这个: (https://github.com/hello-world-1989/cn-news/blob/main/%E6%8E%A8%E7%89%B9/2024/x-Month-2/ay-Day-26/A%E6%9D%8E%E8%80%81%E5%B8%88%E4%B8%8D%E6%98%AF%E4%BD%A0%E8%80%81%E5%B8%88.md)
或者用nitter(时好时坏): https://nitter.esmailelbob.xyz/whyyoutouzhele https://nitter.privacydev.net/whyyoutouzhele
爆操习近平妈
我没关注过他
快了
https://twitter.com/whyyoutouzhele/status/1761709242992427122
紧急通知
目前公安部正在我的160万追随者列表和评论区逐个排查关注我的人,一经确认身份就会通知地方警察打电话叫人喝茶,因此请所有身在国内的朋友阅读下列注意事项
有没有网站专门同步或备份李老师的推文的?以防万一,整个像川普推文备份(https://www.thetrumparchive.com/ )一样就好了。
必支持
快了
大力支持!大评论时代即将来临咧
ddd
爆操习近平妈
混币工具:
tornado 被美帝制裁,创始人被逮捕
https://tornado.ws/
wasabiwallet 比特币隐私钱包
https://wasabiwallet.io/
umbra 以太坊隐私协议
https://app.umbra.cash/
跨链闪兑:
sideshift
https://sideshift.ai/
unstoppableswap - 将BTC转换为XMR
https://unstoppableswap.net/
fixedfloat
https://fixedfloat.com/
swftcoin
https://swap.swftcoin.com/
thorswap
https://app.thorswap.finance/
paraswap
https://app.paraswap.io
simpleswap
https://simpleswap.io/
wizardswap
https://www.wizardswap.io/
pancakeswap
https://pancakeswap.finance/
ChangeNow
https://changenow.io/
志同道合 -> 同志 -> Gay
你的意思是?
十分感謝
如何可在暗網上建立交易網站
Tor翻墙可能从2024年2月27日起失效, 附我目前能想到的应对措施
原因是Fastly不再允许domain fronting, 目前这会影响到除meek-azure(meek-azure本身也活不了多久, 连不上的时候可以尝试但不能指望和依赖它)外的全部内置反审查措施, 包括Snowflake, Conjure, MOAT(内置的网桥获取功能), 细节:https://lists.torproject.org/pipermail/anti-censorship-team/2023-October/000328.html
我目前能想到的应对措施:
1.趁着能连上的时候,获取几个(至少两三个, 越多越好)webtunnel网桥作为备份连接方式https://bridges.torproject.org/bridges/?transport=webtunnel
2.2024年2月27日前密切关注Tor官方更新,包括nightly和alpha
中国不知道,中国外肯定是有的
我是 Dreamer ,这次我要说的是墙内高危人群为什么要使用 Qubes-os 操作系统来保护自己的安全。
在阅读之前,你最好先去我的 github 仓库 https://github.com/Dreamer2048a/pgp-article 获取本文的签名,以验证文章的完整性,确定本文是我写的,从本文开始,所有的文章都会有我的 PGP 密钥签名。
请注意,我的 PGP 密钥是我唯一的身份验证手段,因为 github 并不是一个去中心化的网站,账户所有权有可能被盗。 你可以在这里获取我的公钥 https://raw.githubusercontent.com/Dreamer2048a/pgp-article/main/public_key ,这是我的公钥指纹,导入后请确保指纹一致,以防网站恶意篡改我的指纹,你可以去其他平台 你可以去其他平台,比如品葱,对比我被转载的帖子中的指纹。
公钥指纹:057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64
Qubes os 拥有完善的图形界面,很好理解的操作逻辑,相比其他操作系统,如 Windows、Mac os 等一系列非开源系统,具有无可比拟的安全性,这些系统对于高墙内的高危人群来说是极其危险的,Windows在中国有分公司,苹果在中国已经扎根,大反贼们不要妄想买一部苹果就会降低他们的风险。这些公司都与中国政府关系密切,作为墙内的高危人群,你不怕吗?
在 Linux 发行版中,公认安全性不错的是 Tails、whonix 和 qubes os,后者结合了 whonix 和 tails 的大部分优点。 Qubes os 本质上是创建若干虚拟机来运行单个软件,每个虚拟机都被完全与其他虚拟机隔离。
系统本身内置了许多虚拟机,像专门连接网络的虚拟机,专门运行软件的虚拟机,专门用作连接tor的虚拟机等,这些虚拟机互相隔离,其中一个被攻破了也不用担心其它的虚拟机中的数据受到影响。
你可以自己建立特别的虚拟机,像是专门用来跑 vpn 的虚拟机,其它装着软件的虚拟机如果需要翻墙,直接在管理软件中点几下就会让这个应用软件的虚拟机的网络通过这个 vpn 虚拟机。
这只是粗略的分法。 更多玩法请看此图 https://www.qubes-os.org/attachment/site/qubes-partition-data-flows.jpg
qubes os 上的虚拟机互相连接可以制作很多玩法,你可以把专门做反贼内容,专门登入反贼网站的浏览器,数据存在一个虚拟机中,平日在现实的合法工作的各自数据存在另一个虚拟机中,(访问公司网站,写合法的文章,运行微信,qq等监控性质,风险的软件),点点手指,再把前者的反贼虚拟机连接到 vpn 虚拟机中,让反贼虚拟机的所有网络通过 vpn。
你还能设置 vpn 虚拟机的网络经过 whonix 网关,也就是 tor,这样反贼虚拟机的网络先经过 vpn 翻墙出去,再连接到 Tor 网络中,跳转三个服务器最后到目标网站,而工作的虚拟机没有任何影响,正常直连国内的网络
更多玩法看此文 https://www.qubes-os.org/doc/how-to-organize-your-qubes/
随想君说过一个双重代理的策略,这对于非极客来说很难,可能还会出现误操作,很不友好,而对于 qubes os 却非常简单,只需要动动鼠标
work-qube > sys-vpn2 > sys-whonix > sys-vpn1 > sys-net
这是一个简单的在 qubes os 上的双重代理的策略,work qube 是你的做反贼事情的虚拟机, sys-vpn2 是后置代理, sys-whonix 是 tor ,sys-vpn1 是前置代理, sys-net 是你的wifi等电脑直连的。
反贼虚拟机的网络先经过 sys-net 也就是你的 wifi 到达 sys-vpn1 配置的 VPN 服务,再通过 sys-whonix 配置的 tor ,跳转三个服务器,再经过 sys-vpn2 中配置的 VPN 服务,最后访问到你要访问的网站。
我还没有写好 Qubes os 双重代理的详细教程,理论上讲会建立一个帮助翻墙的 VPN 虚拟机就会编程随想君所谓的双重代理了。
举例我需要安全的访问一个聊天软件,我在这个聊天软件上有三个身份,不能被这个聊天软件的经营者发现我的这三个身份其实是我一个人控制的,像使用同一个 VPN 访问三个聊天软件可能就要被识破。
