我們一直堅信，人類有權享受生命、享受自由，而隱私亦是。

因此，我創立了 FutaGuard，旨在保護大眾的基本隱私權。在這條路上，我們遇到了理念相合的夥伴 Tutanota。

他們提供安全且重視隱私的電子郵件服務，並有著卓越的開發團隊。感謝 Tutanota 的支持，感謝所有一同在保護隱私這條路上的你我。

I have always firmly believed that people have the right to enjoy life and freedom, and privacy is also among these rights.

Therefore, I founded FutaGuard with the aim of protecting the basic privacy rights of the public. Along this journey, we have encountered like-minded partners like Tutanota.

They provide a secure email service that values privacy and they have an excellent development team. I'm grateful for Tutanota's support, and for everyone who is with us on this journey of privacy protection.

Together we will bring privacy to the world!

差點忘記這禮拜份的觀點發送，有時候群友會發問說我會使用什麼 VPN 或是詢問使用什麼雲端儲存服務...等等。
與其我一一私下解答不如直接在這裡回應。

如果說想要快速了解手上有哪些服務可以獲得更佳合理或更尊重個人隱私的服務請參考，可以參考：
英文版 https://www.privacytools.io/
英文版 https://www.privacyguides.org/en/
中文版 https://privacytools.twngo.xyz/

在挑選服務的時候我個人會喜歡參考一些依據，至於什麼依據就是上面你們看的圖片了，以前我蠻喜歡去推薦人使用特定的服務的，但近幾年我反而不太喜歡去主動推薦，原因很簡單人們應該要去懷疑任何服務，簡單說就是「請動腦」，所以才會有這篇文簡短的文章，挑選服務時可以參考這張圖唷。

credit:
圖片由某小精靈提供技術支援

隨著科技的發展，我們的生活越來越依賴於網路，無論是在社交網站上分享照片、在線上銀行進行轉帳，甚至是在家裡購物，我們都需要用到電腦與網路。然而，隨著網路使用量的增加，網路安全問題也日益嚴重。
就在最近幾年有多少台灣人少接過詐騙簡訊、詐騙電話？我想在看這篇文章的人多多少少都有接過或是聽過。在先前我也主動去信提醒數發部關於 6000 元普發的網址可能會被詐騙集團大量註冊類似的網址，部長也親自回覆告知我會開會時討論如何避免相關問題，而問題也確實得到了解答，就是將疑似仿冒 6000 元普發 .tw 結尾的網域直接停止解析，至今我也很感謝部長是直接在幾個小時內回覆我，並且在隔天就馬上有動作。
但最近聽到一些消息讓我產生了一些擔憂。

台灣網路是不是有可能演變成中國網路的高牆？

這段並不是危言聳聽，這邊我先大致上轉述一下發生了什麼事，如果有興趣觀看全文可以直接點這裡。

基本上原 Po 去信到 TWNIC（台灣網路資訊中心），提案公開 TWNIC RPZ 阻擋的網域，但最終是被否決了。雖說 TWNIC 有提供審核機制的流程圖，但審核機制基本上也是未公開，或只是草草檢查一下格式是否正確，且相關委員紀錄內容非常簡略，再者因為其審核機制還曾發生過人工誤擋的狀況，根據先前的紀錄在 2021 有 200 萬筆紀錄以上。否決提案的的單位是 警政署 刑事警察局，理由原封不動的節錄下來
「刑事警察局提出犯罪人員大部分都在國外，而在國外不易察覺自己的域名已被停止解析，若是公開屏蔽資料，反而會讓犯罪人員申請新域名以達到其目的。」
會議記錄：
https://rpz.twnic.tw/doc/nt10.pdf

轉述到這告一段落，這邊解釋一下什麼是 RPZ，簡單來說我們一般使用的網路舉凡「中華電信」、「遠傳電信」、「台灣大哥大」…等等。這類通稱為 ISP，而為了簡化操作，只要你連上了網路預設都會直接使用上述 ISP 自己的 DNS 伺服器，而 RPZ 你可以理解為封鎖清單的概念，即使上述 ISP 在根解析器可以查詢到 IP，但 RPZ 可以覆寫其回應，最終達到無法連線的目的。這邊先不說其中的流程是否有令人不解的部份，這邊直接提供一些我個人覺得可怕的地方。

