Forwarded from 光卡的网络斗士培训班
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Project FooHoro | PFH:B:C:B:2025012900 (ホロ 🐺)
近期部分技术圈子的人员可能听说了一个名为HyeonSeungri的Github帐号在“中国大规模地封锁基于TLS的翻墙服务器”[1]帖子下发布关于网络流量识别与审查的相关“内部信息”。
该帐号声称自己是广州互联网交换中心[2][3]的审查员工,提到了一些流量识别系统工作的内部过程,并且推荐翻墙软件的开发者使用较老的TLS协议版本(主要包括SSL3.0、TLS1.0、TLS1.1)、使用自签名证书、并采用显示/可信代理方式设置代理服务器/VPN。该说法在论坛上引起了一些争执。
目前,该帐号已删除其在该贴中的评论,其帐号也已经被删除。并无法得知该帐号到底是自行注销还是被封号。
该帐号发布的相关言论仍然可以通过存档找到[4]。
接下来是我的结论:
大多数“应该怎么做”是在放屁,简直就是在害人。
借用贴内一个网友的回复:“它们(指HyeonSeungri声称的不会被识别出来的代理流量)不需要被识别出流量特征,它们本身就是特征。/They don't need fingerprinting to be distinguished. They are fingerprints per se.”
首先,使用旧版本的TLS协议是有很大风险的。暂且不提具有严重的已知安全问题[5]因此应当完全被废弃的SSL 3.0,TLS 1.0和1.1版本包含很多不安全的加密算法(如GOST、3DES、RC2、RC4)和不安全的密钥交换算法(如DH-ANON)[6][7],对此不了解的新手非常容易因为配置错误,导致安全问题。
类似的,使用自签名证书也很容易导致对此不了解的新手打开诸如“允许非安全连接”等会降低连接安全性的选项。
然后,无论是使用自签名的数字证书还是使用旧版本TLS协议,都会导致这个本来应该悯然众人的服务器在防火长城鹤立鸡群。根据Qualys SSL Labs的SSL Pulse报告[8],截至2022年9月,仅38.7%的服务器支持TLS 1.1,仅35.5%的服务器支持TLS 1.0,而SSL 3.0的支持率只有2.3%,TLS 1.2的支持率高达99.8%。这就是说,如果你按照这位HyeonSeungri的指示,把代理服务器配置成不支持TLS 1.2及以上的版本的话,你的服务器就成了非常显眼的0.2%。同样的,为了让现代化的浏览器接受,大多数网页服务器都有由证书颁发机构(CA)签发的证书,自签名证书一般是测试服务时才会用的。那么,一方是支持现代化加密、拥有正确的证书、看起来非常普通的网页服务器,另一方是固执地选择老旧的安全协议、使用会让浏览器告警的自签名证书的奇怪的网页服务器,哪边看上去更像是have something to hide的代理服务器呢?
而且,即使,出于某些原因,你的代理服务器没有被发现。你连接这种服务器所造成的流量,看起来也不会像是普通的浏览器访问网页的流量。2020年,Chrome浏览器在版本84移除了对于TLS 1.0和1.1的支持[9][10],Firefox在版本78默认禁用了TLS 1.0和1.1[11][12]。因此,现在在网络上传递的HTTPS流量,绝大多数都是使用TLS 1.2或1.3的。而即使在此之前,大多数浏览器也会默认选用服务器支持的最高版本的TLS协议来增强链路的安全性,老版本的TLS协议的使用率,本来就没有那么高。这种情况下,SSL3.0、TLS1.0或1.1的互联网流量,也是非常显眼的,毋庸置疑。
综上所述,HyeonSeungri的建议不但会严重降低通信的保密性和安全性,也让流量和代理服务器显得更加突出,这直接违背了v2ray等审查绕过软件的设计思路(使翻墙流量看起来像普通的网页访问流量),因此不应该采用。
[1] https://github.com/net4people/bbs/issues/129
[2] https://inflect.com/ix/chn-ix-guangzhou
[3] https://en.wikipedia.org/wiki/List_of_Internet_exchange_points
[4] http://archive.today/2022.10.09-065615/https://github.com/net4people/bbs/issues/129
[5] http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
[6] https://datatracker.ietf.org/doc/html/rfc2246
[7] https://datatracker.ietf.org/doc/html/rfc4346
[8] https://www.ssllabs.com/ssl-pulse/
[9] https://chromestatus.com/feature/5654791610957824
[10] https://developer.chrome.com/blog/chrome-81-deps-rems/
[11] https://www.mozilla.org/en-US/firefox/78.0/releasenotes/
[12] https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/
#ssl #tls #v2ray #xtls #naiveproxy #clash #翻墙 #代理 #censorship #anticensorship #disinformation #debunk
Source: https://nya.one/notes/96yu1u2i73
该帐号声称自己是广州互联网交换中心[2][3]的审查员工,提到了一些流量识别系统工作的内部过程,并且推荐翻墙软件的开发者使用较老的TLS协议版本(主要包括SSL3.0、TLS1.0、TLS1.1)、使用自签名证书、并采用显示/可信代理方式设置代理服务器/VPN。该说法在论坛上引起了一些争执。
目前,该帐号已删除其在该贴中的评论,其帐号也已经被删除。并无法得知该帐号到底是自行注销还是被封号。
该帐号发布的相关言论仍然可以通过存档找到[4]。
接下来是我的结论:
大多数“应该怎么做”是在放屁,简直就是在害人。
借用贴内一个网友的回复:“它们(指HyeonSeungri声称的不会被识别出来的代理流量)不需要被识别出流量特征,它们本身就是特征。/They don't need fingerprinting to be distinguished. They are fingerprints per se.”