我可以复制这个聊天软件所安装的虚拟机,复制三个甚至更多,给每个聊天软件的虚拟机设置不同的 vpn 虚拟机,再给其中几个虚拟机设置 tor ,这样聊天软件的所有者就很难知道这几个身份的所有者都是同个人,大大提高安全性。
我在 2047 论坛写过一篇类似的教程,你可以看看
https://web.archive.org/web/20231228153526/https://2047.one/t/21363
whonix-workstation-dvm 这个模板的用处就是像小标题所说,每打开其中的一个 tor 浏览器,它便会自动创建一个全新的一次性虚拟机去打开 tor 浏览器,你可以再点一下,还会生成一个全新的,关掉其中一个虚拟机的 tor 浏览器,对应的一次性虚拟机就会被彻底删除,不留任何痕迹。
这防止的是有网站通过 tor 浏览器的漏洞暗暗塞病毒潜入你的电脑,只要把访问过网站的虚拟机删除就大概率可以避免这个问题了,这样 tor 浏览器的漏洞出现的事故就不会影响到了除此虚拟机外其它的虚拟机中的软件了。
Qubes os 在首次开机设置时会要求你设置一个密码,这个密码是用于解密整个 Qubes os 的数据的,没有这个密码,整个 Qubes os 的数据就是一堆被加密的乱码,降低了电脑被强制打开,或者被破解的可能性。
1 开源,免费,代码完全公开
2 具有可信度,有团队支持(Whonix 项目 qubes 项目)
3 安全性强
4 操作简便,图形化界面多,可变化性多,不复杂
5 文档较为完善
请点击官网,一步一步的根据下载教程安装,如果此文章反响不错我会出相关教程。
比方说如何安装配置场景写作软件,帮助身在高网络审查地区的记者使用 Qubes os 安全上网。
但如果你会去谷歌,去看文档,花些时间,这些其实都不是什么事,也不需要我那如同我那不起眼的级教程了,针对高危人士得这样去下功夫。
这是官网 https://www.qubes-os.org
本文首先发布在 2047.one 网站,遵守 CC BY-NC-SA 4.0 署名-非商业性使用- 4.0
转载时请务必署名 Dreamer 057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64,也可以额外署名我在2047的主页。
我推荐你转载此教程到其它论坛(红迪品葱什么的,都行),但请把我PGP公钥的指纹带上,反响不错我再写几个 qubes os 教程,首发在2047。
你可以通过向 Dreamer2047@protnmail.com 发送电子邮件,和我讨论相关问题,请使用我的公钥加密文本,我不会通过2047等网站的回复功能回答问题,我生活在瑞典附近,在每天的苏黎世时间 下午2:00 我会回复邮件
一个普通人
太少了 很多00年代的图片 音乐 文章 视频 都没了
肯定已经有人这么做了
一个普通人
不全面 很多图片照片 视频 文字 不一定有
webarchive
一个普通人
数据库 离线网页?
一个普通人
大家说如何?v2ex的人这里有没有 应该不难吧 抢救00年代的内容开始吧 发起一个去中心化的松散行动 没有人做太可惜了 这无关政治 许多资料内容已经逐渐消失 好多文章搜字句甚至只有几条结果
流量大就丢包的话,墙内人下不了外国的bt种子,我记得很少有墙国人抱怨下外国种子下不了的
有没有志同道合的人,你懂的
本文主要阐述了如何通过在基于linux服务器上合理设置相关规则,对抗主动探测,降低被墙概率的操作。本文并不采用端口敲门方式来实现这一点,而是通过拒绝和丢弃相关报文的发出和进入,从而达到“装死”的目的。方法也很简单,只需要修改iptables相关配置文件和/etc/sysctl.conf即可。(若需直接采用相应的配置文件,请删除注释)
若使用了本文提供的方案,则可以达成如下目的: 1.对各种探测方式进行的探测均不回应(开放的端口除外,这就是为什么代理服务端软件需要使用防主动探测的方案,例如xray udp或者hysteria2) 2.不回应来自虚假ip地址报文的请求,降低噪音。其他方面的效果同1。
这是iptables的配置文件:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i tailscale0 -j ACCEPT
-A INPUT -i op+ -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --dport 9001 -j ACCEPT # 需要开放的入站tcp端口写在这
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -j DROP
-A INPUT -p udp --sport 53 -j ACCEPT # 为保证DNS解析正常,不要删除这条
-A INPUT -p udp --dport 9001 -j ACCEPT # 需要开放的入站udp端口写在这
-A INPUT -p udp -j DROP
-A INPUT -p icmp --icmp-type 8 -j DROP # 对于会被用于探测服务器是否存活的icmp报文,直接丢弃(相应丢弃的报文类别不影响正常连接网络)
-A INPUT -p icmp --icmp-type 11 -j DROP
-A INPUT -p icmp --icmp-type 13 -j DROP
-A INPUT -p icmp --icmp-type 30 -j DROP
-A INPUT -p icmp --icmp-type 42 -j DROP
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p tcp --tcp-flags ALL RST,ACK -j DROP # 禁止发出 connection refused
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -p icmp --icmp-type 3 -j DROP # 对于会被用于探测服务器是否存活的icmp报文,直接丢弃(相应丢弃的报文类别不影响正常连接网络)
-A OUTPUT -p icmp --icmp-type 3/0 -j DROP
-A OUTPUT -p icmp --icmp-type 3/1 -j DROP
-A OUTPUT -p icmp --icmp-type 3/2 -j DROP
-A OUTPUT -p icmp --icmp-type 3/3 -j DROP
-A OUTPUT -p icmp --icmp-type 3/6 -j DROP
-A OUTPUT -p icmp --icmp-type 3/7 -j DROP
-A OUTPUT -p icmp --icmp-type 3/8 -j DROP
-A OUTPUT -p icmp --icmp-type 3/9 -j DROP
-A OUTPUT -p icmp --icmp-type 3/10 -j DROP
-A OUTPUT -p icmp --icmp-type 3/11 -j DROP
-A OUTPUT -p icmp --icmp-type 3/12 -j DROP
-A OUTPUT -p icmp --icmp-type 3/13 -j DROP
-A OUTPUT -p icmp --icmp-type 3/14 -j DROP
-A OUTPUT -p icmp --icmp-type 3/15 -j DROP
-A OUTPUT -p icmp --icmp-type 11 -j DROP
-A OUTPUT -p icmp --icmp-type 11/0 -j DROP
-A OUTPUT -p icmp --icmp-type 11/1 -j DROP
-A OUTPUT -p icmp --icmp-type 14 -j DROP
COMMIT
这是ip6tables的配置文件:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i tailscale0 -j ACCEPT
