安全上网101

暂时使用旧版内容,过几日更新最新的讨论

关于别人能获取多少信息

  1. 平时上网时,运营商(联通,电信这些之类)能获得的信息有多少呢?

在没挂梯子的情况下,运营商能获取信息: 1. 手机型号、编号 2. IP、连的基站、以及通过基站确定的定位 3. 所有的短信信息 4. 连接了哪些服务器 5. 访问了哪些网站 6. 访问的没加密的网站的内容(HTTP开头的)

  1. 如果使用VPN能隐藏哪些信息呢?

    1. 访问了哪些网站
    2. 访问的没加密的网站的内容。

实质上是把这些信息从运营商的手中转移到了VPN提供商的手中

  1. 在各种论坛内的发言会被看到么?

(听说网站是加密的,但是不知道具体是怎么个加密法。是可以看到我看了这个网站,但是不知道我说了什么吗?)

大概就是这个意思,具体的发言不会被看到!

这个语境中加密的意思大概就是,这里用了https协议,是把每个数据包进行加密之后传输的,但是中间人(运营商/梯子)还可以查询到你访问的是这个网站(他们需要把数据包送到这个网站)

的确就是:可以看到我看了这个网站,但是不知道我说了什么!

链路安全 – 浏览器、VPN和Tor

  1. 关于🪜被查

被查的大多数情况都是因为用了不安全的🪜软件,或者用的软件的节点(连接的服务器)被掌握了,选择安全的🪜软件可以极大程度上规避这个风险

  1. 怎样分辨VPN是否安全呢

这个相对复杂一点。

一般来说,免费的VPN的安全性都要打大大的问号!!!这个很重要!

而付费的分几类:

1.是外国的付费VPN,如nordvpn,Express VPN这些,一般来说安全

2.是国内的,如果说是“机场“这些,使用通用的🪜软件的,相对安全

3.如果VPN有自己的软件,那我无法确定。这能降低使用难度,但他们提供的软件的安全性没那么好保证

  1. 什么叫做机场呀

机场是VPN提供商的一个称呼!

早些时候,🪜常用shadowsocks,那个的图标是纸飞机,提供商提供节点(服务器),就像机场有飞机那样。

机场提供”订阅“,用户导入到软件里面使用

  1. 关于”跑路“的风险:

面向国内的各种“机场“都有跑路的风险,就是你打给他钱了之后,过一阵子就跑了!

大多数都是圈钱了,极少数被查了。

这个的话,尽可能按月购买,以及找运营时间长的机场。

  1. 关于机场会不会记录我的数据:

在大多数情况下,机场会记录的数据只有流量用了多少、有没有多人共用的情况,因为这些才影响他们的收入!

另外有可能还会记录的是,部分机场有审计(比如不准用机场来下BT种子、不准用机场发垃圾邮件这些),也是为了保护他们的服务器,不会被云服务厂商停机,来减少换机器的开销。

大多数机场都不会记录你访问了哪些服务!如果记录每一个人的数据会非常非常占服务器空间,也会很影响服务器性能,对机场来说是不划算的买卖!

  1. 关于机场会不会主动把我的信息交给🧢:

一般来讲不会!因为机场本身就不合规的!被查到的话他们自己都有大麻烦,一般不会主动去上交用户的数据。也不能排除部分是专门钓鱼的:价格特别低的那些要小心!

  1. 关于使用者会不会被查:

使用者问题不大!

在绝大多数地方使用者都是相对安全的,主要是基数非常大没法查,以及在找上你之前没法确定你有没有获利(这个最重要!机场被抓有大麻烦是因为他们是有收入的!)