1. 根據 TWNIC 自己官網的解釋「RPZ允許遞歸解析器(recursive resolver)以自定義的資訊修改解析的結果後，以避免使用者接取惡意或不當的網域名稱或IP位址。」
https://blog.twnic.tw/2020/09/23/15311/
基本上就是 TWNIC 完全是有能力做到實現中間人攻擊的可能性。
2. 民眾沒有檢視封鎖的情況，且不公開 RPZ 紀錄是否有政治力因素？是否有人為因素實現了類似美國大選遭俄羅斯操弄的可能？
3. 刑事警察局的回應讓人懷疑他們是不是根本沒有在用腦，他們都能用心架設釣魚網頁還沒有能力偵測網域是不是被停止解析嗎？

雖然說這種方式一般民眾可透過 VPN 或是使用 DNS over HTTPS 這類的加密型 DNS 來連線，但這不是可以合理不公開紀錄的理由。
同時這邊提醒一下，這件事與先前的「中介法」性質完全不相同，請不要自己套進去自己高潮，這很蠢。那麼如果你也對這件事感到有疑慮的話歡迎前去原文按個 Like，同時轉貼給你所有的朋友讓他們知道這件事。
https://www.facebook.com/seadog007/posts/pfbid02K7KwLyrchHEoWEVbG4bxQCxnLq81Dj6f4ig9Qt5nbGWsgj3zsfXqc9EATgvwo8CUl

acme.sh RCE 漏洞

在台灣時間 2023/06/09 清晨五點時，有位外國使用者在 acme.sh 的官方 repo 裡發布了一條 issue。
簡要來說就是一個名為 HiCA 的聲稱提供免費憑證服務，但 HiCA 在憑證簽發過程中注入了執行指令，從而讓 acme.sh 在客戶端上執行指令。而 HiCA 利用此漏洞在簽發過程中安插出現 QRCode 提示要求付款來完成簽發作業。在 HiCA 的文件說明裡提到，它僅支援 acme.sh 完成簽發作業，同時他並不是遵循標準簽發流程作業。
而造成此原因最根本的問題是 acme.sh 在簽發過程有一個執行指令的過程，在程式語言的概念可以稱為 eval，而 eval 本身是一件非常危險的事情，他的概念相當於將輸入的任何字串當作指令來執行，以一般現代的安全掃描程式基本上會直接阻擋這種行為的，如果要使用 eval 則應該要實作白名單，僅允許特定行為，就是因為 acme.sh 沒有做到這點導致被 HiCA 濫用此行為。
對此 HiCA 負責人在 issue 內辯稱，他們曾向 acme.sh 捐贈 1000 美金，同時他們承認他們利用這點漏洞，但他們稱 HiCA 為「非營利項目」，並且可根據 Mohlt 的請求分析證明他們從未注入具有危害的攻擊性指令。

所以為什麼這件事情應該被正視？

1. HiCA 簽發作業流程非標準 ACME 挑戰，且其中過程不透明
2. HiCA 公司位在中國上海
3. HiCA 利用了 acme.sh RCE 漏洞，而不是通報，並且辯稱捐贈 1000 美金給 acme.sh 有種試圖掩蓋他們的行為
4. HiCA 甚至因此基於 ACME 流程上加上了付款流程在中國申請專利，令人費解的是他同時說自己是非營利項目 https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf
5. 第一時間的回應沒有說明利用範圍，而是關閉所有伺服器，顯得非常像在逃避

作為使用者該怎麼辦？
根據團隊檢視 acme.sh 似乎還是有其他類似的漏洞尚未被發現，同時建議簽發免費憑證請慎選來源商，這邊僅建議使用 Let’s Encrypt 簽發，或是 Google 簽發的憑證，同時有擔憂的話請使用 EEF 所提供的 certbot，或參考其他客戶端 https://letsencrypt.org/docs/client-options 。

後續個人在網頁上閒晃發現，當初 HiCA 也確實有提供簽發免費的憑證，但由於 acme.sh 後續更新預設簽發憑證為 ECC 格式，他們為此設計了 ECC 需要付款，但有人發現即使簽發時代入指定 RSA 格式依舊會彈出需要付款提示，原來是 key 的長度 2048 就要付款啊。

🔗 連結：
https://github.com/acmesh-official/acme.sh/issues/4659
https://www1.hi.cn/en/
https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf

🐛 Tutanota 被發現有注入漏洞

在 2023/4/3 Tuta 發佈的版本 3.112.5 存在一個 HTML 注入漏洞，該漏洞可透過特殊手法製造攻擊破口，用來修改網頁（信件）顯示內容

就目前調查並沒有用戶因此漏洞受到攻擊，Tuta 也在第一時間也就是 24 小時內完成修復並發布新版本，在幾週後 5/25 完全禁用該版本。

很顯然的，透過這件事可以證明開源程式碼可以更快地發現問題，並及時處理，也因為 Tuta 開放原始碼並娉請資訊安全專家維護，使得這個破口沒有擴大。

⚡️ 舊聞重推

我們 FutaGuard 最大的宗旨是推廣使用者如何在網路上注意隱私，並提供許多相關的免費服務，如果你是新手不知道從何下手，或是你是老手也歡迎推廣 FutaGuard

持續更新內容：
網路安全姿勢
網路安全新聞
只有你想不到的更多服務

目前人手只有一人，維持內容產出不易，且維護 DNS 運作不易，每年持續支出有一點多
歡迎樂捐 🤌

啊如果你很閒覺得比我還會唬爛寫文字的話可以跟我聯繫。

📢 維護公告

因為不續租 ClouDNS 的關係，將於 2023/06/17 清晨將轉移 NS 至其他服務，期間所有 futa.gg 網域服務將會中斷。整個過程將持續 1hr 左右，預計時間為 03:00 AM~ 04:00 AM

誰叫他太貴我付不起。

持續更新
[06/17 1:14 AM] 即將開始轉移 NS，因為太困了想提早用
[06/17 1:15 AM] 已移除 cloudns NS 紀錄
[06/17 1:17 AM] 已新增 doh 紀錄
[06/17 1:19 AM] 客服不知道他可以後台新增紀錄，幹
[06/17 1:20 AM] 客服終於知道他可以後台新增紀錄了，幹
[06/17 1:22 AM] NS 紀錄預計將在 30 分鐘後失效，然後他都不回我
[06/17 1:23 AM] 客服表示要等待 15 分鐘，所以我決定看一下動畫
[06/17 1:26 AM] 反正主角一樣是轉生怪物，然後幫整個王國弄了很屌的結界
[06/17 1:30 AM] 然後主角帶一群很外掛的隊友打趴一群魔族
[06/17 1:31 AM] 出現一個好像很厲害的魔王在城門外，結果主角放個屁對方又沒了
[06/17 1:34 AM] 花了五秒把超大隻魔物 boss 當成 spam 切了
[06/17 1:40 AM] 客服已經恢復一半紀錄了，剛好也離開學園了
[06/17 1:45 AM] NS 已經轉換了
[06/17 1:59 AM] 客服申請了四次 support code.

[06/17 2:02 AM] 客服已全數新增完成

所以有人猜得到我在看什麼嗎?

失格紋的最強賢者

618 看起來大家有買一堆東西，我看應該做一個 Grafana 的

快了快了

⚠️ 先前在 StackSocial 購買過 ControlD 並透過升級以每年 10$ USD 訂閱的訂戶請避免誤觸升級方案

目前確認網頁的確在顯示頁面上不太清楚，如果不小心戳到升級可以請客服協助，但需要花很多時間處理
可以的話請避免打擾到人家唷~

✨ 新玩具發布

又一個機器人 🤖

這個機器人可以幫助你快速查 UDP, DoH, DoQ 紀錄，同時帶有其他特點：
1. 查詢時帶有時間功能，提供直覺的方式了解節點品質
2. 可快速批量查詢，可對單一節點連續高達 30 次查詢並統計平均速度
3. 更多功能敬請期待

@FutaGuard_bot

📢 近期郵局 i郵箱 特價，小格只需要 45$

可以理解為你可以用 45$ 體驗到郵局快捷的速度，什麼概念
早上在台北寄件，隔天一早就到台南ㄌ

🐛 再次來自蝦皮的搞笑
上方可直接複製的包裹號碼是下方完整物流編號殘缺版

👌 感謝大家的努力不懈
165 已釋出大部分名單出來，目前已經寫腳本讓他每天執行更新一次，並使用hosts 格式釋出

訂閱網址 https://filter.futa.gg/TW165.txt

文章
資料來源