-A INPUT -i op+ -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --dport 9001 -j ACCEPT # 需要开放的入站tcp端口写在这
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -j DROP
-A INPUT -p udp --sport 53 -j ACCEPT # 为保证DNS解析正常,不要删除这条
-A INPUT -p udp --dport 9001 -j ACCEPT # 需要开放的入站udp端口写在这
-A INPUT -p udp -j DROP
-A INPUT -p icmpv6 --icmpv6-type 128 -j DROP # 对于会被用于探测服务器是否存活的icmpv6报文,直接丢弃(相应丢弃的报文类别不影响正常连接网络)
-A INPUT -p icmpv6 -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p tcp --tcp-flags ALL RST,ACK -j DROP # 禁止发出 connection refused
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -p icmpv6 --icmpv6-type 1 -j DROP # 对于会被用于探测服务器是否存活的icmpv6报文,直接丢弃(相应丢弃的报文类别不影响正常连接网络)
-A OUTPUT -p icmpv6 --icmpv6-type 1/0 -j DROP
-A OUTPUT -p icmpv6 --icmpv6-type 1/3 -j DROP
-A OUTPUT -p icmpv6 --icmpv6-type 1/4 -j DROP
-A OUTPUT -p icmpv6 --icmpv6-type 3 -j DROP
-A OUTPUT -p icmpv6 --icmpv6-type 3/0 -j DROP
-A OUTPUT -p icmpv6 --icmpv6-type 3/1 -j DROP
-A OUTPUT -p icmpv6 --icmpv6-type 4/1 -j DROP
COMMIT
这是sysctl.conf所需要添加的相应条目:
# 拒绝处理ICMP路由重定向请求的报文
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# 开启反向路由有效性验证,若一个IP来源通过任意反向路径均不可达,则相关报文会被直接丢弃
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 2
# 开启源IP地址有效性验证,无效报文会被直接丢弃
net.ipv4.conf.all.src_valid_mark = 1
net.ipv4.conf.default.src_valid_mark = 1
# 拒绝处理ICMPv6路由重定向请求的报文
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
这篇文章的主要内容是,让你用最短的时间让你在debian系统的服务器上搭建好openconnect vpn server,以供openconnect或者anyconnect客户端连接(黑莓手机、只能登录中国大陆AppleID的账号的IPhone对此是刚需):
具体方法:
第一步:使用apt安装所需的软件包
apt-get install iptables-persistent ocserv
第二步:修改配置文件
首先,需要修改 /etc/sysctl.conf,以用于开启IP转发。(对于VPN服务器而言,这是必要的。确保以下内容存在于文件中,若不存在将以下内容添加到配置文件末尾即可)
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_update_priority = 0
net.ipv4.ip_forward_use_pmtu = 1
net.ipv6.conf.all.forwarding = 1
然后,继续需要修改 /etc/ocserv/ocserv.conf,以用于设置服务器基本配置参数。(这是必要的,以下贴出的配置文件中的信息可以按需修改,再编辑文件之前,建议将原始文件备份,以用作参考)
# openconnect server user
run-as-user = ocserv
run-as-group = ocserv
# require file while server run
socket-file = /run/ocserv-socket
chroot-dir = /var/lib/ocserv
# isolate sub proccess control
isolate-workers = true
# net interface for server
device = op
# mtu size for server
mtu = 1480
# log level
log-level = 1
# auth method
auth = "plain[/etc/ocserv/ocpasswd]"
# maximum users allowed connect
max-clients = 10
# maximum client allowed connect for per user
max-same-clients = 5
# server listen address (default is all)
# listen-host =
# server listen ports (default is 443, but can modified)
tcp-port = 443
udp-port = 443
# mtu auto discovery for per tunnel
try-mtu-discovery = true
# user certificate type
# cert-user-oid = 2.5.4.3
# certificate and private key for server
server-cert = /etc/ocserv/server.pem
server-key = /etc/ocserv/server.key
# dns while clients connected use
dns = 8.8.8.8
dns = 9.9.9.9
tunnel-all-dns = true
# route option (set it to default as a gateway)
#route = 192.168.1.0/255.255.255.0
route = default
# enable cisco anyconnect compatible
cisco-client-compat = true
# keep alive interval
keepalive = 32400
dpd = 60
mobile-dpd = 120
# other option
output-buffer = 0
rate-limit-ms = 0
# access control
restrict-user-to-routes = false
restrict-user-to-ports = ""
# disconnected idle time
# idle-timeout = 1200
# mobile-idle-timeout = 1800
# dtls protocol control
dtls-legacy = true
switch-to-tcp-timeout = 30
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1:-VERS-TLS1.2"
# compression control
compression = true
no-compress-limit = 0
# speed limit by per client
rx-data-per-sec = 0
