揭秘 - 机场VPN的隐私安全问题探究
摘要
网上有很多关于机场VPN类服务隐私和安全相关的讨论,类似这样:
使用某某机场导致被盗号,是不是隐私泄漏?
用机场上网的话,是否机场方就知道我所有的上网数据和信息?
这些大都是作为用户的身份发起的探讨,并没有一个业内专业的分享和讲解
所以这篇文章将以 “ 好滋味杂货铺 ” 一家运作多年的稳定科学上网提供商的身份
来和大家聊聊安全和隐私方面的内容,并结合我们的运营经验来解答一些疑惑
你的目的
首先我们做选择做事总会有目的,在探究问题本质前需要搞清楚自己的目标和目的
在科学上网过程中,你是用于办公商务沟通还是帮助学习查找资料论文学习先进技术
还是纯粹就是用于娱乐,看看美剧小电影啥的
在科学上网过程中你的行为是否对他人造成了伤害,有没有坑蒙拐骗,有没有参与政治活动,有没有违反法律
如果都没有,那么科学上网就是很正常的工作生活娱乐工具,出于国情特殊性考虑你不应该向没有需求的人传播
科学上网和VPN的本质区别
科学上网主要用途是获取外网信息,VPN主要是保护隐私隐藏自身IP
一个是获取信息一个是保护隐私所以我们在谈隐私问题前需要搞清楚区别
因为本文主要探讨科学上网这块所以VPN这块暂且不谈,那么在科学上网过程中有哪些隐私暴露呢?
科学上网的隐私暴露
如果你是自行搭建科学上网,会暴露以下信息:
- 采购云服务器和域名等配套服务时在服务提供商留下的订单信息支付信息
- 下单时被收集的本地IP地址信息
- 当然在程序运行中会产生日志,如果没有关闭日志功能依然会产生日志
如果你选购商业加速器服务,会暴露以下信息:
- 你的本地IP地址
- 你的订单支付信息
- 使用过程中访问的域名信息 ( 只有域名部分无法获取URL后缀也无法获取内容 )
任何无日志保证均不可信
大家应该能经常看到很多服务提供商以无日志记录作为宣传口径
包括海外用于保护隐私的VPN公司更是如此,这玩意本来就是隐藏IP的
但是呢,任何无日志保证均是伪命题,原因很简单,无法证明
总不可能把服务器控制权限给普通用户吧,再说普通用户也看不懂
所以任何无日志保证一笑而之即可
那么真正有需要的人比如黑客怎么做呢,当然是自己把控所有环节
技术无罪而是看使用的人
日志本身没什么,重点是看如何利用
如果是用来改进提供更优质服务当然是最好的情况
但也不乏用技术来做恶的,比如某公司爆出大数据杀熟
利用后台订单数据做大数据分析套路老客户区分定价获取更多的利润
当然这种谈不上违法只是不道德,还有购物平台精准推送商品都是日志来做大数据分析
再比如某机场主在公开的群里暴露用户私人信息,IP地址、支付宝账号、姓名等私人信息
因为他们之间产生了争议所以用这种方式威胁用户,这种情况属于人品有问题,保护用户隐私属于基本职业道德
就像很多购物类诈骗电话就是曾经买过东西的店铺把我们订单信息给卖了所以诈骗的人才知道的那么清楚
在这个特殊行业用户和服务提供商应该是相互支持相互扶持的关系
但是由于门槛较低导致鱼龙混杂恶意竞争,所以乱糟糟的,用户想获得清净只有远离争议较多的提供商
在好滋味杂货铺我们获取哪些信息以及如何使用 ?
回到主题,这里将结合杂货铺的实际运营经验和大家谈谈信息收集和隐私与安全
第一点、支付信息获取
买东西总归得付钱,结合实名制,你是谁这个问题,你的服务提供商肯定是知道的
当然也有支持去中心化货币的提供商,比如用比特币付款啥的
但其实仔细想想这是个心理问题,即使费劲一大圈使用加密货币支付,虽然不知道是谁但你总的使用吧
使用过程中本地IP地址会暴露,结合宽带和手机号实名制你又暴露了,图啥呢,图个心理安慰,当然如果是用作违法用途确实会有些效果,所以我们在文章开始就谈到了目标和目的这个话题
第二点、你的本地IP地址
在使用过程中程序会获取到你的本地公网IP地址,这玩意用来干嘛呢
1、了解用户的所在地区城市,看看用户分布情况
2、IP地址可以区分宽带运营商,方便做针对性优化
3、做设备数量限制和防止违反服务协议保证公平性
当然如果服务提供商有技术和能力的话,IP地址可以做细化分析
比如分析哪个城市请求量更大,做针对性优化降低延迟和提升速度,一般是沿海地区
哪个宽带运营商的用户最多,一般是电信,有的提供商有公网线路可以根据这个调整流量比列
第三点、请求的域名信息
在谈第三点前我们先来了解下URL的结构
比如说你在谷歌搜索
https://www.google.com/search?q=好滋味杂货铺好用吗日志只能获取域名部分,也就是 www.google.com 至于 / 后面的参数是看不到的
参数里面会携带很多敏感信息,谷歌搜索为例就可以看出搜索的关键字,这部分属于隐私信息是看不到的
这是因为 HTTPS 设计之初就是为了保护隐私这也是它的工作原理,域名这部分也被称为 Hostname
Hostname 是明文传输的DNS解析时候会用到,但是后面的目录部分都是被 HTTPS 加密的,任何第三方都是看不到的
