V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
amb
V2EX  ›  宽带症候群

用梯子的时候,用户的 cookie 是不是完全暴露给梯子铺了?

  •  
  •   amb · 2016-10-29 23:15:49 +08:00 · 20180 次点击
    这是一个创建于 2982 天前的主题,其中的信息可能已经有所发展或是发生改变。
    不管中间怎么加密,梯子收到加密数据后,总得解密后才能发送到网站服务器吧,也就是梯子可以拿到明文的用户的网站请求包,也许拿不到 md5 解密的密码,但拿到 cookie ,效果也是一样的,已经可以直接用用户的 id 登录网站了,不知我说得对不对?另外,如果是用户用梯子访问 https 网站,比如邮箱之类的,梯子铺老板能盗用 cookie 登录不?
    68 条回复    2023-08-17 21:12:47 +08:00
    BOYPT
        1
    BOYPT  
       2016-10-29 23:20:16 +08:00
    1 ,是的
    2 ,不能
    0TSH60F7J2rVkg8t
        2
    0TSH60F7J2rVkg8t  
       2016-10-29 23:20:55 +08:00 via iPhone
    http 可拿 cookie ,可直接用 cookie 登录你的账号。如果登录表单是明文 post 的,还能拿到你的账号和 /或密码。
    https 正常情况下拿不到你的 cookie ,也得不到密码。非正常情况,如本机梯子安装了证书,可中间人劫持,或降级攻击,还是能拿到你的数据。
    mingyun
        3
    mingyun  
       2016-10-29 23:41:35 +08:00
    卧槽,是不得开始改密码
    20150517
        4
    20150517  
       2016-10-29 23:46:25 +08:00
    我做了一个 shadowsocks 的改造版,可以读你 http 上的 cookies,并 log 在文件里.....哈哈
    lisonfan
        5
    lisonfan  
       2016-10-29 23:47:55 +08:00 via iPhone
    所以自己搭梯子,美国的服务器便宜的多的是,几十块人名币一年
    xmh51
        6
    xmh51  
       2016-10-29 23:48:20 +08:00
    正常啊。 1.能 2.中间人攻击可拿到信息
    MrFireAwayH
        7
    MrFireAwayH  
       2016-10-29 23:50:36 +08:00 via Android
    所以我只用自己的梯
    txlty
        8
    txlty  
       2016-10-29 23:58:48 +08:00
    这是常识吧?理解网络安全基本概念的人都应该知道的。
    不怕慢可以加一层 tor ,梯子就什么都读不出来了。不过 tor 出口节点一样能抓到 http 的 cookie
    amb
        9
    amb  
    OP
       2016-10-30 00:08:08 +08:00
    为什么子本地用 http 工具比如 Http Analyzer ,我能看到 https 的 cookie 呢?
    murmur
        10
    murmur  
       2016-10-30 00:16:16 +08:00   ❤️ 1
    cookies 一般是不校验地理位置的 一是国内 IP 乱 jb 分 二是考虑移动用户
    但是好一点的系统在地理位置异常的时候 都会锁定账号或者出二次认证
    @amb 你信任了你自己的证书 或者像 fiddler 这种插在某个地方搞事。。
    MrFireAwayH
        11
    MrFireAwayH  
       2016-10-30 00:29:41 +08:00 via Android
    @murmur 话说我最近研究 fiddler 抓安卓 https 装了它的证书 可是还是会出现 "有安全问题 是否继续"类似的对话框 有什么好办法么?