tx-data-per-sec = 0
# client auth control
auth-timeout = 240
min-reauth-time = 300
max-ban-score = 80
ban-reset-time = 1200
# client status control
cookie-timeout = 600
rekey-time = 172800
deny-roaming = false
use-occtl = true
# internal network settings
ipv4-network = 10.255.255.0/24
ipv6-network = fd09::/80
ipv6-subnet-prefix = 128
client-bypass-protocol = false
predictable-ips = true
ping-leases = true
net-priority = 3
第三步:签发自签名SSL证书、设置相应的iptables转发规则
首先,运行以下命令来签发一个自签名SSL证书。(命令运行后会提示填写相应信息,按照自己的需要按需填写即可,若未修改上述配置文件中的SSL证书私钥保存路径,则应将生成的文件放置在 /etc/ocserv 下)
openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:4096 -keyout server.key -out server.pem
之后,为了确保客户端连接后能正常访问互联网,我们需要设置相应的规则以用作开启NAT转发。
# 这几句话的意思是,允许相应网段的流量经过机器转发,如果不正确配置此规则,则客户端到公网的UDP连接是不通的
iptables -I FORWARD -s 10.255.255.0/24 -j ACCEPT
iptables -I FORWARD -d 10.255.255.0/24 -j ACCEPT
ip6tables -I FORWARD -s fd09::/80 -j ACCEPT
ip6tables -I FORWARD -d fd09::/80 -j ACCEPT
# 这几句话的意思是,对于来源于VPN服务器的网段的流量,NAT之后再到公网
iptables -A POSTROUTING -s 10.255.255.0/24 ! -o op+ -j MASQUERADE
ip6tables -A POSTROUTING -s fd09::/80 ! -o op+ -j MASQUERADE
设置完成规则后,需要将其保存到配置文件中才能永久生效,以下是具体方法(若服务器原本已经存在相应的配置文件,则此类方法可能不适用,请考虑将上述规则转换后直接写入配置文件)
iptables-save >> /etc/iptables/rules.v4
ip6tables-save >> /etc/iptables/rules.v6
第四步:添加用户
如果没有修改配置文件中用户验证的方法的话,默认是需要手动添加用户的,此时就需要添加用户到指定的配置文件中。(格式为 ocpasswd 用户名 -c /etc/ocserv/ocpasswd ,运行命令后会提示给相应的用户设置一个密码,若以后需要删除相应用户的话,直接修改对应的文件,删除相应行即可)
ocpasswd boss -c /etc/ocserv/ocpasswd
第五步:开启相应端口
若服务器本身存在防火墙白名单规则的话,则需要按需开放防火墙端口,以下是对于iptables而言的方法。
iptables -I INPUT -p tcp --dport 端口号 -j ACCEPT
iptables -I INPUT -p udp --dport 端口号 -j ACCEPT
第六步:重启服务器
完成上述步骤后,就可以使用openconnect或者anyconnect客户端测试是否能正常连接了。
可选步骤: 若能将服务器端的ocserv版本升级到1.2.1以上的话,还可以开启入口伪装功能,以让外界更难发现这是一个VPN服务器,若可以确认版本在此之上,只需要向配置文件添加以下内容到末尾,就可以开启伪装功能。(开启此功能后 客户端只能通过 https //SERVER/?secret 的方式连接到服务器)
# camouflage
camouflage = true
camouflage_secret = "dark"
camouflage_realm = "router admin panel"
常见疑问:
1.为什么搭建的服务连接速度特别慢? 这一般是由于客户端到服务器的网络质量不好导致的。若确认不是网络质量导致的问题,则可以通过修改配置文件的方式,将传输压缩功能关闭就可以了。
2.我想要在iphone上连接,但是它登录的是中国大陆的appleid,我应该怎么做? 只需要在大陆区应用商店下载安装cisco anyconnect客户端,然后填写相应信息连接即可。
3.我在河南省,这个方法在我这不可用怎么办? 不要尝试使用域名的方式连接,直接填写服务器IP连接就可以了。(若开启了伪装功能则将URL中的地址替换为服务器本身的IP地址就可以了)
快了
我是 Dreamer ,这次教大家如何利用 Qubes os 这个系统快速安全的建立多个身份,多个虚拟机访问 matrix 进行匿名聊天。
继随想君的 tails os 系列,我更加推荐 Qubes os,善用这个系统,会大大提升你的匿名程度。(大名鼎鼎的斯诺登先生曾经说自己也用 qubes os https://twitter.com/Snowden/status/781493632293605376 )
一些展示,请看此图 https://www.qubes-os.org/attachment/site/qubes-partition-data-flows.jpg qubes os的优势很明显,每个qube(在qubes os中大概是虚拟机的意思,下文都用这个代指) 都是完全隔离的,数据在没经过你的同意下是无法互相传输的。
详细参考 Qubes os 官网介绍 https://www.qubes-os.org/intro/
目前互联网的中文世界中并没有几篇对此系统的详细教学,只有整个系统的粗略介绍,希望你可以多多转载此教程,促进更多有识之士填补这块漏洞,让更多人掌握更强的匿名上网技术。
如果你有什么看法,对这个教程的质疑,请在评论区指出修改。
1 不需要你们所说的通过 tor浏览器访问 element 官网再登陆进行聊天,这过于繁琐,每次切换账号,网页加载就需要花费非常久的时间。
2 安全性更高,每个安装着 element 的 qube (qubes os中对虚拟机的称呼)都会强制其中的所有流量经过 sys-whonix ,也就是经过了tor,而每个 qube 的最终经过Tor显示的ip也会不一样。
3 快捷性,便捷性,秒多开账户,快速备份整个qube以备份整个账户。
4 待补充
1 需安装 Qubes os
2 待补充
你的设备上必须安装着 qubes os 这个系统,这是官网 https://www.qubes-os.org/ 请根据官网上的操作安装这个系统,这个系统能否成功安装主要取决于你的设备是否达到了官方所说的一定的要求,(这个要求在安装时会自动检测是否合格,不合格也不会给你装)。
如果你连一点洋文都看不懂,或者不理解安装一个系统,那么去油管上搜 qube os 这关键词寻找教程,安装教程极多,善用搜索引擎解决问题,这都安装不了 qubes os,请用 Tails os 去吧。
我的版本是 Qube os 4.2
我就不用命令行指令教学了,对于普通人可视化的操作界面更加方便理解,先用纯文字教学,上手后教程使用类似 apps > vault 这类简易表达方式表示相关简单操作。
点击左上角的LOGO,有个齿轮,点进去,有个 Qubes tools 这个文字右边有个软件叫 qube manager,点击这个。
右键 debian-12-xfce 我们得先从这个模板上安装 element客户端,这样才可以在它身上创作出的appvm有 element可以用。
