V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zealot0630
V2EX  ›  程序员

Don't be evil. 技术可以造福人类, 技术也可以造核弹

  •  
  •   zealot0630 · 2019-04-23 16:14:17 +08:00 · 1727 次点击
    这是一个创建于 2047 天前的主题,其中的信息可能已经有所发展或是发生改变。

    本文讨论 ServiceWorker 模式代理的可行性: https://www.v2ex.com/t/557870

    对于代理服务器, 首先关注下面几个问题:

    1. 代理是否有能力向目标页面注入 JS 代码?
    2. 代理能否获取目标页面的 Cookie?
    3. 代理能否获取目标页面内密码框的内容?

    对于 ServiceWorker 模式的代理:

    1. 可以
    2. 可以
    3. 可以

    作为一个技术人员, 在尝试新技术时候, 不仅要考虑新技术带来的便利, 更重要是需要考虑新技术可能带来的问题.

    想象一下, 一旦 SW 代理变成用户主流的代理模式, 大家大量架设这种模式的代理, 其中肯定不乏各种心怀不轨的人, 故意在代理中植入各种盗取用户信息的脚本. 这种情况下普通用户有能力分辨哪些代理是干净的, 哪些是盗号的么? 一旦大众习惯这种模式代理, 大量普通用户网上搜寻各种此类代理, 各种盗取用户信息的代理就会油然而生, 国内互联网环境只会更差.

    开发制作 GFW 的人员, 可能仅仅是研究开发技术, 但是出来却必须面对万人唾骂, 原因就是他们在一个错误的道路上越走越远.

    @mytry 你需要仔细考虑一下, 是否把这个项目继续下去, 然后变成黑产的核心工具?

    17 条回复    2019-04-24 12:46:36 +08:00
    mytry
        1
    mytry  
       2019-04-23 16:20:14 +08:00
    不用 ServiceWorker 同样能实现类似的效果,只是让服务器做这些操作而已。记得之前有个叫 zmirror 的代理,没用 ServiceWorker 但也能实现类似的效果,也能获取 Cookie,插入 JS。

    用 ServiceWorker 不过是为了节省服务器的 CPU 资源而已,利用客户端剩余的计算力。此外没什么特殊的区别。
    66beta
        2
    66beta  
       2019-04-23 16:27:48 +08:00 via Android
    核弹避免了好几回第三次世界大战

    邪恶的一直都是人类
    zealot0630
        3
    zealot0630  
    OP
       2019-04-23 16:28:01 +08:00
    @mytry 你有什么办法防止别人的 fork 不会从页面上获取用户的敏感信息么?
    leavic
        4
    leavic  
       2019-04-23 16:29:23 +08:00
    这些问题,似乎在任何一个代理的服务器端都可以实现,甚至路由器上都可以实现。
    zealot0630
        5
    zealot0630  
    OP
       2019-04-23 16:30:41 +08:00
    @leavic https 能免疫中间人代理攻击
    leavic
        6
    leavic  
       2019-04-23 16:31:21 +08:00   ❤️ 3
    @zealot0630 你这个要求真奇怪,就好像要求钢铁厂商保证他的客户不用他家的钢铁来造武器一样。
    leavic
        7
    leavic  
       2019-04-23 16:32:11 +08:00
    @zealot0630 所以 ServiceWorker 模式的代理,是可以绕过服务器的证书验证而使用任意证书吗?那确实有很大风险。
    zealot0630
        8
    zealot0630  
    OP
       2019-04-23 16:32:45 +08:00
    @mytry 有没有想过一种更差的场景,这个代理变成了某个特定网站(比如某些银行网站)的欺诈站点,打开就完全克隆那个银行网站。
    zealot0630
        9
    zealot0630  
    OP
       2019-04-23 16:36:20 +08:00
    我先去给 chromium 那边 file 一个 security bug, 看看能否改进 sw 的安全性
    leavic
        10
    leavic  
       2019-04-23 16:37:02 +08:00
    试了一下,证书确实不是来自网站源端而是代理本身,这种东西,自己用用可。
    但至于被黑产利用,我觉得这个最多是节约了黑产克隆网站的时间而已,这种代理一旦应用的多了,可能会直接被浏览器当成钓鱼网站封杀。
    hornets
        11
    hornets  
       2019-04-23 16:53:40 +08:00
    @某个 GWF 开发,阶级公敌,看到在群里艾特我一下,让我知道我在这里 diss 你了被你看到了
    EPr2hh6LADQWqRVH
        12
    EPr2hh6LADQWqRVH  
       2019-04-23 17:05:54 +08:00   ❤️ 1
    其实同理当年的 goagent,为了方便用户提供的默认根证书,同时也造成了巨大的安全问题。

    有人提供这样的工具,具有这样的安全问题,并没什么好大惊小怪的,想办法控制住就可以了。

    随你做点什么,除了初心以外,必定有其副作用,更有被滥用的可能,现实世界本来如此。
    畏首畏尾因噎废食,那最后只能啥都不做,憋气等死。
    passerbytiny
        13
    passerbytiny  
       2019-04-23 17:18:52 +08:00
    你的担心是多余的,它这个是应用层的代理,根本就不可能成为主流。
    lslqtz
        14
    lslqtz  
       2019-04-23 21:39:22 +08:00 via iPhone
    不能因为说一个技术可能被滥用就不去发展这个技术…
    就如 HTTPS 一样,对于某些人来说能提高安全性,对于另一部分人来说则只是方便了逃脱监管。
    Stain5
        15
    Stain5  
       2019-04-23 21:51:29 +08:00
    给非核心用户用的东西而已
    数据有价值的人 不会用这种东西的
    crazzy
        16
    crazzy  
       2019-04-24 09:57:34 +08:00
    技术无罪
    HangoX
        17
    HangoX  
       2019-04-24 12:46:36 +08:00
    其实很简单吧,不开源就好了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2869 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 06:31 · PVG 14:31 · LAX 22:31 · JFK 01:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.