首先,使用旧版本的TLS协议是有很大风险的。暂且不提具有严重的已知安全问题[5]因此应当完全被废弃的SSL 3.0,TLS 1.0和1.1版本包含很多不安全的加密算法(如GOST、3DES、RC2、RC4)和不安全的密钥交换算法(如DH-ANON)[6][7],对此不了解的新手非常容易因为配置错误,导致安全问题。
类似的,使用自签名证书也很容易导致对此不了解的新手打开诸如“允许非安全连接”等会降低连接安全性的选项。
然后,无论是使用自签名的数字证书还是使用旧版本TLS协议,都会导致这个本来应该悯然众人的服务器在防火长城鹤立鸡群。根据Qualys SSL Labs的SSL Pulse报告[8],截至2022年9月,仅38.7%的服务器支持TLS 1.1,仅35.5%的服务器支持TLS 1.0,而SSL 3.0的支持率只有2.3%,TLS 1.2的支持率高达99.8%。这就是说,如果你按照这位HyeonSeungri的指示,把代理服务器配置成不支持TLS 1.2及以上的版本的话,你的服务器就成了非常显眼的0.2%。同样的,为了让现代化的浏览器接受,大多数网页服务器都有由证书颁发机构(CA)签发的证书,自签名证书一般是测试服务时才会用的。那么,一方是支持现代化加密、拥有正确的证书、看起来非常普通的网页服务器,另一方是固执地选择老旧的安全协议、使用会让浏览器告警的自签名证书的奇怪的网页服务器,哪边看上去更像是have something to hide的代理服务器呢?
而且,即使,出于某些原因,你的代理服务器没有被发现。你连接这种服务器所造成的流量,看起来也不会像是普通的浏览器访问网页的流量。2020年,Chrome浏览器在版本84移除了对于TLS 1.0和1.1的支持[9][10],Firefox在版本78默认禁用了TLS 1.0和1.1[11][12]。因此,现在在网络上传递的HTTPS流量,绝大多数都是使用TLS 1.2或1.3的。而即使在此之前,大多数浏览器也会默认选用服务器支持的最高版本的TLS协议来增强链路的安全性,老版本的TLS协议的使用率,本来就没有那么高。这种情况下,SSL3.0、TLS1.0或1.1的互联网流量,也是非常显眼的,毋庸置疑。
综上所述,HyeonSeungri的建议不但会严重降低通信的保密性和安全性,也让流量和代理服务器显得更加突出,这直接违背了v2ray等审查绕过软件的设计思路(使翻墙流量看起来像普通的网页访问流量),因此不应该采用。
[1] https://github.com/net4people/bbs/issues/129
[2] https://inflect.com/ix/chn-ix-guangzhou
[3] https://en.wikipedia.org/wiki/List_of_Internet_exchange_points
[4] http://archive.today/2022.10.09-065615/https://github.com/net4people/bbs/issues/129
[5] http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
[6] https://datatracker.ietf.org/doc/html/rfc2246
[7] https://datatracker.ietf.org/doc/html/rfc4346
[8] https://www.ssllabs.com/ssl-pulse/
[9] https://chromestatus.com/feature/5654791610957824
[10] https://developer.chrome.com/blog/chrome-81-deps-rems/
[11] https://www.mozilla.org/en-US/firefox/78.0/releasenotes/
[12] https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/
#ssl #tls #v2ray #xtls #naiveproxy #clash #翻墙 #代理 #censorship #anticensorship #disinformation #debunk
Source: https://nya.one/notes/96yu1u2i73
GitHub
Large scale blocking of TLS-based censorship circumvention tools in China · Issue #129 · net4people/bbs
Starting from October 3, 2022 (Beijing Time), more than 100 users reported that at least one of their TLS-based censorship circumvention servers had been blocked. The TLS-based circumvention protoc...