再点击setting,点击Net qube右边这个长框,切换到 sys-firewall ,系统会弹出警告,你确定就完事了,这意味着这个模板的安全度下降了,因为一般来说模板不会让它允许联网的,现在你联网可能会让病毒从互联网中进入这个模板,我这里牺牲了一点安全性获得了一些便利,一套指令就能搞定。
还是老样子点开左上角,有个 Template ,点击,找到 debian-12-xfce ,鼠标移上去,右边有个对应的 xfce terminal,点开,输入下面这几串代码。
如果你仔细看过系统文档你就会知道如何跨qube复制黏贴文本,请细细看系统的相关文档,这可以加快你的效率。
sudo apt install wget
sudo apt install -y wget apt-transport-https
sudo wget -O /usr/share/keyrings/element-io-archive-keyring.gpg https://packages.element.io/debian/element-io-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/element-io-archive-keyring.gpg] https://packages.element.io/debian/ default main" | sudo tee /etc/apt/sources.list.d/element-io.list
报错了直接去搜索引擎解决,一般不会出错误,这样你就完成了这一步骤,叉叉掉这个窗口就行。
当你理解并学会操作这方面后就不要在使用这个连过网络的模板了,其中可能包含着病毒。
资深这方面的也可以选择直接去下 element 的源代码自己本地编译一下,在编译好后文件右键传输到 debian-12-xfce 这个qube中,再进行安装,这比给模板联网安装安全性更高。
不在原 debian-12-xfce 上安装 element,我们需要再克隆一个新的模板
qube manager > 右键 debian-12-xfce > clone qube > ok
给克隆出的模板赋予联网权限
qube manager > debian-12-xfce-clone-1 > settings > net qube 设置为 sys-firewall
打开终端
debian-12-xfce-clone-1 > xfce terminal
输入方法一中的指令,安装 element,在接下来的操作中的 qube
还是在 qube manager 上操作,点左上角的 new qube,这是创建新qube的,然后你可以自己写个名字,我们就暂且命名为 element-1,type 这里选定为 Appvm ,因为最近男朋友整我整太累了,这里不细讲这type里的几个选项的含义了,直接去看搜qube os的文档就可以理解,以后有需要我再细讲。
Template 选 debian-12-xfce (你安装 element 的模板)
Networking 选择 sys-whonix ,这是至关重要的,这强制 element-1 中所有网络必须通过 sys-whoix 中的 tor,哪怕 sys-whonix 不工作,或者没有连接上tor时,也会强制这样做(都不工作网络就连不铜)
点击OK。
这个时候会出现一个 element-2 的qube在qube manager 的列表里,你只需要左键选中此qube,点击窗口上方的App shortcuts,在左边这个意思为可用的软件列表里找到 element ,选中,再点 > ,让它到右边。
点击ok,此步骤完成。
先点击右上角红色的网络的图标,连接互联网(软路由,热点共享翻墙都可以)
点击左上角 > service > sys-whonix > anon connection wizard > next 戳到底
如果配置网桥,element 的加载速度反而速度更慢。
也可参考 https://www.whonix.org/wiki/Qubes/Tor_Browser
一行行来
还是左上角 > apps > element-1 > element > 到来熟悉的界面,点创建账户
apps > whonix-workstation-17-dvm > tor 浏览器 在新出现的窗口中点击 tor check 验证是否连接到了Tor,确认连接到了,搜个临时邮箱服务,注册 matrix 账户,同时在 element-1 这个窗口登陆此新注册的账户。
这是创建了一个一次性的qube,来访问互联网,注册登陆后就可以直接叉叉掉这个窗口了,此时这个qube就会消失,保证你的数据安全。
进入账户后把注册的邮箱地址给删除,防止邮箱服务商登陆你的账户。
截止这里,你的访问 matrix 的策略已经是
element-1 > tor > sys-net
也可以这样理解
前置代理 > TOR > MATRIX 服务器
这样看起来只有前置代理知晓你在访问 Tor ,但它也不知道你通过 Tor 访问了什么网站,关于这一点的依据可以参考一些特殊的翻墙服务提供商对某些网站的屏蔽,爱国机场屏蔽的网站你直接去访问访问不了,但你如果通过 Tor 就可以访问了。
反着来看,matrix 服务器也无法得知你的IP地址,因为每个 qube 都有不同的 tor 连接你可以把其它 qube 的n etVM 设置为 sys-whonix,打开 qube 的浏览器,检测是否连接 tor ,看看 ip 地址是否相同来验证。
此点存疑,希望有专业人士可以详细解释
templates > debian-12-xfce > xfce 终端 > 在这个debian 上安装你喜欢的输入法,相关教程搜debian 输入法安装即可,这里推荐 fcitx5 。
qube manager > element-1 > App shortcuts > 同样的操作把相关输入法转移到右边,让输入法可在这个 qube 上使用。
大体上的意思就是你得在模板上安装的软件,才可以在以这个模板为基础建立的 qube 上使用。
以上述的操作循环,可以建立更多的 element-1 这样的qube,可以同时快速管理不知多少的 matrix 账户。
element 账户密码存储: qube manager > vault > App shortcuts > 把keepassxc 转移到右侧
名为 vault 的这个 qube 始终处于断网状态,可以用这个保存账户密码。
本文首先发布在 2047.one 网站,遵守 CC BY-NC-SA 4.0 署名-非商业性使用- 4.0
转载时请署名 Dreamer 057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64,也可以署名我在2047的主页。
我推荐你转载此教程到其它论坛(红迪品葱什么的,都行),但请把我PGP公钥的指纹带上,反响不错我再写几个 qubes os 教程,首发在2047。
这是我的 PGP公钥与指纹,我目前没有开通电子邮件,请以此PGP密钥为准。
指纹:057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64
在导入此公钥后请确认指纹是否与我在此张贴的是否相同(我还是十分信任2047.one 不会篡改我的公钥的) 公钥全文
-----BEGIN PGP PUBLIC KEY BLOCK-----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=RX51
-----END PGP PUBLIC KEY BLOCK-----
对客户端来说Snowflake需要用到WebRTC, Conjure不需要, 但Conjure目前容量较小并且准备计划支持但暂不支持Turbo Tunnel.
Conjure大规模部署运行需要争取墙外大型ISP协助才行(目前只争取到一个小中型的), Snowflake则只需要争取到大量小型甚至个体志愿者就可以利用现有成熟工具低成本大规模部署运行.
另外现在Conjure已经进入了Stable版的Tor Browser, 只是没有提供界面而已, 手动输入网桥就能用.