    murmur
        12
    murmur  
       2016-10-30 00:30:48 +08:00
    @MrFireAwayH 直接访问你的代理 用浏览器 有一个链接可以下载证书 下载完信任了就好了
    txlty
        13
    txlty  
       2016-10-30 00:33:13 +08:00
    @amb 数据是在本机进行加密发出去的。本机的软件,设法去获取加密前的数据就 ok 了。
    MrFireAwayH
        14
    MrFireAwayH  
       2016-10-30 00:34:07 +08:00 via Android
    @murmur 我造……我装了……
    MrFireAwayH
        15
    MrFireAwayH  
       2016-10-30 00:36:09 +08:00 via Android
    @murmur 证书是自动装在安卓的 "用户" tab 里面的 并且标题是 DO Not Trust Fiddler CA 类似字样(我感觉这个名字是 fiddler 给我起的)
    6IbA2bj5ip3tK49j
        16
    6IbA2bj5ip3tK49j  
       2016-10-30 01:39:33 +08:00 via Android
    @MrFireAwayH 如果你是浏览器访问,可能是因为 fiddler 生成的假证书有效期太长了。
    helloccav
        17
    helloccav  
       2016-10-30 02:15:51 +08:00
    @lisonfan 请允许我将问题升级一下:假如我买了月饼家的 VPS ,在上面架了一个梯子,马老板不知道我的 VPS 的 ROOT 密码,但他能控制整个月饼云系统,那么马老板可以拿到明文的用户的网站请求包吗?
    yangff
        18
    yangff  
       2016-10-30 03:07:09 +08:00
    @helloccav 技术上可以。
    lightening
        19
    lightening  
       2016-10-30 03:16:42 +08:00
    看网站实现。比如 Rails 的网站 cookie 都是 web 服务器端加密的,用户自己也看不见、不能改。
    bearqq
        20
    bearqq  
       2016-10-30 08:32:46 +08:00 via Android   ❤️ 1
    除了 ss ,你们玩免流的,同样
    Vizogood
        21
    Vizogood  
       2016-10-30 08:39:14 +08:00 via Android
    自己搭梯
    zrj766
        22
    zrj766  
       2016-10-30 09:15:23 +08:00 via Android
    梯子铺?我给你问问老板。。
    raffy2010
        23
    raffy2010  
       2016-10-30 09:25:17 +08:00 via Android
    早年间有靠谱同事建议不要用某云,原因你们自己想想
    lhbc
        24
    lhbc  
       2016-10-30 09:42:51 +08:00
    其实只要注意不被中间人就行了
    现在还有什么靠谱点的网站不是 https 的(大陆除外)?
    snnn
        25
    snnn  
       2016-10-30 10:41:39 +08:00 via Android
    goagent 那样的有这个问题,所以我坚决不用
    fengkuangdedoufu
        26
    fengkuangdedoufu  
       2016-10-30 10:54:59 +08:00
    首先谢谢支持梯子铺,梯子铺是收费服务,有盈利,绝不会做出这样的事情,既然选择,就请相信。
    fengkuangdedoufu
        27
    fengkuangdedoufu  
       2016-10-30 11:09:38 +08:00
    @lisonfan 自己搭梯子也是可以的,对症下药,比如你是移动,随便搞个香港绕路鸡,跑的飞起。联通的话,随便搞个日本,也能顺畅的玩玩,晚高峰的话,不一定。但是电信就蛋疼了,要是你是电信,你一个月下来自己搭建的费用肯定不便宜。最后欢迎使用梯子铺的收费服务,便宜好用。哈哈哈 https://www.tizipuss.com/?aff=1
    chroming
        28
    chroming  
       2016-10-30 11:16:50 +08:00
    所以在遇到求推荐 ss 时很多人都推荐自己搭,主要就是考虑安全性问题
    limhiaoing
        29
    limhiaoing  
       2016-10-30 11:28:40 +08:00 via iPhone
    如果访问目标服务器使用 http 确实是可以看到的,但是使用 https 的话正常的 http 代理是用隧道透传的,是看不到 cookie 的等信息的, go 阿根廷是个例外(这东西不安全)。
