Linux, 工作, 生活, 家人

Network, Security, 垃圾桶

我用無名, 我用 Open Proxy, 請來盜我帳號

無名因為要躲流量, 所以叫大家使用 Open Proxy.
不過各位知道嗎? 使用 Open Proxy 是會經過第三方網路, 若是這個 Proxy 是自己架的就算了, 不過在無名的 Proxy.pac 還建議各位使用開放的 Proxy.

如果我是壞人, 我只要建一個開放的 Proxy .
只要經過的封包有 username 或是 password 等字樣, 就 Log 下來.
這樣子, 連釣魚都不用了, 就可以機巧的偷得帳號密碼.

我就做個簡單的實驗好了, 我就錄下從我電腦到無名的封包, 若是各位有經過 Proxy
一樣有可能會被側錄下來的

這就是 Login 的畫面

第一個封包, 這是標準的表頭…..

第二個封包, 這個就有帶上帳號和密碼

放大一點

看到了嗎? 所有帳號和密碼完全暴露在外面. 這是多危險的一件事情呀.
一般傳輸就有可能會被側錄了, 要是使用無名不知道那邊弄來的 Open Proxy
這可就更危險了, 不是嗎

接下來看看正常的例子好了, 以 Tw.yahoo 為例
密碼的部份就被保護住了.
當然 Yahoo 有拍賣, 可以騙錢, 所以除了側錄, 還有很多種騙帳號的方式, 在此先不提了
不過我可以大聲的說 Yahoo 即使是一般的登入, 也是有加密的

像是無名一直講用 Open Proxy (其中大部份都是教育部, 應該說是交大內部的 Proxy 吧)
這對多數的使用者是很危險的, 誰知道中間有沒有 Proxy 是有壞人的(像是大神等級的人物)
我對無名的確是很不爽, 但是主要還是,

  • 對無名不離不棄, 被當白吃.
  • 無名商業化之後, 還盜用納稅人的錢, 開 Open Proxy
  • 無名商業化之後, 濫用學網資源.

其實我私自認為, 吳緯凱才是應該為這些事負起責任的人.
畢竟和濫用學網資源的事, 都和他及他所屬的實驗室有關係.
這一點是無庸置疑的.

Update :
加一張 Kuso 圖

10 留言

  1. 2跟3應該算是同樣的事情吧

    不過還可以加上一點:
    睜眼說瞎話,把所有人當白痴

  2. 大大

    2007年
    怪事特別多

  3. JLS

    話說

    那張圖還真是挺可愛的

  4. cov

    yahoo那個不能算加密… 要反解很簡單
    真正的加密如SSL之類的要能做到無法反解

  5. s3p

    最好是那個加密反解很簡單啦… 😛

  6. 那個表情看起來真欠扁 XD

  7. 有名大站什麼時候會把使用者的資料視為極重要呢?

    註冊沒有SSL就算了,連登入到現在還不加SSL…

  8. 字好大喔,呵呵

    沒用Open Proxy也會洩漏資訊吧!

    改天把無名帳砍掉就好了XD

  9. 有些p2p軟體會因使用者的疏忽或軟體本身的機制,把電腦上重要的帳號紀錄給分享出去,我最近實驗了一下,在該軟體搜尋欄位填入適當的關鍵字:『帳號、密碼、通訊錄』,就可以看到非常多的文字檔、word檔,裡面有線上遊戲的帳號密碼、身份字號;公司同事的通訊錄以及許多重要資料。

    我想,會被盜帳號不僅僅是網站本身的安全機制,使用者的上網習慣、電腦安全都有很大關係。

  10. md5

    MD5相對SSL是好解啦,如果有錢去租Amazon的農場,應該一下子就解開了,不過租農場要花多少錢呢? 很多。
    不然幾台PC算個一兩年也是可以的。
    不然可愛的yahoo常常有人被盜帳號,都是因為dummy password?

發佈留言