可能ip太多了
因为cf是事实上的业界标准,就像ms windows可以用于翻墙,但是中国政府不能禁用windows一样。禁用这个不如把自家光缆切了来得干脆
cloudflare不仅使用ech加强用户隐私,还免费提供cloudflare warp这个翻墙工具
front=参数的值过时了, 最新文本请看这个文件的Bridge开头那行:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/conjure/-/blob/main/client/torrc
mtf
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
各位好,我是 https://yougewath.mataroa.blog/ 的博主,https://2047.one/t/21149 是本博主在2047论坛运营的账号,此文章为我原创,你最好在博客下的此文章 https://yougewath.mataroa.blog/blog/ff8-a2-aa6/ 询问问题,我会不定时回复,谢谢你的支持,希望2047有更多优质的文章 -----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEE3Run/XSu5HRPkFUKZDK2C36qv5oFAmTncIsACgkQZDK2C36q v5oslQ/9EAfUgCtxv5XbT5OgP+lvOvE5sCx6D3RSFFN/NzVmD59l47e34PJ5vbIV OGWa0Ji+FzaS2usVsf1KcpjC3qe+IsBU1ldi9enp0AtuTT+/iFz01IfHHzAn/tDh ZcRYMZ41hDoIsAZr4+6iW4u3EAsdfb8gmpRCf5pf3egt9SYTthyOaQSEUPOyOJBc dB1xfFb3sT+T/w5CwOLOfqMSJVAqWDlP3lDXPv1UAGshCc2EEqL0xN3ZIxQRhHvb oLClvcupx+qXhsbX4BB5lbjSKlroQW86U4M/6MLg1tVWX4sixTGL7S5bacdC4gne kPszm8zFvcyz22Y9jelrs21KHrY3KG6NSioj1GCEllOz4MVfal/70kUMUij5MPiT GUxcnI46NyNlLtUGgcXCmFBsmZBaercefovDzlfzzFUF8QcinFxeW9wFd5tGVnXP pub0WW4+IpM3SvyDa1aov8Bsg6YUUPlwuRAP7F42cIBOClchzL0LdO1aOBNuXSzT 4Pj4W5FOH3yT0ZeoOKma3efC64u9LYZ6rmO9RD4tEl2REkOqw5zKuwSSyP+2vz6Y URcf0C56ECPZ7mEbwb1DF9AJEGzafp1csBczVJdxNvuR4Zf9F8rdWuQGWJacYYmx VBlWc1BeQ8N4x5upbAhGGb4es2/5x7VQya0ifYYppkkRNCNCltE= =eq3M -----END PGP SIGNATURE-----
mtf
此文章为我个人所原创编写,我希望你可以去我的BLOG阅读,当然我在2047放了全文,除了标题没有任何的修改 这是博客,原文的链接 https://yougewath.mataroa.blog/blog/ff8-a2-aa6/ 感谢2047论坛,评论区我会放上PGP的认证以证明本账号为本博主本人运作
[TOC]
此教程为长教程,提供方法和想法,不是纯粹的方法,希望可以抛砖引玉,获得更安全的账户密码库保存方法。 此教程面向的是对于对账号密码存储安全性有着要求较高,或者有许多(一般来说超过20个)重要与不重要账号的密码需要进行管理的朋友。如果你极为追求便利性,本教程并不适合你。
本教程将以安全性为最优先前提,以便利性为辅,给予你一套管理的方案且会推荐你账号密码管理的相关工具,同时会给出相关的我个人的见解,让你能够更放心的存储自己账号密码,提升自己的账号密码的安全性。全篇约95%的内容均是本教程制作者的原创输出!转载等请见文末
即为限制使用场景,我们在互联网上行动,创建了许多的账号与随之而来的密码,其中包括常用的账号(例如百度,谷歌,博客),这些账号我们可能在某一次无痕浏览结束或换设备等情况后,再次登录还需要进行输入密码等操作,使用的次数较为频繁,同时还会在其他的设备上进行使用,所以我推荐你将这些账号与其的密码列入初级别或中级密码库,这里作为演示我们列入初级密码库,也就是安全系数最低的账号密码保险箱。
你需要评估你的账号密码是否可以进入这个最低级别的密码库,我大概给这个密码库设立了几条要求,如果你认为你的一部分账号密码可以适用这个密码库则可以划分进去,后续再提及本教程不赘述。
| 级别 | 特点 | 允许泄露后的影响 | 使用设备要求 | 备注 |
|---|---|---|---|---|
| 初级密码库 | 允许在不安全的平台上使用,泄露后无法被破解打开 | 不允许产生人身或经济危害 | 任何设备均可使用 | 随时都有可能因为本地的恶意软件或者外来的病毒的攻击而泄露了主密码 |
| 中级密码库 | 只允许在可信任的设备中使用,泄露后无法被破解打开 | 允许产生经济危害,不允许产生人身危害 | 笔记本电脑,安装可信软件,联网 | 一定情况下才可以把此级别的密码库发到其他的陌生平台,同时再次提醒不要在非信任设备之外的平台去打开此密码库! |
| 高级密码库 | 只允许在极致信任的设备上使用,泄露后无法被破解打开 | 允许产生人身或经济危害 | 开源、稳定的软件和系统,断开互联网的设备 | 最高级别的密码库存放最重要的东西,这是必须的,当然完全可以用来存放一些无足轻重的东西,这对于对安全有着极致要求的人(例如我)来说都是一样重要的 |
不断开互联网的设备:开源的软件,稳定的系统,两者都被许多用户使用,受到知名的信息安全公司的审查或者受到一些著名隐私保护组织推荐。这些都被多年的使用积攒下的口碑,代码,可以确保他们对你和你的数据的忠诚,安全的守护你的数据,这也会为后面推荐的许多的相关软件做铺垫。
离线设备:确定断连互联网(飞行模式或者拆除联网硬件),稳定的系统(不应当会丢失密码库)
例如一台安装着都是你极为信任或者开源的软件与系统,同时时时刻刻在你身边的呆着且联网的笔记本电脑,这台电脑可以进行联网,但不能安装你无法信任的软件(一些从非主流下载网站下载的软件/不是大厂或有背景保证的公司开发的软件)。
如果你想要制作极致安全,简单的密码库,可以直接直接从文章前的目录跳到 #第三步 建立。
如果你想要组合一套既安全又便利的密码库,请继续按照从上到下的顺序继续阅读。
我们需要对三个或者二个级别密码库中的账号的所属权进行联络/分割
把最贵重的权限锁进最安全的保险箱中,最廉价的权限放在触手可得的地方
举一个例子
如果我们的中级的密码库遭到入侵,其中包含的XX账号密码泄露,我们XX账号的使用权就落入了他人手中,而他人却因为XX账号存在辅助邮箱而无法更改密码,无法篡改所属权,这时我们意识到了XX账号被盗,可以使用处于高级密码库的辅助邮箱直接更改谷歌账号的密码,夺回使用权。