👍105😱2
Forwarded from HEMC Tech Tips (坐和放宽)
使用这个Magisk模组的话可以在Pixel 3上使用广电VoLTE,通话短信网络都正常
模组链接:
https://github.com/CHN-MuXin/MagiskModuleEnableChinaForVoTELtoPIxel
模组链接:
https://github.com/CHN-MuXin/MagiskModuleEnableChinaForVoTELtoPIxel
👍23
几乎市面上绝大多数 Android 手机都受到了 CVE-2022-20465 漏洞的影响。
该漏洞的具体操作是:
1、准备一张锁定了PIN1但知道PUK1的SIM卡。
2、把这张卡插入到被锁屏密码锁定了的手机。
3、故意输错三次PIN1,然后输入正确的PUK1和新的PIN1重置密码。
4、然后锁屏界面就直接被绕过了。假如手机未被重启,则可以直接访问进手机的数据。假如手机被重启了,就会导致手机无限显示正在加载 Android,但是你可以进入设置恢复出厂设置。
具体发现细节: https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/
除还未更新 2022 年 11 月 5 日安全更新的 Pixel 手机之外,已经在目前发售的绝大多数 Nokia Android 手机以及微软 Surface Duo 上验证均可行。
小米手机上这样操作会触发丢失模式,无法重现此漏洞。
以下是 Surface Duo 实际操作视频。
https://www.youtube.com/watch?v=nC_gJBz6Q8k
请尽快安装 2022 年 11 月 5 日 Google 安全更新。如果你使用的手机厂商还未推送此更新,请确保不要将手机落在会被其它陌生人接触到的地方。
该漏洞的具体操作是:
1、准备一张锁定了PIN1但知道PUK1的SIM卡。
2、把这张卡插入到被锁屏密码锁定了的手机。
3、故意输错三次PIN1,然后输入正确的PUK1和新的PIN1重置密码。
4、然后锁屏界面就直接被绕过了。假如手机未被重启,则可以直接访问进手机的数据。假如手机被重启了,就会导致手机无限显示正在加载 Android,但是你可以进入设置恢复出厂设置。
具体发现细节: https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/
除还未更新 2022 年 11 月 5 日安全更新的 Pixel 手机之外,已经在目前发售的绝大多数 Nokia Android 手机以及微软 Surface Duo 上验证均可行。
小米手机上这样操作会触发丢失模式,无法重现此漏洞。
以下是 Surface Duo 实际操作视频。
https://www.youtube.com/watch?v=nC_gJBz6Q8k
请尽快安装 2022 年 11 月 5 日 Google 安全更新。如果你使用的手机厂商还未推送此更新,请确保不要将手机落在会被其它陌生人接触到的地方。
bugs.xdavidhu.me
Accidental $70k Google Pixel Lock Screen Bypass
David Schütz's bug bounty writeups
👍45
LetITFly News pinned «几乎市面上绝大多数 Android 手机都受到了 CVE-2022-20465 漏洞的影响。 该漏洞的具体操作是: 1、准备一张锁定了PIN1但知道PUK1的SIM卡。 2、把这张卡插入到被锁屏密码锁定了的手机。 3、故意输错三次PIN1,然后输入正确的PUK1和新的PIN1重置密码。 4、然后锁屏界面就直接被绕过了。假如手机未被重启,则可以直接访问进手机的数据。假如手机被重启了,就会导致手机无限显示正在加载 Android,但是你可以进入设置恢复出厂设置。 具体发现细节: https://bugs.x…»
Forwarded from Alan的小纸箱
闲鱼已经开始主动清理售卖的二手 Pixel 手机:
现在搜索 Pixel 手机已经无法返回任何结果了,包括 Google / Pixel / 谷歌手机等关键词全部如此。
现在搜索 Pixel 手机已经无法返回任何结果了,包括 Google / Pixel / 谷歌手机等关键词全部如此。
😱39👎10🎉3👍2
Forwarded from Alan的小纸箱
Alan的小纸箱
闲鱼已经开始主动清理售卖的二手 Pixel 手机: 现在搜索 Pixel 手机已经无法返回任何结果了,包括 Google / Pixel / 谷歌手机等关键词全部如此。
实际观测结果是搜索结果不会返回,但实际产品暂时没有下架:例如搜索「像素手机4XL」仍然能返回部分 Pixel 4 XL 的结果。
但这仍是个危险的信号,依赖闲鱼渠道购入 Pixel 手机的朋友建议抓紧机会。
但这仍是个危险的信号,依赖闲鱼渠道购入 Pixel 手机的朋友建议抓紧机会。