  1. 关于付费机场的付费安全性

付费通道是国内的微信支付宝,在大多数情况并不会对你有太大的影响:

做机场在国内本身就是灰色的,他们不会直接拿自己的账号收钱,也不会开淘宝店,这一点和ht上发生的事情不一样。

做机场的一般会选择寻找四方支付来收款,这个样子能降低用户和他们的风险:

理解四方支付之前得先了解一下三方支付,就是付款方-平台-收款方,中间的平台可以是微信可以是支付宝也可以是其他像PayPal这些。通过中间的平台可以确定付款方-收款方的联系。

四方支付就多了一个中间人的环节:

付款方-平台-中间人-收款方

具体运作方式是这样的: 当你给机场付费时,你的钱先到达微信或支付宝这类平台,然后平台将钱转给一个中间商,最后中间商再把钱给到机场主(虽然在这个简化模型中直接连上,但大多数都是些不那么合规的途径,中间人完全不希望能和收款方打上关联)。这个中间商通常是专门做这类灰色支付渠道的人。

这样做之后,

  1. 机场主不直接接触用户的支付信息,但能收到钱
  2. 支付平台看到的只是普通的付款,不易被识别为违规业务
  3. 监管部门无法直接确定付款方与最终收款方之间的联系,很难追查到人

四方支付的风险也主要是中间商卷款跑路导致机场无法收到款项,但这点我们就不用担心了。

  1. 关于用VPN时是应该开开关关还是一直开着:

我是认为开开关关更容易出问题。

各种软件都喜欢在后台去获取更新各种信息,这个不是只是国内这帮流氓爱干,国外的也爱干。如果那些软件尝试更新信息的时候你没挂VPN,那么防火墙就知道你会访问这些网站了。

在这里补一下下,推荐用有kill switch的(就是断开VPN就断网)

  1. 如果🪜过程中VPN突然断线,是不是墙就会知道我具体在YouTube哪个视频看了什么内容?

    具体哪个视频墙是不知道的,但是墙会知道你看了YouTube

  2. Tor的事我一直整不太明白,有必要使用Tor吗

    对大多数人来说我不觉得需要用Tor,这涉及到下面几点:

    1. Tor的使用成本高很多,网速影响非常大,延迟非常高。
    2. Tor的路径中的节点一样能访问到你想访问的网站(如果不是.onion),且这些节点更有动力来记录浏览的信息(很大比例的Tor节点是由各国🧢运营的用来抓犯罪分子)
    3. 如果你还是访问的http服务,你的数据一样能被中间的一部分节点获取,只是他们无法知道你设备的IP。
    4. Tor上内容的风险会高很多!太多不合法的东西了!

    实质上我个人觉得用tor会把自己的风险等级拉高……

    关于运营商/tor能看到什么,可以参考eff的可视化资源,https://tor-https.eff.org

  3. VPN一直开着是不是会占正常流量啊,我有个月莫名其妙欠费,多交了300块钱话费,搞不清楚是移动的诡计还是vpn的原因

    VPN一直开着不会占正常流量。

    一般来说用VPN的话只会在正常的流量损耗之外多出一丁点用于加密、标识的overhead,而不会导致流量成倍的增长。

    感觉是移动的问题……

设备安全 – 输入法、系统和应用

  1. 输入法会知道我说了什么吗?

很遗憾,是的。特别是各种有云联想的输入法。

这里特别要提醒搜狗输入法!搜狗输入法存在敏感数据泄露的风险!!!

在Windows版 13.7,Android版 11.26之前,搜狗输入法在做云端输入联想时,没有使用https来加密,任何中间人都能查到你输入的每一个字母!!!

至少需要更新,但我推荐彻底干掉它!

其他的所有支持云端输入联想的都会传输数据到对方的服务器,有疑虑的完全可以关闭!具体教程可以自己搜一下

  1. 有没有安全点的输入法

基于我们现在的情况,我推荐开源、本地的输入法,比如RIME | 中州韵输入法引擎,支持Windows和MacOS。

Windows和MacOS自带的输入法也比较安全。

在手机上的话,苹果用自带的键盘就很不错了,安卓就复杂多了:

推荐用Gboard,Google家出的。

或者也可以看看 https://meta.appinn.net/t/topic/46928 Fcitx5 for Android:完全离线的开源Android中文输入法[川陀大学图书馆],我个人因为没用过安卓还没尝试过

  1. 剪切板上的数据风险

复制完密码直接去黏贴,不要打开别的软件!