如果XX账号的密保邮箱处于与谷歌账号同一个密码库。例子中的攻击者就同时获得了此XX账号的所有权限,利用密保邮箱+XX账号密码夺取了所属权,这个账号就再也不属于你了。所以有中级,高级密码库的需要对其中的账号进行尽可能多的关联,提升找回的可能性。
再举一个同类的例子,以解答疑惑。
以下是对文本进行整理后的结果,加入了合理的分隔,让句子更加清晰明了:
一个没有设置二步验证的QQ账号,它的账号与密码处于低级别的密码库。当低级别密码库遭到入侵后,攻击者可以直接登上你的QQ账号。但是,QQ是以账号绑定的手机号为最高权限的,因此攻击者只能暂时性地使用此账号,无法更改绑定的手机号。这是因为手机号背后的验证码攻击者无法获得。手机卡通常装在你随身携带的手机上,安全等级很高,攻击者一般无法获取你的手机。不过,也有可能手机中了攻击者的病毒或被盗窃,验证码被提取的情况很少见。因此,对于安全性极致要求的朋友,本教程推荐尽可能不使用手机验证码这类的验证方式。
本例子中的手机验证码与上文一例子中的密保邮箱的意义相同。不过,本教程更推荐使用密保邮箱,将会在第三步详细解释。
所以你需要将能真正拥有这个账号的凭证(例如 Dropbox 的恢复代码,密保邮箱的账号密码)存放在更高一级别或者存放在高级密码库,把最重的权限锁进最安全的保险箱中。
错误示范:密保邮箱存放在中级密码库,密保邮箱保护的账号的密码存放在高级密码库。当这在情况下中级密码库被入侵,在高级密码库相对应账号就同时受到入侵,高级密码库的解开条件再高都无用了,主位不可颠倒。
你可以不需要进行账号间的联络,但防止出现上面举例的错误示范,一定要进行账号关系的分割,这将大大提升你的账号的安全性,管理使用上的效率!
你的账号应当存在大概的二到三个领域(例如经济,社交,游戏),我们可以创建三个毫无关联的底层的邮箱,这里简称ABC。这三个邮箱之间不能存在互相的制约关系,例如A邮箱可以靠B邮箱找回,这是不被允许的,我们要划分好领域,把所有属于这个领域的账号全部联络到此领域的邮箱,这些领域的账号都可以用此邮箱进行找回,都可以依靠此邮箱验证你的身份。请你把之前随意绑定形成的混沌关系给分割,做成有序的电路,接到各自的“电表”。这样你可以更可观的梳理你的账号密码的情况。
在账号凭证方面这样做,你也可以在其他方面这样做,例如各个领域的联系邮箱区分开来,家事家办,公事公办,这与许多人建立两个微信账号,工作和家庭朋友进行分割有异曲同工之妙!
这些是必备的,难以有其它可选择的工具,如果有替代品需要你的补充。
耐心,学习是艰苦的
一台可信任的电脑,对性能完全没有要求(不要拿20年前的电脑了,至少是近15年内的电脑设备了)
密保邮箱 可以通过该电子邮件地址接收验证邮件,重置密码或进行其他安全操作。
密保邮箱需要有多种的登录方式/保护措施,例如双因素身份验证,可以看看微软的这篇解释,下文也会推荐密保邮箱
KeepassXC 自由开源的密码管理器,功能多,简单方便。支持 Windows,Linux,macOS 多端 去官网下载,根据电脑系统下载对应的版本
Keepass2Android 可在安卓上使用的开源的密码管理器,可以使用云端同步,方便简单。如果惧怕云端可以使用离线版本
AuthPass 可在 iPhone 上使用的开源密码管理器(本教程暂未体验此软件,此条希望有朋友可以补充体验情况)
Dropbox / 坚果云 / Google Drive 等相关支持 WedDav 的可信任网盘
用于在各个设备同步密码库,存储密码库的网盘应当要以稳定性为优先,不会丢失文件是首要的,安全性排在第二,本教程较为推荐 Google,Dropbox 这类服务器不在国内的大公司背景的网盘,知名度高且可靠,如果你无法使用前面的网盘,我推荐使用坚果云,国内支持 WedDav 的网盘我只知道这一家。
Tails os 是一种便携式操作系统,可以防止监视和审查,出入系统的所有流量都会被强制走 Tor,内置可靠的开源软件,自带 KeepassXC ,装载在U盘上可以随身携带,在陌生的电脑中也能安全使用。
这是本教程中的重中之重,原因在于我们可以把 Tails os 当作一个随身携带且安全的密码库,Tails os 制作很方便,根据 官方提供的教程 即可解决,我们只需要一台可信任的电脑,一只大小合适的U盘就可以安装 Tails os了。
Tails os 的官方安装教程非常完备,如果你需要这方面的帮助除了通过其 reddit 论坛,也可以向我寻求帮助。
每当我们需要查询账号密码时,可以插入U盘,通过高级启动(Windows11系统需要点击高级启动)进入一个完全与主系统隔离的空间,里面的所有软件,包括系统都是开源透明可信任的,内置了 KeepasssXC,Tor 浏览器 等实用的软件,同时如果你想要访问互联网,系统会强制所有流量通过 Tor,大大降低了隐私被泄露的风险,相关 Tails os 的特别使用要点会在下文提及。
(支持 HMAC-SHA1 质询响应 的硬件密钥,还有其他品种例如 Onlykey,这里用的是 Yubikey 5,在购买时请注意此硬件密钥是否支持这个协议,否则会无法设置。Yubikey 也是教程中的要点,它可以带来更多的便利性与安全性,如果你对信息安全有着极致要求,这类硬件密钥 一定是你的不二选择,许多的大型互联网公司的内部很早就在推广这个家伙了。
Yubikey 可以与许多网站的登录环境结合,多数作双层验证中的第二道的密钥,在本教程中是用于协助提升高级密码库的安全性,在解开高级密码库时,我们需要把这个硬件密钥插入对应电脑设备中,再结合密钥文件或者密码库的密码就能安全,快捷的解开密码库了。同时你也可以用做A级密码库的验证手段之一,像在手机中解开时使用 Yubikey 5 NFC ,利用手机背的 NFC 验证,然后把你的 Yubikey 挂到钥匙扣中。
需要注意的是 Yubikey 这类硬件密钥应当成对的购买与设置:许多网站的双重验证中的硬件密钥可以设置多个,防止出现遗失一个账号丢失的尴尬情况,本教程推荐随身携带一个,家里储备一个,以防出现不测。 购买:首先推荐你在其 官网 购买,或者通过淘宝,闲鱼寻找代购购买。
这些是不必备的,有多种类似的工具,只是推荐,我认为它们可以增加安全性,也是我个人在使用的。
Protonmail 来自瑞士的电子邮箱,宣言其备份服务器位于瑞士地下 1,000 米花岗岩下的前 K7 军事掩体中。同时我认为其有相当的法律层面上的优势,适合作为放置在高级密码库的底层邮箱,用这个邮箱链接各个日常的邮箱极为适合,验证手段齐全,有 TOTP,硬件密钥,双密码多种登录的验证方式,安全系数高,是多数人的首选。(可以开通付费套餐,12个月不上线会删除账户)
Tunato 来自德国的电子邮箱,用户量较少,付费套餐相对 Protonmail 更便宜,只需要付费一次账号永久存在,本教程更推荐 Protonmail 。(从没付费的账户6个月不上线会删除账户)
在你最常用的系统上打开 KeepassXC 可以根据 这篇官方的教程(内含的其他教程可以解决很多问题)创建一个只有主密码加固的密码库,解开时需要使用一个主密码。
注意:接下来所有建立的密码库的主密码都需要超过15位,英文大小写混合,不然没有安全性!你的密码库将会被轻易的暴力破解,同时请在设置主密码时不要设置已经在其他任何平台使用过的密码,请额外想一个!
