【技術文】国安封《香港編年史》的技術淺析及繞過方法
畢氏絲打
74 回覆
53 Like
2 Dislike
都幾難,之前網上公投,ccp用盡全力搞鳩個系統,最後轉咗cloudflare就冇事。
Encrypted Client Hello
就係喺 TLS 嘅 handshake 嘅時候 Client 同 Server say hello 嗰吓成個 metadata 都加密
因為本來諗住將個 SNI 加密咗佢就算,但後來發覺咁樣有啲多9餘,加上又有方法(雖然比較複雜)爆到個 Domain Name 出嚟,所以就決定改做成個 Client Hello 都加密
就係喺 TLS 嘅 handshake 嘅時候 Client 同 Server say hello 嗰吓成個 metadata 都加密
因為本來諗住將個 SNI 加密咗佢就算,但後來發覺咁樣有啲多9餘,加上又有方法(雖然比較複雜)爆到個 Domain Name 出嚟,所以就決定改做成個 Client Hello 都加密
用 Firefox 嘅,除咗 DoH 之外,記得順便開埋 ESNI/ECH 佢
ungoogled chromium 呢咁
firefox 評價(轉貼)
作者:opensource
firefox,一個安全同私隱保護做得好差嘅browser
firefox係連sandbox依啲基本嘢都做得好差,更加唔好講site isolation同其他防漏洞功能依啲瀏覽器應該有嘅嘢到依家都冇
https://madaidans-insecurities.github.io/firefox-chromium.html
https://grapheneos.org/usage#web-browsing
tor browser就係因為噉先要大幅改裝佢,如果唔係根本做唔到一個安全、私隱、匿名嘅瀏覽器畀人用
" Tor瀏覽器,前身為Tor Browser Bundle(TBB),是Tor項目的旗艦產品。由Mozilla Firefox ESR瀏覽器修改而成,並由Tor Project開發人員做了許多安全性和隱私保護的調校,預載TorButton、TorLauncher、NoScript和HTTPS Everywhere等擴充套件與Tor代理。其為開源軟體、自由軟體、綠色軟件,可在多種作業系統上運行,包括Windows、Mac OS X、Linux、Unix、Android。 "
但始終個底太差,所以佢整出嚟個安全防護都唔係太好
同埋firefox佢預設一啲都唔尊重用戶私隱,有勁多唔關事嘅嘢,而且都會連去google server道,你要自己識改先得
https://github.com/arkenfox/user.js
https://privacytools.io/browsers/#about_config
綜上所述,除非你有足夠精力去應付依啲嘢,如果唔係我勸你都係用我推薦嗰兩個算
tor browser可能對你嚟講有啲多餘,噉就用ungoogled chromium啦,記住有得down zip檔免安裝版就down佢,免安裝版比起安裝版更加難操控到你部電腦
佢冇自動更新,你要定期上佢官網睇下有冇新版,但比起你要改firefox之後重要唔夠安全好好多
作者:opensource
firefox,一個安全同私隱保護做得好差嘅browser
firefox係連sandbox依啲基本嘢都做得好差,更加唔好講site isolation同其他防漏洞功能依啲瀏覽器應該有嘅嘢到依家都冇
https://madaidans-insecurities.github.io/firefox-chromium.html
https://grapheneos.org/usage#web-browsing
tor browser就係因為噉先要大幅改裝佢,如果唔係根本做唔到一個安全、私隱、匿名嘅瀏覽器畀人用
" Tor瀏覽器,前身為Tor Browser Bundle(TBB),是Tor項目的旗艦產品。由Mozilla Firefox ESR瀏覽器修改而成,並由Tor Project開發人員做了許多安全性和隱私保護的調校,預載TorButton、TorLauncher、NoScript和HTTPS Everywhere等擴充套件與Tor代理。其為開源軟體、自由軟體、綠色軟件,可在多種作業系統上運行,包括Windows、Mac OS X、Linux、Unix、Android。 "
但始終個底太差,所以佢整出嚟個安全防護都唔係太好
同埋firefox佢預設一啲都唔尊重用戶私隱,有勁多唔關事嘅嘢,而且都會連去google server道,你要自己識改先得
https://github.com/arkenfox/user.js
https://privacytools.io/browsers/#about_config
綜上所述,除非你有足夠精力去應付依啲嘢,如果唔係我勸你都係用我推薦嗰兩個算
tor browser可能對你嚟講有啲多餘,噉就用ungoogled chromium啦,記住有得down zip檔免安裝版就down佢,免安裝版比起安裝版更加難操控到你部電腦
佢冇自動更新,你要定期上佢官網睇下有冇新版,但比起你要改firefox之後重要唔夠安全好好多
不過咁,其實 DoT/DoH 首先都係要經 TLS 協定(其實都係 HTTPS 嘅底層協定)去搵返個 DNS,而過程 ISP 始終都係會知。如果有心 Block,佢 Block traffic/divert 晒呢啲 DNS 嘅 IP 始終都係會 Fail。
如果就咁入1.1.1.1係咪就可以解決到?
