V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
scylla
V2EX  ›  程序员

原来我们一直都被暴菊!

  •  
  •   scylla · 2013-11-11 21:56:27 +08:00 · 8904 次点击
    这是一个创建于 4037 天前的主题,其中的信息可能已经有所发展或是发生改变。
    以前想过运营商会做坏事,比如DNS重置,拦截发广告等,但是没想到运营商会坏到这种地步。 http://zone.wooyun.org/content/2507 看得后脑冒冷汗,又到了修改密码的季节了。
    顺便问一下,大家都是怎么保护自己的账号及密码安全的?
    yushiro
        1
    yushiro  
       2013-11-11 21:57:44 +08:00
    lastpass, 基本每个网站一个16位的随机密码。
    不用任何国内的邮箱
    Mr01
        2
    Mr01  
       2013-11-11 21:59:53 +08:00
    这就是人治和法治的区别
    我可以说我被麻木了么
    txlty
        3
    txlty  
       2013-11-11 22:05:41 +08:00
    论黑色收入,哪个黑客也比不上运营商。
    slixurd
        4
    slixurd  
       2013-11-11 22:08:53 +08:00
    lasspass +1,一切不用手机登陆,不用客户端的网站全部自动生成密码
    txlty
        5
    txlty  
       2013-11-11 22:10:57 +08:00
    我这的adsl宽带,TCP链路劫持几乎是100%的。所有百度搜索,都跳到联通名下的联盟里。


    scylla
        6
    scylla  
    OP
       2013-11-11 22:16:51 +08:00
    @txlty 最近一个星期我这边登陆github一直连接被重置,刷新好几次才能连上。挂了代理,才正常。哎,TMD~GFW。不过话说运营商的这种做法是为了钱,GFW则是为了局域网。
    clino
        7
    clino  
       2013-11-11 22:19:27 +08:00
    @txlty 运营商估计也不是自用的,给老大哥多一个搜集密码库的渠道
    mengzhuo
        8
    mengzhuo  
       2013-11-11 22:31:08 +08:00
    呵呵,我竟然觉得不奇怪了,自从知道某墙有深度解析SSL的功能之后
    daiv
        9
    daiv  
       2013-11-11 22:45:03 +08:00
    @mengzhuo 原来 https 也不安全呀
    Nin
        10
    Nin  
       2013-11-11 23:17:10 +08:00
    Keepass,线上密码早已全线16位随机,密码库也用password+key加密
    邮箱也是基本靠spamgourmet转发的。
    inee
        11
    inee  
       2013-11-11 23:47:26 +08:00
    @txlty 地址栏看不出来?
    inee
        12
    inee  
       2013-11-11 23:47:50 +08:00
    @Nin kp规则设置太复杂,rb使用中
    Mutoo
        13
    Mutoo  
       2013-11-11 23:48:08 +08:00
    @daiv 不是https不安全,https还是相对安全的。文章的意思是:在http中用RSA加密密码然后post到登陆验证页之前可能因为http被植入代码导致明文密码被截获。
    inee
        14
    inee  
       2013-11-11 23:50:38 +08:00
    @Mutoo 表示一直https everywhere
    txlty
        15
    txlty  
       2013-11-12 00:54:51 +08:00
    @inee 就是出现在地址栏的。百度加上了联盟的尾巴 &tn=62xxxxxx_dg。
    禁用JS也就用不了百度了。
    zhttty
        16
    zhttty  
       2013-11-12 02:05:44 +08:00 via Android
    已经转成一站一码了。
    DreaMQ
        17
    DreaMQ  
       2013-11-12 06:25:52 +08:00 via Android
    24小时用自己vps连vpn的路过
    iOct
        18
    iOct  
       2013-11-12 08:32:49 +08:00
    OSX下有啥软件能够看到打开网页的TCP链路情况的?
    vietor
        19
    vietor  
       2013-11-12 09:08:23 +08:00
    保险的还是自己弄个vps,自己写一个proxy协议,自己用。
    standin000
        20
    standin000  
       2013-11-12 09:23:13 +08:00
    咳,太离谱了,天朝真危险。
    Part
        21
    Part  
       2013-11-12 09:59:51 +08:00
    @txlty
    弱弱地问一下,“在客户端抓包发现收到的HTTP数据包有异常,有几个包的TTL多了2”这个是怎么做到的?
    Part
        22
    Part  
       2013-11-12 10:13:21 +08:00
    懂了~
    66450146
        23
    66450146  
       2013-11-12 10:15:03 +08:00
    登录页面没有全 SSL 的都是耍流氓
    HowardMei
        24
    HowardMei  
       2013-11-12 10:25:34 +08:00
    这个证据抓仔细点应该可以一告一个准,大家支付宝丢过钱的总算可以找运营商买单了 ;-)

    这种大摇大摆盗取密码的做法,不光老百姓恐慌,当官的也能吓尿了。不管这是运营商搞的,
    还是某些部门弄的,都得有人顶雷,写这个代码根本没长脑子,内外都解释不过去,100%被临时工。
    Ryans
        25
    Ryans  
       2013-11-12 10:44:12 +08:00
    @yushiro 用 lastpassword 有个问题,就是如果你的 pc 沦陷了,或者你离开了浏览器刚好开着标签,别人就可以直接使用浏览器插件登录你各个网站的帐号哦......
    fate
        26
    fate  
       2013-11-12 11:14:08 +08:00
    最基本的--用天朝的网络你就根本没隐私
    davidzhang
        27
    davidzhang  
       2013-11-12 11:21:22 +08:00
    根本就没有保护的啦
    a2z
        28
    a2z  
       2013-11-12 12:00:07 +08:00
    @HowardMei
    世界远比你认为的黑暗
    呵呵
    yylzcom
        29
    yylzcom  
       2013-11-12 13:37:22 +08:00
    啊我擦!当时gtalk官方英文版(中文版不启用https)一直会出现错误提示,我就想到会有猫腻,只不过没想会无耻到这地步
    yushiro
        30
    yushiro  
       2013-11-12 13:59:39 +08:00
    @Ryans 你说的有道理, 这要看每个人的使用习惯。
    我个人, 只有家里的电脑才是“不需要输入lastpass主密码”就可以登录各个网站, 其他的电脑, 一律是用lastpass主密码+ 2步验证机制, 而且timeout设置30分钟, 超过时间不操作电脑,lastpass自动logout,
    离开电脑前锁定WIN系统。
    这种方法不是100%能防御有心人恶意的偷取你密码, 但是99%的情况都可以抵挡住。
    tobylee
        31
    tobylee  
       2013-11-12 14:45:26 +08:00
    @iOct wireshark
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1856 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 16:23 · PVG 00:23 · LAX 08:23 · JFK 11:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.