39i
@39i
39i
@39i
关注的小组(1)
动态 帖子 1 评论 9 短评 0 收到的赞 8 送出的赞 0
  1. 39i   在小组 2047 回复文章

    分享图片或是其他资源安全提醒

    @消极 #178917 恩 就是看了一个文章之后不要立刻转,最好等一段时间再转,免得时间关联。
    用好延时发帖功能很重要

  2. 39i   在小组 2047 发表文章

    分享图片或是其他资源安全提醒

    之前看某站点某个用户分享了国内某交流app的帖子,前面这句我为什么用某代替,是因为这站点好像没有删帖功能,还有就是帖子比较久了,估计发帖人自己都忘记了,为了这位用户的安全所以我没有直接说详细

    分享文章问题:以某微信公众号分享文章为例: https://mp.weixin.qq.com/s?__biz=x1==&mid=x2&idx=1&sn=x3=x4&mpshare=1&scene=1&srcid=x5&sharer_sharetime=x6&sharer_shareid=x7&exportkey=x8&acctmode=0&pass_ticket=x9

    为了方便阅读,我把相关的标签信息改成了x1-x9,如果分享这文章,能透漏的东西就多了,比如sharetime:分享时间、sharer_shareid:分享的id,可能是用户id等,以前我就看过别人直接这样就分享出来了,这样很危险,我建议尝试把尾缀删除看能不能访问,能访问再分享,不能访问复制到电脑打开再截图分享,截图记得把地址打马赛克,至于为什么不直接用手机截屏,请看下面

    分享图片问题: 用手机或是相机拍的照片是有EXIF信息的,记得清除这些信息,有必要记得把截图的里面的手机时间这些信息马赛克处理。如果你是帐号登陆了某个网站,然后下载这个图片,图片文件名可能含有你的私人信息,记得重命名。 另外就是图片隐藏水印问题,有些隐藏水印可能会把你的设备信息或是用户信息打到了图片里面,记得用相应的软件处理一下再分享

    手机截屏后,手机图片保存在手机里面,而微信等软件是能读取你本地文件的,这也就是为什么,你新拍的照片或是下载的图片又或是截图,在你发送消息的窗口能直接弹出来,,现在国内厂商图像OCR技术发达,如果图片信息被关联了,这里也很危险

    补充一点:手机剪贴板问题,不要直接复制敏感字,或是2047这些网站网址,因为微信或是手机自带的手机管家等国产软件能读取你的剪贴板,还有就是不要什么都是直接微信扫一扫,如果扫的是。。。

    先想到这么多了,先打到这里

  3. 39i   在小组 2047 回复文章

    当前除了微信,还有哪些在境外境内都能注册,免费和中国大陆人士通讯的APP?

    @消极 #178907 signal是需要手机注册的,在这点安全问题我就不是很看好,有人可能会说可以网上买手机卡,但这东西就涉及到了溯源问题,你不确定你购买的手机卡是不是商家或是其他机构,是否把你的号码跟人关联了,再说signal宣称开源,端对端加密,足够的安全,但是在需要手机号码面前,安全性是大折扣的,你不能确保以后因为安全问题泄露了你的手机号。我认为国内的环境还是出墙键政还是适合完全匿名化、去中心化为好,但奈何越是安全的东西越是复杂,越是难以推广

  4. 39i   在小组 2047 回复文章

    国内电脑TPM的芯片的问题

    之前在品葱看别人聊过,好象是现在国内卖的是支持国密的,我想这也是老共想在各方面推广国密的原因吧,如果那天出事了,用途就上来了,公安是能解密国密加密的

  5. 39i   在小组 2047 回复文章

    当前除了微信,还有哪些在境外境内都能注册,免费和中国大陆人士通讯的APP?

    @消极 #178902 这个很多人都明白,但是这种通讯你不认为麻烦,但别人认为麻烦啊,所以这些通讯是很难普及开来

  6. 39i   在小组 2047 回复文章

    谈一下被很多人忽略的硬盘隔离

  7. 39i   在小组 2047 回复文章

    谈一下被很多人忽略的硬盘隔离

    楼主说的很好,再补全一点 建议:tails、whonix 、qubes这三个安全系统,尽量安装到虚拟机或是优盘,本机系统最好不要有任何的国产软件,不要用任何的国产输入法

    Tor建议用可信的vpn或是自己搭建的vpn前置代理,不要用Tor直接翻,Tor的标识头太明显,国内直接访问的没有几个人,防止以后公安进行排查筛选

    强烈不建议非Tor浏览器访问2047、某葱等网站,这些浏览器有通过WebRTC泄露你真是ip的风险,至于有没有WebRTC泄露真实ip的风险,建议自行谷歌查询WebRTC test

  8. 39i   在小组 2047 回复文章

    当前除了微信,还有哪些在境外境内都能注册,免费和中国大陆人士通讯的APP?