樓主嘅所謂淺析對普通人嚟講係冇分別
雖然我睇得明,但係都請講返中文
雖然我睇得明,但係都請講返中文
未 support ESNI/ECH
佢唔係整咗個 Container based 嘅 Sandbox 咩?
如果真係連 DoT/DoH 都搞,1.1.1.1 肯定唔安全
但如果你只係亦依家避開 ISP Block,1.1.1.1 暫時夠有餘;本文只係分析緊 ISP 仲有咩手段同埋有咩方法 mitigate
但如果你只係亦依家避開 ISP Block,1.1.1.1 暫時夠有餘;本文只係分析緊 ISP 仲有咩手段同埋有咩方法 mitigate
不過我會話如果喺現階段唔係敏感嘢,只係需要避開網絡審查嘅,Firefox 係夠有餘
唔block IP嘅話,ISP純粹DNS搞鬼,照計改host file都得,都可以搵到個IP,自己喺host file 填domain name 對應IP, 以前對付早期GFW DNS污染都有效
https://www.howtogeek.com/howto/27350/beginner-geek-how-to-edit-your-hosts-file/
https://www.howtogeek.com/howto/27350/beginner-geek-how-to-edit-your-hosts-file/
係得嘅,但咁做有啲奇怪,即係無理由吓吓上網都知道人地 IP 係乜咁樣㗎嘛
再者,雖然係避免咗 DNS query,但因為 SNI ,始終都係會俾人知你上緊咩網,所以點解對 GFW 已經無效
再者,雖然係避免咗 DNS query,但因為 SNI ,始終都係會俾人知你上緊咩網,所以點解對 GFW 已經無效
可以censor ESNI?
理論上可以( 見 https://tools.ietf.org/html/draft-ietf-tls-esni-08 )
而實際上依家 GFW 係所有 ESNI 都會封晒佢,意味住支那係未有方法爆到 ESNI 嘅加密,因此只能一刀切
而實際上依家 GFW 係所有 ESNI 都會封晒佢,意味住支那係未有方法爆到 ESNI 嘅加密,因此只能一刀切
即係 ESNI 嘅進化版,將成個 Client Hello 都加密埋
Cloudflare個方向都係DoH+DNSSEC+TLS1.3+ESNI(ECH)
其實都mitigate到絕大部份attack
TLS1.3 mature左就睇GFW/censor點應付
其實都mitigate到絕大部份attack
TLS1.3 mature左就睇GFW/censor點應付
依家 GFW 就係一見 ESNI 就 block,照理 ECH 都應該劫數難逃;但暫時未有牆內報告證實 ECH 同 ESNI 同一命運
理論上如果 TLS 1.3 同 ECH 都普及的話,再一刀切都唔多實際;但到時 GFW 可能已經變咗 Whitelist
理論上如果 TLS 1.3 同 ECH 都普及的話,再一刀切都唔多實際;但到時 GFW 可能已經變咗 Whitelist
Lm學野
睇內文學到嘢