这论坛活跃度不高,讨论迷雾通有毒的帖子却很多,我想讨论一下翻墙软件的特征,顺便为迷雾通正名
从常识的角度来判断---爱国两个字都贴你脸上了,你还敢用
1.青天白日满地红
迷雾通的付费节点堂堂正正用中华民国国旗,钓鱼翻墙绝对不敢犯忌讳
2.我爱国无罪
有些翻墙机场会把“有家才有国”写到用户协议里
3.真善忍
首先声明我可不是魔怔法轮信徒,钓鱼翻墙软件通常都上不去法轮功网站
从利益的角度来判断---考虑“翻墙”这一行为是如何维持下去的
1.皆为利来
你给了翻墙软件一笔钱,翻墙软件才能给你梯子,开发者在经济和时间上的支出意味着免费翻墙可能不靠谱
2.众志成城
I2P每个人都是节点,大家一起匿名
3.慷慨解囊
Tor项目靠赞助者维持下去,赞助的都是境外势力
4.你死我活
共党和法轮功是老仇家了,你用法轮系的翻墙还是不用害怕信息被卖给我党,不过说实话我对法轮系有些害怕,通常把他们锁到虚拟机里用
再谈谈迷雾通报毒,大哥我求求你了,把系统里的360腾讯金山毒霸卸载了吧,这才是最大的病毒,事实上,连卸载都不够,你应该对硬盘进行格式化后重装系统,因为这些软件很有可能对你的计算机做了手脚。
唉,论坛这么冷清,发帖子也没成就感,如果这个帖子收到10个赞,或者有25个回复,我就再发个帖子从技术方面谈谈迷雾通为什么靠谱。
剧透一下:不是无聊的复读内容,绝对是权威认证哈
12 个赞
貌似报毒的没几条吧。
时间就是金钱,咋活跃?更有胜者,自己发帖说软件不正常,描述又不能完整,问Ta 情况都懒得回你,根本就不知道配合一词,自说自话还信口雌黄。。。
迷雾通不一定有毒, 但还是相比Tor不安全, 但仍然比自由门, 无界浏览, nthlink, lantern等安全, 起码是开源的.
首先迷雾通只有一个人在维护, 从维护力量上来说就不如Tor安全, 更容易出Bug漏洞.
免费也要注册账户, 摆明了要追踪用户, 尽管有盲签名. 对我这种菜鸟来说也无法验证那段盲签名代码是否能有效保护用户, 我甚至看不出来那段代码有没有被实际调用过.
迷雾通经过的考验比Tor少(似乎没有第三方审计?), 历史比Tor短, 因此信誉比Tor少, 同样开源的情况下也要选择信誉更高的提供商, 因为开源软件也是有可能被植入后门的, 比如著名的XZ后门.
品葱和2047这两个网站尬吹迷雾通, 我怀疑迷雾通流量已经成为中国大陆地区的敏感网站(品葱和2047)用户的分类特征, 中国大陆地区发现迷雾通流量基本就能确定是这两个网站的用户, 迷雾通本身安全性也不如Tor, 造成了政治敏感性上比Tor还危险, 技术安全性却不如Tor的尴尬.
迷雾通其实找第三方做过一次安全审计,大约在2023年下半年做过一次。
但是现在我没法证明,因为当时审计报告的下载链接只在迷雾通公告栏里放了一份,论坛里没有。
那么早的公告现在也查不到了。我手头也没有了。审计机构名字我也忘了。
当时我看了一下审计报告,感觉就是想吐槽人家对于“高风险”和“中风险”的定义标准。
当时说没有发现“高风险”问题。“中风险”问题在报告公开时,最新版本迷雾通里也解决了。
然而按照人家的标准,得是能直接搞瘫整个迷雾通服务,或者直接盗取大多数账户密码的,才算是中高风险。
而像“充值链接直接在浏览器历史记录里包含明文用户密码”这种问题只能算“低风险”。
就是你当时点充值,打开默认浏览器(假设是火狐浏览器)。此时打开1个页面会生成2个历史记录条目,其中一个带有明文用户名密码。
而且审计报告里还没提到这一点。因为似乎只审计了免费版没审计付费版,也就没审计付费流程中的问题。
人家倒是指出了一条类似的。你用“Process Explorer”查看正在运行的迷雾通进程,能看到导致进程运行的指令。而那指令里,包含明文用户名和密码。
也就是说,迷雾通正在运行的时候,有管理员权限的程序理论上可以查看迷雾通账号密码。当然了, 这种问题归为“低风险”问题。
我就觉得吧,当初QQ扫描火狐浏览器历史记录被抓到过一次。这难道不能批量盗取迷雾通账号密码么?