😱36👍1👎1
Alan的小纸箱
闲鱼已经开始主动清理售卖的二手 Pixel 手机: 现在搜索 Pixel 手机已经无法返回任何结果了,包括 Google / Pixel / 谷歌手机等关键词全部如此。
频道主感伤万分,回想起 6 年前 LetITFly BBS 的前身 MAT BBS 刚成立的时候
当时 ShadowsocksR 作者 breakwa11 暂停更新 GitHub 并转战 ZeroNet 发布 Win 客户端 release,并开设 Telegram 频道提供更新日志推送
那是频道主 LetITFly 最初来到 Telegram 的缘由
紧接着,我意识到 QQ 群对 Android 折腾人群而言不是长久之计
尽管不少人觉得当时的我是“被迫害妄想症”balabala,我依然坚持扔掉了那个 QQ 群,该群改掉名字并移交给一位没有那么看淡 QQ 的老管理
我记得,在我来到 Telegram 之初,我在我自己的公开群说过
“当我具备条件时,我一定要买当时最新的 Google Pixel”
2019 年,当我顺利抵达美帝开始留学生涯,我终于可以在 BestBuy 使用蓝色的美元大钞购买 Pixel 3 了… 当然,使用现金是因为当时还没开美国银行卡。
紧接着,当年黑五我在 Google Store 官网买了 Pixel 4 XL 并 trade in 了 Pixel 3。
我怎么也想不到,我在 Google 官网购买 Pixel 4 XL 的 3 年之后,一向不限制“洋垃圾”二手设备自由交易的中国大陆,开始着手屏蔽 谷歌/Google/Pixel 字眼了…
未来会怎么样,谁知道呢。
当时 ShadowsocksR 作者 breakwa11 暂停更新 GitHub 并转战 ZeroNet 发布 Win 客户端 release,并开设 Telegram 频道提供更新日志推送
那是频道主 LetITFly 最初来到 Telegram 的缘由
紧接着,我意识到 QQ 群对 Android 折腾人群而言不是长久之计
尽管不少人觉得当时的我是“被迫害妄想症”balabala,我依然坚持扔掉了那个 QQ 群,该群改掉名字并移交给一位没有那么看淡 QQ 的老管理
我记得,在我来到 Telegram 之初,我在我自己的公开群说过
“当我具备条件时,我一定要买当时最新的 Google Pixel”
2019 年,当我顺利抵达美帝开始留学生涯,我终于可以在 BestBuy 使用蓝色的美元大钞购买 Pixel 3 了… 当然,使用现金是因为当时还没开美国银行卡。
紧接着,当年黑五我在 Google Store 官网买了 Pixel 4 XL 并 trade in 了 Pixel 3。
我怎么也想不到,我在 Google 官网购买 Pixel 4 XL 的 3 年之后,一向不限制“洋垃圾”二手设备自由交易的中国大陆,开始着手屏蔽 谷歌/Google/Pixel 字眼了…
未来会怎么样,谁知道呢。
👍99👎3
Forwarded from 2022•JUFEwin
如果中国大陆用户想购买接近原生的机型现在推荐购买Motorola,用Moto替代HMD和OnePlus
👍29
LetITFly News
如果中国大陆用户想购买接近原生的机型现在推荐购买Motorola,用Moto替代HMD和OnePlus
幸好,目前还是可以在国内大陆地区购买到比美版更便宜的 Motorola 哦。
另外据群友反馈,天猫国际/京东国际等全新 Pixel 溢价渠道大约暂时不受影响、依然能够搜索到。
以及,别忘了还有 Amazon.cn 哦。
Update: 有群友反馈闲鱼又可以搜到“Pixel”了;但鉴于审查机制的反复和不确定性,建议有需求的朋友尽快购买;转转等其他二手平台可能也可。
另外据群友反馈,天猫国际/京东国际等全新 Pixel 溢价渠道大约暂时不受影响、依然能够搜索到。
以及,别忘了还有 Amazon.cn 哦。
Update: 有群友反馈闲鱼又可以搜到“Pixel”了;但鉴于审查机制的反复和不确定性,建议有需求的朋友尽快购买;转转等其他二手平台可能也可。
👍30
Forwarded from 小林家的托尔 (托尔夏美子)
简评天翼1号 2021:
比 MIUI 还难处理的广告系统(甚至是不能解锁的 Android 10)
比天玑 700 都烂的 SoC
比红米 A 系列都烂的廉价外观(还不支持 PD快充, TF 卡扩展和 3.5mm 接口)
如果不是看着这玩意用的紫光芯片我可能真的不会买,同价位买个二手红米 Note 5G 都比这个好
(另外有没有天翼1号 2022 的使用体验)
比 MIUI 还难处理的广告系统(甚至是不能解锁的 Android 10)
比天玑 700 都烂的 SoC
比红米 A 系列都烂的廉价外观(还不支持 PD快充, TF 卡扩展和 3.5mm 接口)
如果不是看着这玩意用的紫光芯片我可能真的不会买,同价位买个二手红米 Note 5G 都比这个好
(另外有没有天翼1号 2022 的使用体验)
👍12