也就是说不管你的服务提供商是谁都只能看到域名部分,连域名后面的路径都看不到,更别谈实际传输的内容了
最多就是通过域名分析看下大致用途,比如经常访问包含 porn 的域名说明经常看小电影嘛,Hostname 这部分都是公开不加密的,整个互联网都是这样,所以这个并不是漏洞
至于原因也很简单,对于代理程序来讲,如果看不到域名都不知道目标是谁,如何转发流量呢
域名后面的路径被加密了只有网站提供方的服务器和访问网站的用户的浏览器知道,中间经过的路由器运营商包括代理提供商,都只是流量管道而已,他们只需要知道这个消息是发给谁的,知道往哪发就可以了
就像我们提供的很多优化功能,比如谷歌搜索谷歌学术的无人机验证优化就需要对谷歌的流量调度到IP干净的服务器上才能实现没有人机验证,如果程序不知道你访问的域名怎么处理转发呢,虽然对流量进行调度了但是并没有破坏加密机制,传输的内容依然是安全的
再比如使用宽带访问国内网站,运营商也是可以看到域名的,比如你访问 baidu.com 虽然不知道你看了什么内容,但运营商知道你在访问百度的网站,就像二个人聊天,运营商不知道你和百度聊了啥,但它知道你和百度聊天了,大概就是这个意思
但要注意 HTTPS 安全是有前提的
1、设备不要安装第三方根证书
2、尽量不要使用定制客户端
HTTPS 安全是依赖证书以及一整套信任链条关系,这是一整套方案,如果设备是出厂自带合规的根证书那是没问题
但如果你手动安装第三方根证书则意味着整套安全链条被打破,通俗来讲就是加密失效,所有的内容都会被解密等于裸奔
比如某提供商的P站会员解锁就是通过劫持流量并在设备上安装根证书实现的,当然不是强制的
如果你安装了第三方的根证书,这会存在极大的风险,供应商只要想分析的话,你的所有内容都是透明的
包括但不限于登陆不同网站时输入的账号密码,搜索的内容查看的图片啥的全部都可以看到
所以遇到这种情况真的要好好考虑下自己的隐私,为了免费的会员解锁这种东西是否值的,另外只是让用户安装根证书却不明示其中的风险,老伙计觉得并不适合
一个鲜明的例子就是前几天一位客户求助
这位客户有个 INS 的标签找不到了想问问我们能不能查到,但是很可惜除非在他手机上安装我们的根证书不然不可能获取详细的访问数据,我们只能获取到域名部分,所以这个确实没办法,帮不了他
要是有个网站网址突然忘记了想不起来也找不到,我们倒是可以帮忙查下,因为只要访问过的域名后台都是有记录的,但是注意要在一个月以内,因为我们只保留30天的数据,超过30天记录就自动删除了
第二个为啥尽量不要使用定制客户端
像 Clash 这种属于开源软件,源代码都是公开的,但是定制的客户端很可能会有内置根证书
比如早些年老伙计装过一个国外的VPN软件,保护隐私的那种,就在系统安装了根证书
macOS 系统可以在钥匙串访问里面看到系统的根证书,Windows系统也可以看到
如果没有安装系统根证书就没问题,切记安装根证书意味着你完全信任这个证书的发布者
题外话 :审计规则 & 屏蔽规则
这二个是一个东西,只是叫法不一样,意思很简单,很多代理服务提供商会主动屏蔽一些特殊网站
这个和隐私没啥关系,只是对这些网站不转发请求而已,代理的本质就是转发,不转发自然就收不到消息
被屏蔽的内容一般有极端政治网站,大流量BT下载,原因嘛很简单,自我保护而已也是保护其他用户
大部分的科学上网提供商都只是商业服务,只是生意赚点钱而已,并没有政治倾向
但少部分提供商会有明显的政治倾向,这个自己要看好服务协议和规则
对于我们来说,我们是面向办公商务用途的加速器,致力于提供优质服务帮助客户提升效率
所以我们就是纯粹的商业服务,没有任何政治倾向,自然也不欢迎有强烈政治倾向的用户
更不允许使用我们的服务参与政治活动或其他任何违法用途,我们有权终止服务和追责
总结
好了,本文篇幅稍长,如果有认真看完说明你的求知欲很强
总体而言,互联网的各种协议安全措施在设计之初就考虑的很全面了
作为普通用户只要不要在设备上乱装软件和安装根证书那么信息安全肯定是有保障的
另外本文也分享了一些行业内部技术细节,不管是哪家提供商,只要不安装根证书那么能获取的信息是很有限的
不用过于担心隐私问题,那么唯一需要担心的就是提供商的人品问题,毕竟技术原理都是一样的但有的人会恶意利用
早些年没有 HTTPS 时候三大运营商还劫持 DNS 往用户访问的网页上插广告呢,所以呢 HTTPS 是非常好的技术
另外提下 HTTP 协议比加密的少一个S目前互联网上绝大多数网站都支持 HTTPS 协议而且很多都是强制 HTTPS 加密
目前不加密的网站已经很少了,使用 HTTPS 不仅是对用户安全的保证,也是一个基本的服务门槛
比如前二天我们曝光了有个VPN提供商冒充我们的名字来蹭流量,其登陆注册页面就是没加密的 HTTP 协议
所以这里就可以看出这是有多么懒惰多么不负责任,不加密用户输入的账号密码谁都可以看到,包括运营商
具体可以点这里查看冒充我们的商家