黏贴完之后记得随便复制点别的东西

  1. 关于浏览器

不推荐使用国产浏览器!!!不推荐使用国产浏览器!!!不推荐使用国产浏览器!!!

如360QQ啥的!

这些浏览器会收集大量用户数据,内置各种监控和追踪功能,安全性更新也不及时!

推荐直接使用 Firefox/Chrome/Edge/Brave等

  1. 关于反💣

能卸就卸!

账户安全 – 密码、密码管理器和邮箱

  1. 浏览器存密码很方便,OK么?

不要使用浏览器内置的密码保存功能!

浏览器存储的密码可以被一键导出,如果设备被他人访问,所有密码都会立马泄露

  1. 什么是密码管理器?

密码管理器大概就是,他帮你解决所有的记住密码的事情,你需要记住的只有密码管理器的密码

  1. 有什么密码管理器的选择吗?

密码管理器没有很多选择!只能选大的经过验证的!

比如LastPass,1Password ,Bitwarden 这些,或者苹果新出的Passwords

我个人推荐Bitwarden

Bitwarden客户端支持足,还是免费的,就是官方服务器在部分运营商可能不稳定,🪜后体验更好。

  1. 关于苹果新出的Passwords和云上贵州的问题

是的,在国区的话,密码会被上传到云上贵州,但是是在加密之后传的。

可以在设置中关闭

  1. 感觉要完全放心使用那个密码功能还得自己手抄一份物理意义上再保存一遍才安心……不然哪天软件出问题或者手机丢了,密码一丢就是一大堆,自己又完全记不住乱码,想回忆起来都不可能

Bitwarden是云同步的(到他们的服务器上)所以只要记得邮箱&密码就不会丢

苹果的那个也可以同步

  1. 关于邮箱

尽可能减少国内邮箱的使用!

推荐先注册一个outlook的邮箱!

再拿outlook来注册Gmail啊什么的,或者做Proton mail的找回邮箱。

有了outlook邮箱之后,可以再弄一下鸭鸭邮箱(duckduckgo),会有更好的安全性

  1. 关于鸭鸭邮箱

可以在 https://duckduckgo.com/email/ 注册

使用部分可以参考 https://linux.do/t/topic/51987 (仅做教程参考,确认了无内容上的错误)

总之用鸭鸭邮箱可以做到每一个网站的邮箱都不一样,更难关联到你个人!

  1. 关于鸭鸭邮箱和Bitwarden的联动

可以参考官方教程 https://bitwarden.com/help/generator/#tab-duckduckgo-3Uj911RtQsJD9OAhUuoKrz

或者第三方 https://www.pcworld.com/article/2217318/how-to-get-unlimited-masked-emails-to-keep-your-inbox-secure-and-private.html (带截图)

可以做到在每个网站上都由Bitwarden管理全新的邮箱和密码

身份安全 – 身份隔离、数据保护

  1. 发布我的微博号安全么?

可能并不安全。微博在2020年发生了非常严重的数据泄露。

我推荐所有注册早于20年的微博账户注销后重新注册。

  1. 加入QQ群安全么?

不一定。QQ的数据也曾被泄露过。如果你的QQ在20年之前有绑定过手机,不推荐继续使用这个QQ来加别的群。

QQ有“关联QQ号”的功能,可以通过注册小号、小号加群来完成身份的隔离。

  1. 我能如何自查呢?

可以尝试查询 https://haveibeenpwned.com 确认邮箱绑定的账号的泄露情况。

国内的QQ 微博的泄露数据不推荐输入你的任何信息去查询,但你可以按照时间估算。

  1. 我能信任什么平台么?

很遗憾,最好的方案是不信任。在这方面,外国的月亮也不圆,如Facebook也曾发生大规模的数据泄露事件。

基于开源和生态的考量,你可以选择长毛象作为一个相对安全的平台。

一般来说注册长毛象只需要邮箱即可,我们可以注册outlook、proton等邮箱,专号专用,来做到良好的身份隔离。