    lisonfan
        30
    lisonfan  
       2016-10-30 11:41:47 +08:00 via iPhone
    @fengkuangdedoufu 我现在就是用的美国,速度可以,用了锐速
    springx
        31
    springx  
       2016-10-30 11:51:47 +08:00
    正是因为考虑到安全性所以才推荐自己搭,而且自己搭的话可以搭个和自己网络最适合的梯子,并且自己还可以有针对性的进行优化。除了省钱之外,梯子铺没有更多的优点了。
    a86913179
        32
    a86913179  
       2016-10-30 12:38:41 +08:00
    贱卖流量 10 元 50G 20 元 100G 30 元 200G 50 元 500G , BT 可以偶尔用,但别 24 小时挂着,平时上班基本不管,除非宕机会上去看一下。有兴趣可以私信我
    echo111222
        33
    echo111222  
       2016-10-30 12:38:52 +08:00 via Android
    所以借楼问下,有什么实惠的 vps 么
    a86913179
        34
    a86913179  
       2016-10-30 12:48:52 +08:00
    @echo111222 很多,建议你去 lowendstock.com 去看下
    a86913179
        35
    a86913179  
       2016-10-30 12:50:17 +08:00
    对了,我是个有信仰的人,不挂 SSR ,不开加速软件,所以除了香港节点外,速度都随缘,高峰不保证。。。不高峰 8K 是没啥问题。
    Quaintjade
        36
    Quaintjade  
       2016-10-30 13:00:23 +08:00 via Android
    自己搭的, VPS 商也可以看见,准确地说从解密的服务器到目标服务器直接一切中间人都能看见。

    所谓的自搭比直接买安全,只是认为一般 vps 商的用户比 vpn 商的用户多、流量大,以及 vpn 可以把监听筛选记录功能做进客户端、 vps 一般只能在出口监听筛选记录(除了像千万云这种在客户机里装木马的)。
    Quaintjade
        37
    Quaintjade  
       2016-10-30 13:07:00 +08:00 via Android
    @Quaintjade
    然而有些小 VPS 商的用户不多,想做的话是可能的。

    另外, openvz 小鸡的文件好像直接从母鸡就能看见来着( kvm 不全盘加密也有办法访问),所以保存在 vps 的密码 /密钥对 vps 商是透明的,只能依赖商家人品。
    kohnv
        38
    kohnv  
       2016-10-30 13:10:36 +08:00 via iPhone
    之前买了个 vps 搭 shadowsocks ,后来女神听说可以翻墙找我借账号,于是我修改了 shadowscks 的源码,把女神的所有请求都 log 下来,不仅能看到访问了什么网站,还能拿到 cookie 。不过没什么卵用,女神上的都是 facebook 这种 https 的网站,只能 log 下来一堆乱码
    jadecoder
        39
    jadecoder  
       2016-10-30 13:13:18 +08:00   ❤️ 2
    以为梯子铺是指卖梯子的,看到最后才发现是实指....
    btjoker
        40
    btjoker  
       2016-10-30 13:21:26 +08:00
    @jadecoder 卖梯子的,没什么问题啊
    onionnews
        41
    onionnews  
       2016-10-30 13:37:12 +08:00 via Android
    现在电脑换上 xx-net 了,速度很满意,不知道安全不
    hack
        42
    hack  
       2016-10-30 13:56:01 +08:00
    @MrFireAwayH 黑一家 CA ,拿到一个可信的
    jadecoder
        43
    jadecoder  
       2016-10-30 13:56:31 +08:00
    @btjoker 以为是泛指卖梯子的商家,结果 26L 跳出来一个叫这个名字的
    elikoi17
        44
    elikoi17  
       2016-10-30 14:39:33 +08:00 via Android
    @snnn @onionnews xxnet 应该就是傻瓜版的 goagent 吧,我自己搭 php 跑应该安全吧。 。
    tracymcladdy
        45
    tracymcladdy  
       2016-10-30 15:23:35 +08:00
    自己搭梯子,要匿名梯子后加 tor
    usedname
        46
    usedname  
       2016-10-30 15:40:42 +08:00
    岂止是 cookie ?