    在自主可控的国度是不允许你这样的app存在的,要么可控:关键字监控、网警巡查、对接公安等,对于不可控的就:墙掉它,屏蔽它,如果在服务在境内不接受“可控”,你是国人开办的,那就抓捕,扣帽子,加罪名,关闭服务器,没收服务器,外国人开办的,就干扰阻止正常运行,类似谷歌、必应

    还有一种就是小众的聊天软件,可能还没被上面注意到,但是在这个过度,一旦出事,服务商向上上交数据是分分钟的事情,再说你连微信都不敢用,敢用小众的?

    答案就是:不存在

    除非你自己搭建开源聊天系统,而且放在境外才足够的安全,问题来了,这样为什么不直接用国外的聊天软件

  9. 39i   在小组 2047 回复文章

    【问题】怎样在失联情况下自动传递信息?

    因2047前站长失联有感。目前连他的身份都不知道。

    后面半句话好评,说明站长保密工作做得好,至于前面半句,说明安全措施没做好。

    我认为考虑失联这种情况,不如先做好安全措施

    安全措施如下: 网上键政与真实信息隔离,如用户名不要与国内常用的id一致

    网上键政环境与真实环境隔离,如键政环境全程在虚拟机,或是买一台廉价的设备网上键政,设备全盘加密

    网上键政不要留下太多个人的鲜明信息,如用词,又如2047的某帖子,某用户品葱发的回帖,国内知乎直接采用了

    至于失联情况下自动传递信息,我认为有以下两种形式:

    类似这种:找个可信人的邮箱(或其他通讯方式),每天自动发送邮件(信息)给你,你要回复约定好的关键字,如果指定的时间没回(会简单编程更好),可信人就进一步采取约定的好联系方式联系你,确保你没有失联

    类似这种:每天报平安,前面几句话,别人都看得懂,但却是你们的暗号之类,有类似的暗号表,暗号聊天:A->B,B->A,A->B...经过几个步骤就知道不是A或B不是假冒,人身也安全

  10. 39i   在小组 2047 回复文章

    如果我用手机上2047论坛,微信APP能够把我的真实身份锁定识别吗?(如果能)它具体是如何做到的?

    看到这个问题几天了,实在忍不住还是临时注册了这个帐号回答你。手机微信能不能看到你上2047,答案是:不清楚

    但是你用手机chrome查看2047,在非隐私模式下,国产app是能截屏你访问的界面的,这点之前就被曝光过,在以前某个弹出式摄像头手机上是得到验证的,你可以找相关的新闻,应该还是能找得到的。

    在隐私模式下,虽然国产软件不能截屏,但是chrome 的WEBRTC是有泄露你本机ip的风险

    另外,就算微信不能读取你访问的界面,但是你用国产手机,内置的手机管家,这些手机管家是以手机厂商给予高权限运行的,而高权限(不知道是不是最高权限ROOT)是存在有读取全盘目录的能力的,当然就能读取浏览器缓存文件,浏览器书签访问历史等信息,而且这些手机管家是跟腾讯、360、安天之类的安全厂商合作。。。希望我说的楼主能明白

    值得一提的是MIUI13内置反诈,在国家公安特权机构面前另开后门基本上是必然的,楼主可以查查因为反诈被警告,被罚款等案例,希望引起警觉

    手机的imei是全球唯一的,这是用户指纹信息,另外一些广告厂商也能过其他指纹信息识别用户

    建议楼主尽量不要买国产手机用来从事这些用途,即便要买就买能解锁,能刷国外系统,能root的

    提醒一下:手机上2047请选择第三方可信或是自己搭建的vpn做前置代理,配合tor进行访问

    第三次修改了,再补充一点: 千万不要用国产输入法,特别是带云输入的,之前测试过某狗输入法,通过抓包测定,这天杀的国产输入法,我输入的每一个字都上传到北京的某服务器,所以我现在换了非国产输入法,如果你用国产输入法,那么不好意思,你前面所做的一切安全措施也是枉然

    另外还有一个疑问:chrome自带的翻译,用的服务器连接的是谷歌在国内的某服务器,不知道安全不安全,我还在思考。。。。