@47小管家
抱歉忘记@您了.
站务
-
为什么这个帖子中第一个@无效?
-
浏览帖子时会访问maxcdn.bootstrapcdn.com 请注意检查是否被入侵篡改
你好,这是一个无害的bug,不影响正常使用,本站也没有被入侵。
图上显示的这个文件,是markdown编辑器使用的字体文件,因此只要打开包含编辑器的页面,就会加载这个文件。
本来fontawesome.min.css这份文件就是从bootstrapcdn上加载的,但后来为了加快加载速度,就把这个文件host在2047服务器上面了,你可以按f12查看这个文件。原来从bootstrapcdn加载文件的指令还保留了一份,因此控制台会显示一条被拦截的消息。
-
为什么这个帖子中第一个@无效?
为什么这个帖子中第一个@无效?
@aNi9YTedYtVy -
浏览帖子时会访问maxcdn.bootstrapcdn.com 请注意检查是否被入侵篡改
@47小管家
比如在我的帖子中:https://2047.one/t/19957 或发帖页面 https://2047.one/g/2047/editor/Article
可疑的访问的地址:https://maxcdn.bootstrapcdn.com/font-awesome/latest/css/font-awesome.min.css
不过被Tor Browser的CSP拦截下来了, 但仍然请检查是否是被篡改的结果. -
thphd当初没加内容安全策略的原因是什么?
允许script src unsafe-inline这样的指令
"script src"是什么意思?意思是script-src?
-
thphd当初没加内容安全策略的原因是什么?
可能是不知道有这种技术。
据我观察很多论坛要么没配置CSP,要么自带的csp聊胜于无。允许script src unsafe-inline这样的指令,和没配置没有太大区别。
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
@47小管家 虽然系统越简单越安全, 需要注意的是不必要的改动程序也能导致bug/漏洞.
-
thphd当初没加内容安全策略的原因是什么?
thphd当初没加内容安全策略的原因是什么?
-
你站在图片的外链方面存在安全缺陷
纯文本敏感活动时可在Tor Browser中的about:config页面修改permissions.default.image屏蔽图片, 即省流量又减少攻击面.
需要注意的是这个data-url和remote fonts防不了, 安全方面的效果只能说有胜于无, 尤其是我不太确定它是否可以彻底完全阻止访问图片服务器(比如可能开头建立了连接后面浏览器发现是图片又关闭连接). -
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
您举的例子没有可操作性,例如“恶意JS收集用户按键鼠标习惯特征”,且不论鼠标运动是否构成可供识别的特征,请问收集了特征以后和什么对比?更不用说这工程上的困难,我知道有一些无交互验证码可以记录并上传鼠标运动,但是这很占用CPU和网络资源,几乎不可能在所有页面上部署。
再比如“以特定模式发送数据包帮助锁定等”,这要以什么模式发送数据包?如果这模式是用户的身份,那已经知道了用户的身份,何必再去发送一遍?如果这是指差分流量分析,那么您需要证明有技术确实可以从海量互联网噪音里,辨别出这几百个字节的ajax包。
诚然我认为“关闭js减小攻击面”的说法是正确的。但是面向大众的论坛不是小众技术爱好者自娱自乐的乐园,对于那些不懂JS为何物的用户,提供接近主流商业网站的体验是绝对有必要的。
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
看來你是完全不懂前端。跟開源與否幾乎無關。
樓豬要求的那種極簡交互方式,落實到程序上就只能用html搭建。連css樣式表這種為了排版美觀腳本都沒必要存在。畢竟css也存在安全隱患。
那等於說開發一個靜態多級頁面程序。這玩意談不上跟現有前端整合。完全是開發一個新的靜態前端處理ui邏輯及接收後端數據的用戶交互事件而已。
唯一需要站方提供的僅僅是數據庫的內部關系。也就是後端數據庫的設計邏輯。
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
这个反要求有点过分了,2047的代码又没开源,你让用户设计一个框架,怎么和2047代码对接呢?
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
永遠不要對所謂反賊論壇的功能提更多要求。由於對安全性的忽視。這些網站的倒閉多半是他們應得的。 還有一點,就是碼農界的一個潛規則:對於開發者而言,白嫖用戶提出的需求改進應該由他們自己完成。說粗俗一點就是你的欲望幹我屁事。 所以你的想法我也覺得很不錯,但你能先獨自完成你想要的前端框架再說。完成之後再來和這裏的站長商量。看對方是否願意接納你的方案。
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
我们有些同志啊,读书读了很多,但是不会举一反三,比如上面说的恶意js,我不用js一样可以帮助流量分析。比编程随想方案更好的是高延迟转发方案。但是这个方案就会带来更多的问题,比如高延迟转发的服务,没有tor这样的现成低延迟网络,自己要搭建,那特征就会多很多。
所以啊,看我的头像,脑子要2000伏脉冲刺激一下。
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
禁用js的做法已经过时了
尽管我们是否需要做到这种程度有待商榷, 但禁用JS在需要高度安全的环境(比如自由世界中的各种非法暗网, 合法的securedrop)从未过时而且是标配.
根本解决方法是双虚拟机+Tor,有了这个随便js都无所谓。
就算用双虚拟机也不应随便JS, 能禁用JS的时候也应该尽可能禁用, 比如说恶意JS收集用户按键鼠标习惯特征, 以特定模式发送数据包帮助锁定等.
参考:
https://pincong.rocks/article/4183
https://pincong.rocks/article/3650 -
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
攻击者锁定2047用户IP的方式只有Cloudflare失陷/2047服务器失陷+ tor三层节点都是蜜罐+ 前置代理失陷
甚至不需要同时三个条件, 只需要一个关键性的0day就足够了.
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
讲真,国安局那帮家伙想查真的随时查,不过一般来说他们不管,只要别太跳。2047这种流量不至于
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
禁用js的做法已经过时了,现在很多网站离开js都无法正常工作。另一方面现代js引擎(比如V8)也不像2010年代那么不堪。禁用js就像是有电脑不用,非要去用软盘和传真一样。
最核心的安全措施是用tor,用了tor之后再想办法加固浏览器和操作系统。Linux上有很多沙盒软件可以限制浏览器的行为,使用这些软件不需要了解浏览器或者系统内核的工作原理。
根本解决方法是双虚拟机+Tor,有了这个随便js都无所谓。
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
理解您对于安全的顾虑,您希望在墙国自由发言亦是合理的需求。2047作为不受中共审核的中文平台必然有受到攻击的风险,必须考虑站方与用户的安全;与此同时2047作为一个多种话题的交流平台,希望能给不同知识背景的用户提供较好的交流体验。
如果全力追求安全,2047应该作为一个no Javascript的暗网网站存在;而如果全力追求多样化用户体验,2047则应增加各种流行的社交功能。二者难以兼得,因此2047目前追求在安全和用户体验之间达到一个合理的平衡,包括:
-
建立在明网上以便用户参与。
-
不记录IP、浏览器操作系统或其他任何用户标识信息(见《使用协议》)。
-
启用内容安全策略,使用白名单禁止一切站外脚本。
-
加固服务器,预防其他可能被攻击的漏洞。
-
使用站内JavaScript脚本使得用户能较为方便顺畅地使用内容编辑、点赞、设置等功能。
我们建议用户们使用Tor这样的匿名网络,并使用加固的浏览器(例如Tor browser)。这种情况下,启用站内javascript safer模式并无额外风险。如果启用双虚拟机+Tor的方案,则用户可以做到安全自足。
总之,如果用户用tor浏览器登录2047,攻击者锁定2047用户IP的方式只有Cloudflare失陷/2047服务器失陷+ tor三层节点都是蜜罐+ 前置代理失陷,中招概率远小于中共明年倒台。
-
-
新站上线集中问答帖
旧站搜索使用了谷歌引擎,相当于在Google搜索“site:2047.one 关键词”。新站搜索功能仍在开发,目前您可以使用谷歌搜索“site:2047.one tor”达到与旧站搜索相同的效果。
-
新站上线集中问答帖
新站是不是没有搜索功能了?想找一些Tor相关的技术贴,好久都没找到怎么搜索。
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
其实Thphd栽倒和花哨功能没啥关系。2047被跨站脚本攻击就是Thphd丝毫没对站外脚本做限制。搞个脚本白名单就没这事了。
前端脚本攻击只要禁止站外脚本就能避免,否则就是服务器被黑了,那时候服务器端之前搞不搞js也没什么区别,完全看用户端防护程度。
如果没有站外脚本的隐患,主要还是网站技术要管好服务器,而只允许服务器端js相比完全禁用js不会增加服务器被黑的概率。
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
这要看你怎么定义用户质量了,仅仅paranoid并不能给一个交流信息为主的社区带来价值。作为一个信息交流的平台,能够提供有质量的信息的用户才是有价值的,而这些人未必是安全导向的。
-
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
@47小管家
危险并非全部来自已知风险来源, 系统越简单出漏洞概率越低, 我感觉thphd事件的根本原因就是过度追求花哨功能导致出现了漏洞. -
你认为反贼论坛是否应该设计成最小化的功能, 就像暗网一样?
此处所说的最小化功能是没有JS, 没有图片, 没有多媒体, 只靠HTML和CSS实现, 只保留基本的发言和浏览功能.
@47小管家
请问在墙国自由发言算不算"特殊需求"?
我(不论我是用户还是站方)宁可使用爷爷时代的UI(只是说美观程度, 足够的易用性还是应该的)也不愿意为了花哨界面和功能增加攻击面.
反贼网站本来就应该安全第一, 而不是考虑大多数人会不会用, 就算设计出花来反贼网站也依然是小众.