当时与人在V2EX曝光了这件事,说他的主动防御软件检测到QQ扫描火狐浏览器历史记录。QQ还发了个声明说是软件BUG,说白了就是真做了这件事。
虽然不会直接抓你,但是万一QQ盗了你的迷雾通付费账号,悄悄分配给五毛和你同时使用,你不觉得亏么?
迷雾通对多重登录只有软性限制,如果仅有另“一个人”蹭你的付费账号你是不会知道的。可能得有十几个人同时蹭才可能触发红线,导致你自己登不了,导致你知道账号被别人用了。)
不放心的话只能注册个新账号。因为没法修改已存在账号的密码。
此时“盲签”的硬伤就暴露出来了。盲签的缺点正是“不能改密码”!想换密码只能开个新号,那旧账号上已经购买的时长咋办?
至于报毒问题……我这边自由门永远报毒,偶尔能连。
赛风有时能连,大概率不报毒。但赛风连接的网址有个别的会被报毒,导致赛风连不上个别它自己想连的网址,但是似乎不影响使用。
蓝灯则是有一次直接诱骗我装证书。(简单来说,就是要直接监视我上网的“具体内容”。否则作为翻墙软件也只能知道我通过代理访问了哪些网站,每个网站产生多少“加密的”上传和下载流量,不知道上传下载的具体内容。这是HTTPS加密的基本原理。)
当时我没装,但是之后看到刚好有人因为翻墙被抓,公安局公告里还直接写明此人用的是蓝灯。
瞎猜一下,我都怀疑是不是跟中共内部窝里斗有关系,翻墙软件的生意还要互相抢?因为蓝灯主要是“中国数字时代”网站在推,而这个网站其实是江派的。当初给习近平画成“通商宽衣”夜店霓虹灯标牌的就是他们。当初郭文贵爆料时他们还特意搞了个“众人推”板块来推广他。不过当初我也看到文昭在一起节目里说“蓝灯”还算靠谱,但文昭绝对不是江派的啊。所以也说不准。
为什么我这么猜测呢?因为或许就像国内本来支付宝不要手续费,手机银行要手续费,后来又改成支付宝要手续费,手机银行不要手续费。或许只是支付宝和银行背后的两个势力争斗的表现,并不是直接针对支付宝用户?当然这都是个人猜测啊。
澄清一下时间先后顺序:文昭推荐蓝灯——蓝灯诱骗装证书——有人用蓝灯被抓。
还有蓝灯不务正业搞什么“隐币”。那期间用蓝灯的应该都知道。
无界和nthlink则是直接永远连不上,也就不在乎是否报毒了。
迷雾通几乎没报过毒,只是有时候杀毒软件声称软件太新,建议我等几个小时,他们详细检测之后再用。然后一般我就等几个小时再用。
我用的是下载安装更新都需要翻墙的杀毒软件。
QQ、微信、钉钉应该全部放入虚拟机内运行,当然最好是不用,这些国产软件在个人看来全部都是间谍软件
迷雾通的密码不可修改是无法克服的,隐私和便利总会产生冲突
1.“我这边自由门永远报毒”,如果说翻墙软件经常被国产杀毒拉黑,那么法轮功的软件就是黑名单中的黑名单,我建议你使用VirusTotal网站,综合评判上面所有扫描结果,注意忽略列表中的国产杀软扫描结果,比如腾讯、百度,VirusTotal属于Google公司
2.蓝灯在很久以前就在多个论坛有过关于其安全问题的讨论,以下摘自编程随想博客原文:
前几年,有热心读者爆料说 Lantern 使用了“阿里云”。考虑到阿里巴巴是【国内】公司,而且口碑也不行。Lantern 使用阿里巴巴的云计算平台,未免让人生疑。
说实话,你这种对比有些不公平,Tor从技术、团队、社区、历史、知名度、捐赠额来说,全部都是遥遥领先
匿名1147
10
感觉只是作者没实现改密码功能而已, 我不是专家, 但根据维基百科上的介绍盲签名应该不会妨碍改密码.
这没什么不公平的, 不如Tor安全是事实, 而且Geph(迷雾通)虽然注重隐私但设计目标也不是像Tor那样追求匿名, Geph(迷雾通)追求匿名的实力也较弱, 说出这个事实让用户自行按照需求判断有什么不公平的?
另外我故意这么对比并不是说Geph就危险不能拿来翻墙, 只是反驳一下有些人提到翻墙就是迷雾通安全首选, Tor很危险千万别拿来翻墙被终点关注会被抓 , 难道迷雾通就不是被重点关注? 凭什么用Tor翻墙就被抓, 迷雾通翻墙就不会被抓?
另外点赞已经超过10, 有时间发表一下, 我还是有些期待的.
君不见活跃的谁谁已7个月杳无音讯:
