Re: [閒聊]這是哪位可憐鄉民??

看板KanColle作者 (Akaz)時間9年前 (2015/06/08 15:25), 9年前編輯推噓25(25026)
留言51則, 19人參與, 最新討論串4/8 (看更多)
為免部分板友因這次事件對KCV/航海日誌等的proxy產生恐慌 小弟決定發文略微解釋一下這些proxy的原理 如有錯誤還請斧正 hinet的proxy, 或者說transparent proxy (透明proxy), 大概是這樣的: (因為有混淆, 所以把VPN拿掉了) ╭─╮ ╭─╮ ╭─╮ │本├──┤P├───────┤遠│ │ │ │R│ →要資料 │ │ │機│ │O│ │ │ │ │ │X│ 給資料← │ │ │端│ │Y├───────┤端│ ╰┬╯ ╰┬╯ ╰─╯ │ │ ↓存進快取 │ ╭──┴──╮ ╰─┤CACHE│ ╰─────╯ ↑從快取給資料 掛proxy的時候本機端會透過proxy去要資料, 而proxy就把這些資料先存進快取裡面, 每當有使用同一個proxy的使用者要求某頁面的時候, 如果快取裡面已經有一樣的頁面就從快取裡面拿, 所以讀取頁面的速度會提升; 但是proxy這邊並不知道它所經手的資訊是不是隱私資訊, 所以全部的東西都會被存進cache, 造成登到他人帳號的問題. 即使先登入遊戲再開proxy, 只要有F5一樣有可能被cache, 因此這樣的方法並不安全. 另一方面, KCV/航海日誌等則是這樣: ╭───────────╮ │╭─╮ ╭─╮ ╭─╮│ ╭─╮ ││本├─┤P├─┤V├┼──────┤遠│ ││ │ │R│ │ ││ →要資料 │ │ ││機│ │O│ │P││ │ │ ││ │ │X│ │ ││ 給資料← │ │ ││端├─┤Y├─┤N├┼──────┤端│ │╰─╯ ╰─╯ ╰─╯│ ╰─╯ ╰───────────╯ 資料的傳輸是先經過本機(localhost)上的proxy解完封包之後, 移除掉轉發的封包header之後送出去, 封包的樣子和沒有這層proxy完全相同, 也不會有被cache暫存的問題, 其實就和一般情況下的網路瀏覽一樣. 只要確保proxy只對本機開放(參照近期的KCV修正)就不會有任何安全性疑慮. 希望對大家有幫助 (′‧ω‧‵) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.112.16.174 ※ 文章網址: https://www.ptt.cc/bbs/KanColle/M.1433748341.A.7A4.html
06/08 15:26, , 1F
你第一個圖應該是錯的 那樣應該會被DMM擋掉
06/08 15:26, 1F
06/08 15:27, , 2F
Client - Proxy - VPN - DMM應該才是連的上的情況
06/08 15:27, 2F
事主說他有改cookie 如果proxy在vpn前的話會有嚴重的隱私問題 另外我也不知道這樣forward的形式能不能瀏覽, 我猜是不行 如果一定要proxy在vpn前的話必須要在連上vpn的時候指定 我猜測事主不是這樣做的
06/08 15:33, , 3F
改Cookie的路徑應該會是 Client - Proxy - DMM?
06/08 15:33, 3F
其實可以忽略掉那個VPN啦 就像我文中所寫的當成一個整體就好
06/08 15:34, , 4F
確定KCV沒事我總算能放心玩了~
06/08 15:34, 4F
06/08 15:36, , 5F
改餅乾的話不用VPN就能連到DMM
06/08 15:36, 5F
我只是把可能的情況先畫上去而已 已在文中加註
06/08 15:43, , 6F
第一張應該是本機->VPN加密->proxy->VPN主機解密->DMM
06/08 15:43, 6F
06/08 15:44, , 7F
VPN有問題會是在VPN server那頭
06/08 15:44, 7F
如果用系統proxy的話一定會在vpn後面 client - vpn client - vpn server - proxy - dmm 這樣 vpn會直接改寫掉default gateway 所以client - proxy 必須經過vpn 如果用vpn提供的proxy功能則會反過來
06/08 15:54, , 8F
用softEther 的VPN連然後用原始碼那個短時間網址OK嗎?
06/08 15:54, 8F
基本上沒問題
06/08 16:04, , 9F
那樣看架VPN的人有沒有惡意了 不過基本上盜艦娘沒意義
06/08 16:04, 9F
06/08 16:05, , 10F
第一張圖沒甚麼錯吧(? 至於KCV的狀況也跟第一張一樣
06/08 16:05, 10F
KCV如果額外掛proxy的話應該是1+2喔 沒有的話是2 fiddler是在client和foreign之間弄一個像是sniffer的proxy 但vpn強制轉送傳輸(非單純區網)的情況下在這個case裡面是foreign
06/08 16:10, , 11F
恩,我有看到先登入DMM再連VPN感覺是比較安全?
06/08 16:10, 11F
06/08 16:11, , 12F
KCV轉掉proxy應該是fiddler那層 最後走IE還是有proxy
06/08 16:11, 12F
06/08 16:12, , 13F
基本上輸入帳密的頁面是走https 所以那頁用VPN沒問題
06/08 16:12, 13F
06/08 16:12, , 14F
不過都已經烤餅乾 應該就不用在那邊考慮VPN的使用了?
06/08 16:12, 14F
06/08 16:13, , 15F
在取得艦娘的token那邊 不要假手他人是最好的
06/08 16:13, 15F
06/08 16:15, , 16F
了解,因為是電腦白痴不懂XD 感謝
06/08 16:15, 16F
06/08 16:19, , 17F
最佳做法還是烤Cookie 直連進艦娘遊戲的頁面最安全
06/08 16:19, 17F
可是改cookie這個方法理論上官方如果真要抓可行性頗高 (很容易查) 所以個人是自己租一個VPS來開VPN ※ 編輯: Akaz (140.112.16.174), 06/08/2015 16:21:07
06/08 16:19, , 18F
取得直連連結後再掛Proxy來加速
06/08 16:19, 18F
06/08 16:22, , 19F
自己租那已經是付費階段的安全作法
06/08 16:22, 19F
06/08 16:23, , 20F
雖說租一台日本IP的VPS只要一個月10鎂
06/08 16:23, 20F
06/08 16:24, , 21F
我意思是VPN提供的沒錯XD,不過走VPN其實也沒辦法再掛
06/08 16:24, 21F
06/08 16:24, , 22F
Hinet的PROXY
06/08 16:24, 22F
06/08 16:24, , 23F
其實可以掛 Windows我是不知道 OSX我剛才有實驗過
06/08 16:24, 23F
06/08 16:29, , 24F
這樣不會被Hinet判定說你不是中華電信用戶不給你用嗎
06/08 16:29, 24F
我把第一部分的VPN拿掉了 發文時沒有想到這樣會掛不了hinet proxy的問題 Orz ※ 編輯: Akaz (140.112.16.174), 06/08/2015 16:38:51
06/08 16:49, , 25F
hinet proxy有驗證你是否為中華IP的部份嗎(?
06/08 16:49, 25F
06/08 16:50, , 26F
至於第二張圖我自己後面有推 跟你描述的差不多
06/08 16:50, 26F
06/08 16:51, , 27F
只是一般人改proxy也不是改fiddler的proxy
06/08 16:51, 27F
06/08 16:51, , 28F
為了簡化模型你可以考慮不提到他(X
06/08 16:51, 28F
06/08 16:55, , 29F
這事件還真的上新聞了 蘋果好會抄...
06/08 16:55, 29F
06/08 16:56, , 30F
竟然上新聞了...
06/08 16:56, 30F
06/08 16:57, , 31F
哪篇壓?
06/08 16:57, 31F
06/08 16:58, , 32F
C洽剛轉貼
06/08 16:58, 32F
06/08 17:01, , 33F
有新聞連結嗎?
06/08 17:01, 33F
06/08 17:01, , 34F
下面剛轉貼(′・ω・‵)
06/08 17:01, 34F
06/08 17:50, , 35F
hinet proxy應該沒有驗 因為以前還用撥接的時代就可以換
06/08 17:50, 35F
06/08 18:06, , 36F
大推!!! 可是我還是看不懂XD
06/08 18:06, 36F
06/08 18:12, , 37F
那vpn的原理呢 大大可以講解一下嗎 ><
06/08 18:12, 37F
通常情況下的網際網路大概像是這樣 區網1 區網2 ╭───╮ 這裏會連到更多網路 ╭───╮ │電腦A││電腦D│ │ │ ╭──┴──╮ │ │ │電腦B├──┤ 網際網路 ├──┤電腦E│ │ │ ╰──┬──╯ │ │ │電腦C││電腦F│ ╰───╯ 同上方 ╰───╯ 可以說網際網路就是很多區網互相連接所構成的 VPN, Virtual Private Network, 虛擬私人網路, 則是在不同區域網路的電腦之間開一條「隧道」 讓不同區域網路的電腦可以直接溝通 形同在同一個區域網路底下 區網1 區網2 ╭───╮ ╭───╮ 電腦A┼───────────┼電腦D │ │ ╭──┴──╮ │ │ │電腦B├──┤ 網際網路 ├──┤電腦E│ │ │ ╰──┬──╯ │ │ │電腦C││電腦F│ ╰───╯ ╰───╯ 這樣子電腦A和電腦D就可以直接溝通 (實際上這個東西還是要通過網際網路 不過解釋起來會牽涉到許多專業領域的東西) 把電腦A想成自己 電腦D想成VPN server 其實就是你透過電腦D去瀏覽網路而已 他並不會做什麼 但要注意如果是沒有加密的VPN 他是有辦法把你的隱私資訊截下來的 VPN只是一個概念 開這種隧道的方法有千百種 比較常見的像是PPTP, L2TP, OpenVPN, SSL VPN等 其中PPTP本身並沒有加密 其實就跟資料直接在網路上傳是差不多的(明文) PPTP可以透過MPPE來加密 但vpngate的應該是沒有這麼做 值得一提的是PPTP VPN用來驗證登入資訊的MSCHAPv2已經在2012年確認非常容易破解 (有興趣的話可以看看 https://goo.gl/Bv2fFd) 像vpngate這種登入資訊公開且固定的沒有問題 但私人架設就要好好考慮是否採用 L2TP的話若是L2TP/IPsec則安全 若只有L2TP則是不安全的 OpenVPN則是要看設定檔 可以不加密 vpngate上面提供的OpenVPN則是有用Certificate Authority (CA) + OpenSSL 做加密 所以安全性應是無虞的 SSL VPN就沒什麼問題 安全性是可以信賴的 但用公開在網路上的VPN仍要小心為上.
06/08 18:37, , 38F
VPN講起來很麻煩 簡化就是你連線VPN後 所有通訊傳輸
06/08 18:37, 38F
06/08 18:38, , 39F
都要經過VPN Server 他只幫你抓資料 不會把你的資料變
06/08 18:38, 39F
06/08 18:38, , 40F
成快取 所以不會有第二人拿到同樣資料的疑慮
06/08 18:38, 40F
06/08 18:40, , 41F
再簡單說一點就是 VPN你連線後就是用他的網路環境
06/08 18:40, 41F
06/08 18:43, , 42F
風險前面就提過了 大概就這麼一回事
06/08 18:43, 42F
06/08 19:38, , 43F
感謝解說
06/08 19:38, 43F
※ 編輯: Akaz (140.112.217.55), 06/08/2015 20:24:50
06/08 20:13, , 44F
雖然proxy會抓取存放的資料,沒想到會發生這種問題...
06/08 20:13, 44F
06/08 20:21, , 45F
網頁裡可以設定這個頁面能不能被快取,所以這次的事件
06/08 20:21, 45F
06/08 20:22, , 46F
有可能是DMM方沒做好快取的設定,另一種可能是hinet偷吃步
06/08 20:22, 46F
06/08 20:22, , 47F
硬是要快取。
06/08 20:22, 47F
06/12 15:56, , 48F
Proxy的特性本來就是會紀錄URL,否則就無法達到『快取』
06/12 15:56, 48F
06/12 15:56, , 49F
的效果了,所以很多加密網頁還會特意阻擋Proxy。除非Se
06/12 15:56, 49F
06/12 15:56, , 50F
rver為了預防Replay而再加入其他驗證,例如禁止多重IP連
06/12 15:56, 50F
06/12 15:57, , 51F
線之類的。
06/12 15:57, 51F
更多 Akaz 的文章
文章代碼(AID): #1LTKDrUa (KanColle)
討論串 (同標題文章)
完整討論串 (本文為第 4 之 8 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共8篇)
更多 Akaz 的文章
文章代碼(AID): #1LTKDrUa (KanColle)