顺便我也感觉这种极简设计也可以当作一种过滤器, 过滤掉喜欢花哨功能但不注重安全的用户, 让用户质量越来越高(虽然数量可能会少一些). -
Tor的Safest级别下无法登录?我没记错的话以前是可以无JS登录的?
thphd的事情不是因为js本身出了漏洞,而是因为他没有给网站做安全配置。在现代的web技术下,如果正确配置了内容安全策略和SameSite cookie,可以从根源上防止XSS攻击和CSRF攻击。
在开发新版2047的时候,我确实测试过无JS的前端,但是测试之后效果并不好。大量iframe会拖慢页面渲染速度,造成代码臃肿,反而增加了复杂度。论安全性,可能还不如js+组件化开发来的好。
网站安全和使用体验都有必要兼顾,因此一定的页面设计和效果是有必要的。一些暗网色情和毒品交易网站的界面十分简陋,只保证最低限度的浏览和发布功能,但除非真的有“特殊需求”,大多数人并没兴趣访问或长期使用这样的产品。
-
Tor的Safest级别下无法登录?我没记错的话以前是可以无JS登录的?
这么一说我也想起了, I'm sorry 记错了. 下面一些个人牢骚:
不知您是否看到过, 以前拜登论坛里看到一个回帖, 大致意思是说"thphd的例子证明全站支持无JS比支持JS加密重要一万倍".
另外个人认为反贼论坛功能应该尽可能简单, 比如说只支持必要的纯文本传输, 菜单之类的完全可以让用户自己选择链接来代替, 没必要做的那漂亮, 能用并且足够简单就行(结构越简单出漏洞概率就越小). -
Tor的Safest级别下无法登录?我没记错的话以前是可以无JS登录的?
以前和现在都不行。因为2047从name时代开始,就会做客户端散列,所以不能去掉js。改版之后的代码已经完全重写,但还是沿用了这个feature,去掉这个功能会造成大量已注册用户无法登录。
另外后端接口也只兼容json,不考虑支持HTML Form。
--
2047有两个登录凭证,一个是cookie,key叫做“id”;另一个是CSRF token,放在localstorage里。你可以把这两个凭证复制出来,用的时候黏贴进浏览器,再刷新页面,和登录的效果是一样的。
-
Tor的Safest级别下无法登录?我没记错的话以前是可以无JS登录的?
Tor的Safest级别下无法登录?我没记错的话以前是可以无JS登录的?
-
新站上线集中问答帖
点击隐藏后,只是隐藏内容,没看到有删除帖子的按钮
-
2047.one/links还会保留吗?好东西不要删啊
现在实体编辑是小组特有的功能,在小组右上的菜单栏里可以找到入口。将来会考虑支持自定义小组首页,小组组长可以把实体列表放在小组首页。
-
新站上线集中问答帖
感谢反馈,这个问题已经解决了,现在可以正常显示了。
点击隐藏可以删除帖子,也可以把不想要的内容编辑掉。
-
新站上线集中问答帖
在2047的安全模型下,第三方验证码不是主要的风险来源,反之机器批量注册账号的破坏更大。用两家验证码的原因是hcaptcha和recaptcha都有被绕过的风险,组合使用可以把被爆破的风险降到最低。
-
新站上线集中问答帖
自己的帖子如何删除,而且楼中楼的评论超过四条,折叠评论显示有人回复也点不开
-
新站上线集中问答帖
第一道验证码在tor下有一定概率失败,可能是谷歌对tor做了限制。提示失败后,再按照提示点击1-2次就可以通过。
必须用Tor的New Identity功能(Tor的New Circuit功能可能有用但我没试过, 不过New Circuit对谷歌搜索有用).
-
新站上线集中问答帖
内容已隐藏内容已被作者本人或管理员隐藏。 如有疑问,请点击菜单按钮,查看管理日志以了解原因。 -
新站上线集中问答帖
为什么要用两家不同的验证码?这是否是无意义增加攻击面?
-
新站上线集中问答帖
第一道验证码在tor下有一定概率失败,可能是谷歌对tor做了限制。提示失败后,再按照提示点击1-2次就可以通过。
tag数据仍然保留在后台,目前正在对tag做重新整理和筛选。
-
新站上线集中问答帖
我最近发现很多(不是全部)别人对我的回复不提示(有的话在“通知”那里会有红字显示数字),但是在“通知”里面可以看到。请问这是我的设置问题还是网站的功能设计还是网站缺陷?
-
2047.one/links还会保留吗?好东西不要删啊
感谢保留, 不过现在似乎没有入口?如果我不是老用户根本不知道这个地址吧?而且现在的links分类相比以前也显得很凌乱
-
新站上线集中问答帖
第一次遇到这种情况.
顺带一提验证码失败率太高了, 感觉不是点的不对而是谷歌在对Tor做限制. -
新站上线集中问答帖
谢谢反馈。请问这种情况有反复发生吗?
-
2047.one/links还会保留吗?好东西不要删啊
谢谢您的建议。Links中的资源宝贵,改版后也全部保留。目前输入 https://2047.one/links 会自动转链到 https://2047.one/g/2047/entity/Link 作为“2047小组”实体编辑的一部分。
-
2047.one/links还会保留吗?好东西不要删啊
2047.one/links还会保留吗?好东西不要删啊
-
新站上线集中问答帖
注册的时候提示"验证码无效",再点一次又通过了?
-
新站上线集中问答帖
一年不上,7站大变样。鹿姨我就想问,我美丽的头像怎么没了?
又回来了。Never mind.
-
新站上线集中问答帖
抱歉,无法截屏是因为在chrome的secret模式里打开的网页。