点击“马上购买!”按钮是否存在暴露账号密码的隐患?

我刚刚安装了4.1.2版,在“概览”页面中,账户已经登录,但没有连接Geph,点击“马上购买!”,弹出的是“https://geph.io/billing/login?next=%2Fbilling%2Fdashboard&uname=<your_username>&pwd=<your_passwd>”这样一个账号密码为明文的链接,此时,如果并没有连接Geph或者其它vpn的话,这样是否会将自己的Geph账号密码直接暴露给cmcc/cu/ct甚至gfw?

1 Like

你给出的链接以https(而非http)开头。这种连接与服务器之间的通讯是加密的。你的电脑应该会先查询geph.io的IP地址,然后再向服务器加密传输剩下的内容。
运营商应该知道你这时候连了一下geph.io。不知道你具体想访问什么,也不知道你的完整网址。

倒是你的上网历史记录里,会留下这个网址。如果有其他软件会读取上网历史记录的话(比如近期曝出的QQ读取历史记录),会导致帐号密码暴露。应该之后把相关的几条记录删掉。
如果你用的浏览器会上报历史记录,自然也会暴露。

2 Likes

這也算是bug嗎 :rofl: :rofl: :rofl:
其實一切隱藏都沒有意義,只要有本機的控制權就能知道密碼是多少。

1 Like

其实明文密码在我看来是个优点,因为只要删掉对应的历史记录条目,就把缓存的密码删掉了,如果是用Cookie等方式,就稍微复杂一些。

如果这个功能要改进的话,有两个建议:

1.迷雾通应该调用“隐身浏览窗口”来打开这个链接,而非“普通浏览窗口”。这样缓存的密码之后会自动被清除,不需要用户手动清除。(这个改进应该立刻就做!)

2.迷雾通点击“管理”时,不要直接用用户的“主密码”来登陆管理,而是生成一个有效期5分钟的“临时密码”,这样就算密码泄露,也影响不大。
临时密码应该类似于Google账户的“应用密码”,可以随时生成,随时撤销。
(不过不知道迷雾通的盲签机制能否兼容这个功能。)

先說結論,你提的建議作用不大,最多能騙一下小白。。

好像沒有這個API。。。話說,別人都能看你的瀏覽器了,為什麼不直接去gephgui看密碼呢?

那還不如購買時不要pwd,只要uname。

你想說OTP嗎?

Geph uses a safe method (TLS) to transfer a password to the server. Therefore, neither GFW nor ISP can know your username and password.

其實gephgui只是一個工具調用geph4-client,而geph4-client一日要明文密碼登入,(在有你機器的控制權的前提下)就有千千萬萬種方法去得到明文密碼。就算geph4-client支援了所謂的一次性密碼登入或者證書登入再或者密碼的hash值登入,那不是把生成一次性密碼的東西或者證書再或者密碼的hash值都複製一份就可以了嗎?做任何C/S開發,風險模型第一條應該就是C端完全不可信吧。最可靠的方法應該是每一次連迷霧通都要手寫一次密碼,但這不是大多數用戶想要的答案吧?

而且,就算知道別人了你的帳號和密碼,別人也最多用你的帳號上網,也做不到知道你看過什麼,或者有什麼ip用了這個帳號登入等,因為盲簽名。

最後,明文密碼可以幫助一些忘了密碼的人知道自己的密碼。。。

不過我反而想問開發者一個問題,為什麼原始碼中會一個有Plus的
帳號78ae2ad2663596032bb199c1b3303638(被md5了)還有
密碼66b5740b355551ab5e8c728209da95f9(被md5了)呢???

1 Like

似乎确实是这样。直接去迷雾通数据文件夹里提取保存的账户密码就行了(不过我一眼没看出到底是哪个文件),根本不需要从历史记录里提取。
我对盗号的担忧不在于用户,而在于迷雾通这一边。迷雾通没限制多地同时登陆一个帐号。被盗号的人应该毫无察觉,但是自己的帐号可能同时也被五毛水军们利用了。
肯定有些人,虽然用了迷雾通,却还在Windows上用QQ等软件,这些人就可能静悄悄被盗号。长此以往,岂不是有相当一部分迷雾通帐号都可以被水军临时借用。用户出的钱有一定比例,实际上是用来赞助水军了?

顺便纠正下你回应中几个小错误:
1.是可以调用隐身浏览窗口的。Freenet这个软件每次打开时就会调用Chorme浏览器的隐身窗口(不过我没把Chrome设为默认浏览器,也会调用Chrome的隐身窗口。或许不能调用“默认浏览器”的隐身窗口?)。
2.临时密码不是OTP,恰恰相反,是给不支持OTP的应用使用的。像是K9-Mail这样不支持OTP的邮件客户端,只能填帐号密码,如果直接把帐号主密码存进去,不够安全,因此可以生成一个应用密码,其实就是一个随机生成的密码,然后这个密码填到那个客户端里面。可以理解为是跳过了OTP认证这一步,直接手动生成一个token存到邮件客户端里了吧。

说这一大堆都没任何意义,因为迷雾通网站在跳转时使用 window.location.replace并不会在历史记录里保存URL。你可以试试。

2 Likes

我看到了URL在页面加载过程中的改变,可我的火狐浏览器也保存了改变前的URL。
就是等到1个管理页面加载完成之后,查看历史记录,会看到多了2个历史记录条目,一个是带明文密码的初始URL,另一个是加载完成之后的URL。(不过Chrome我没试。)

(编辑:迷雾通论坛也有类似的毛病。浏览一个帖子的时候,网页URL随着浏览到的回帖而即时改变。导致我浏览一个有10个回帖的帖子,这一个页面就会造出10条历史记录来。似乎即使在同一个页面上,只要改变URL,就会产生一条新的历史记录。不是以页面为单位记历史记录,而是以URL。)

这个不是md5吧 如果是的话可能有被逆向hash的风险

彩虹表嗎?不怕呀。還原之後不一定是原本的那個,也登入不了。加上這個在代碼中公開了,我也不知道 @nullchinchilla 為什麼這樣做 :rofl: :rofl: :rofl:

發明文吧,我不太明白這個指什麼?

我穷举了原始码中所有长度<=128字节的字节串,没有匹配的,cmd5.com里也没有。

盗号意义不大 不像sns里面没有隐私

1 Like