在建立好初级密码库后,你可以把初级密码库的文件(.kdbx 结尾的这个文件上传至云端,同时在手机或者其他设备上支持 Keepass 进行云同步,这是 Keepass2Android 教程,较为简单所以不细讲,本教程推荐使用 Dropbox 进行低级密码库之间的同步。
在 Tails os 上通过内置的 KeepassXC 同样根据官方的教程创建密码库,但有额外的要求。
提高破译难度,增加每次输入密码的试错成本,缺点是每次添加账户密码时的任何修改都会停顿五秒。但作为高级密码库无需在意这一点。
利用硬件密钥提升安全性,需要用上文提及的Yubikey 或者其它的硬件密钥。说人话即为添加一道“实体”钥匙,没有这个硬件密钥同样也打不开密码库,你需要好好保管这个小东西,在遇到特别的危机情况时,你可以快捷的损坏这个硬件密钥,让攻击者永远无法打开你的密码库。(当然你也打不开了)
添加一个电子的钥匙,这个密钥文件也如钥匙一般,但你可以把自己的一张生活照当成钥匙,也可以把自己的一篇文章当成钥匙,前提是这把被当成钥匙的文件不会让人以为这是解开某个非常重要的密码库的密钥文件即可,这个操作你需要在 Tails os 里做,大概率会把目标密钥文件从电脑的本地磁盘中转移过来,你可能会遇到无法转移的情况,试着在刚打开系统时的界面设置一个管理用户的密码,这样就可以打开电脑的本地磁盘以转移密钥文件和密码库了。
这些东西都是可以多次复制的,你可以把这些东西放在各个地方,例如塞入SD卡,丢进饮料瓶,找个没人的地方埋进去,这是一个非常好保存密码的主意,你可以发散你的思维去保存这些东西,但不要被人或监控等监控发现。
你的密码库,密钥文件等的位置是大忌,说出来就等于提升你的个人安全风险,哪里有把自己的资产多少,在哪里告诉别人的。
多问问,多 Google,多去 Reddit 相关内容的论坛上逛逛有啥关于信息安全的讯息,例如最近 Lastpass 这个密码管理器泄露多次用户数据,名声扫地,一些憨憨企业的账户密码泄露的话也记得去改改,自己防住了企业没防住。
如果你存在一些相关疑问,或者一些点子,文章的漏洞和建议欢迎你向我提出,不胜感激!
也可以 博客评论区(回复响应较慢)
本教程的作者非常欢迎你分享本文给有需要的朋友,但得遵守下面的要求
本作品采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可 -请署名 https://yougewath.mataroa.blog/blog/ff8-a2-aa6/
转载请勿用作商业用途,同时需要署名原作者(我的邮箱),请尊重原创!
Menu键只能提供方便, 不能保护隐私.
Google有JS的页面在按照楼上方法复制时会在按下Menu键时向服务器发送意义不明的请求, 疑似包含加密的追踪信息.
EDIT:复现方法是用浏览器自带的Newtork Monitor监视网络请求并按照楼上的方法测试
Conjure通过墙外ISP配合实现翻墙,Snowflake通过墙外志愿者实现翻墙.
另一个区别是Conjure的Issue的Label都没有Sponsor96,可能预期就不打算能在中国用?
实际是否可用只能以自己测试为准,因为不同时间,不同地域,不同ISP的封锁策略都不同.
最后注意Conjure跟Snowflake一样都是免费翻墙服务.
这个和Snowflake网桥有何区别?
Conjure网桥已进入Alpha版Tor Browser, 附使用方法:
Tor Browser Alpha版本下载地址:https://www.torproject.org/download/alpha/
按照"输入网桥"的方法输入下列文本:
Bridge conjure 143.110.214.222:80 url=https://registration.refraction.network.global.prod.fastly.net/api front=cdn.sstatic.net
在中国大陆必须使用front(也就是Domain Front), 默认是 cdn.sstatic.net , 下面两个链接是可用于Snowflake的域名列表, 因为都是相同的CDN(Fastly), 所以我猜测也能用于Conjure, 注意第一个链接也是关于域名列表的检测脚本, 感兴趣的话可以关注检测脚本的相关信息:
https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/snowflake/-/issues/40273#note_2904868
https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/snowflake/-/issues/40068#note_2767823
饭姐
z-library的新域名(singlelogin.me)又被查封了?
第四是美国公司研发一款名为“暴动”的软件。该软件支持100%独立的无线宽带网络、提供可变WiFi网络,不依赖任何传统物理接入方式,无须电话、电缆或卫星连接,能轻易躲过任何形式的政府监测。
riot im/element 可以做到"不依赖任何传统物理接入方式"?