    doubleflower
        47
    doubleflower  
       2016-10-30 16:14:53 +08:00
    基本上有重要数据的网站都是 https 了,所以也不用太担心什么。
    KgM4gLtF0shViDH3
        48
    KgM4gLtF0shViDH3  
       2016-10-30 16:47:09 +08:00 via iPhone
    @lisonfan 美国的太慢,还是香港日本的好。
    lisonfan
        49
    lisonfan  
       2016-10-30 17:39:48 +08:00
    @bestkayle 我现在用一个洛杉矶的服务器装上锐速联通能跑满,我 12 兆宽带
    dizzy
        50
    dizzy  
       2016-10-30 18:00:00 +08:00
    自己发的帖子貌似不能上主页,搭车请问下,梯子铺用的什么 vps ?为什么比我自己的快不少。
    kang000feng
        51
    kang000feng  
       2016-10-30 19:21:30 +08:00
    kang000feng
        52
    kang000feng  
       2016-10-30 19:26:13 +08:00
    还是自己搭梯子最安全 见之前贴 /t/316153
    loveqianool
        53
    loveqianool  
       2016-10-30 20:34:59 +08:00 via Android
    @a86913179 怎么私信
    a86913179
        54
    a86913179  
       2016-10-30 21:04:13 +08:00
    @loveqianool 习惯了,哈哈,发现 v2 不能私信。。。直接 email:[email protected]
    kaneyuki
        55
    kaneyuki  
       2016-10-30 21:11:04 +08:00
    所以梯子永远是自己的好
    kmahyyg
        56
    kmahyyg  
       2016-10-30 23:09:08 +08:00 via Android
    @bestkayle 上 cn2 和 c3 ,补充 kcptun
    tony1016
        57
    tony1016  
       2016-10-31 09:30:20 +08:00
    http 可以, https 不行
    killerv
        58
    killerv  
       2016-10-31 09:32:20 +08:00
    所以梯子最好还是自己做
    inmyfree
        59
    inmyfree  
       2016-10-31 13:21:57 +08:00
    @kohnv 女神最后泡到了吗
    kohnv
        60
    kohnv  
       2016-10-31 14:30:10 +08:00
    @inmyfree 别说了 都是泪...
    Dearyangheng
        61
    Dearyangheng  
       2016-10-31 16:09:09 +08:00
    @lisonfan 怎么自己搭梯子 还有那么便宜的服务器在哪里买的 给个地址咧
    lslqtz
        62
    lslqtz  
       2016-11-14 19:43:22 +08:00
    搭车问个问题,有啥 VPN 好买,梯子对游戏来说。。
    mcree
        63
    mcree  
       2016-12-08 18:42:40 +08:00
    @kohnv 你自己搞一个 CA 证书告诉她要装这个证书才能用,或者把 ss 客户端改一改偷偷装个证书(咦,支付宝安全控件好像就干了这事)。
    a86913179
        64
    a86913179  
       2016-12-14 21:44:44 +08:00
    @lslqtz 梯子加 proxifier , UDP 一般没问题, VPN 出国基本用不了
    a86913179
        65
    a86913179  
       2016-12-14 21:45:16 +08:00
    @Dearyangheng 想要速度就是一分钱一分货,支付不起服务器费用还是去用别人的!
    a86913179
        66
    a86913179  
       2016-12-14 21:49:29 +08:00
    @Dearyangheng 如果不追求速度, CAC 有一次付费终身使用机器,做活动大概 3 刀~ 10 刀的样子。还有不要贪便宜买 OVZ ,买年付 10 刀左右的 KVM 开个锐速一般 4Mbps 是有的。想要 20 ~ 50Mbps 的一个月 5 ~ 10 刀左右,想要 100Mbps 满速的,基本都是一个月 20 ~ 30 刀的。
    g0o
        67
    g0o  
       2019-03-25 01:32:57 +08:00 via Android
    so 走付费 v 呀 pn,不记录日志,https://topvpn.github.io
    Frostbyte
        68
    Frostbyte  
       2023-08-17 21:12:47 +08:00
    可以拿到但一般梯子不会专门记录,发送后即丢弃,可以看下这个梯子全平台客户端,24 小时试用,10Gbps 带宽,无限流量,私有协议,稳

    https://www.laogou.us/register.html?trackId=9d837e609b0c5a3c
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1365 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 17:36 · PVG 01:36 · LAX 09:36 · JFK 12:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.