62 lslqtz 2016-11-14 19:43:22 +08:00 搭车问个问题,有啥 VPN 好买,梯子对游戏来说。。 |
 | 63 mcree 2016-12-08 18:42:40 +08:00 @kohnv 你自己搞一个 CA 证书告诉她要装这个证书才能用,或者把 ss 客户端改一改偷偷装个证书(咦,支付宝安全控件好像就干了这事)。 |
| 65 a86913179 2016-12-14 21:45:16 +08:00 @Dearyangheng 想要速度就是一分钱一分货,支付不起服务器费用还是去用别人的! |
| 66 a86913179 2016-12-14 21:49:29 +08:00 @Dearyangheng 如果不追求速度, CAC 有一次付费终身使用机器,做活动大概 3 刀~ 10 刀的样子。还有不要贪便宜买 OVZ ,买年付 10 刀左右的 KVM 开个锐速一般 4Mbps 是有的。想要 20 ~ 50Mbps 的一个月 5 ~ 10 刀左右,想要 100Mbps 满速的,基本都是一个月 20 ~ 30 刀的。 |
 | 67 g0o 2019-03-25 01:32:57 +08:00 via Android so 走付费 v 呀 pn,不记录日志,https://topvpn.github.io |
 | 68 Frostbyte 2023-08-17 21:12:47 +08:00 可以拿到但一般梯子不会专门记录,发送后即丢弃,可以看下这个梯子全平台客户端,24 小时试用,10Gbps 带宽,无限流量,私有协议,稳 https://www.laogou.us/register.html?trackId=9d837e609b0c5a3c |
Select Language