此处所说的最小化功能是没有JS, 没有图片, 没有多媒体, 只靠HTML和CSS实现, 只保留基本的发言和浏览功能.
@47小管家
请问在墙国自由发言算不算"特殊需求"?
我(不论我是用户还是站方)宁可使用爷爷时代的UI(只是说美观程度, 足够的易用性还是应该的)也不愿意为了花哨界面和功能增加攻击面.
反贼网站本来就应该安全第一, 而不是考虑大多数人会不会用, 就算设计出花来反贼网站也依然是小众.
顺便我也感觉这种极简设计也可以当作一种过滤器, 过滤掉喜欢花哨功能但不注重安全的用户, 让用户质量越来越高(虽然数量可能会少一些).
@47小管家
危险并非全部来自已知风险来源, 系统越简单出漏洞概率越低, 我感觉thphd事件的根本原因就是过度追求花哨功能导致出现了漏洞.
这要看你怎么定义用户质量了,仅仅paranoid并不能给一个交流信息为主的社区带来价值。作为一个信息交流的平台,能够提供有质量的信息的用户才是有价值的,而这些人未必是安全导向的。
其实Thphd栽倒和花哨功能没啥关系。2047被跨站脚本攻击就是Thphd丝毫没对站外脚本做限制。搞个脚本白名单就没这事了。
前端脚本攻击只要禁止站外脚本就能避免,否则就是服务器被黑了,那时候服务器端之前搞不搞js也没什么区别,完全看用户端防护程度。
如果没有站外脚本的隐患,主要还是网站技术要管好服务器,而只允许服务器端js相比完全禁用js不会增加服务器被黑的概率。
理解您对于安全的顾虑,您希望在墙国自由发言亦是合理的需求。2047作为不受中共审核的中文平台必然有受到攻击的风险,必须考虑站方与用户的安全;与此同时2047作为一个多种话题的交流平台,希望能给不同知识背景的用户提供较好的交流体验。
如果全力追求安全,2047应该作为一个no Javascript的暗网网站存在;而如果全力追求多样化用户体验,2047则应增加各种流行的社交功能。二者难以兼得,因此2047目前追求在安全和用户体验之间达到一个合理的平衡,包括:
建立在明网上以便用户参与。
不记录IP、浏览器操作系统或其他任何用户标识信息(见《使用协议》)。
启用内容安全策略,使用白名单禁止一切站外脚本。
加固服务器,预防其他可能被攻击的漏洞。
使用站内JavaScript脚本使得用户能较为方便顺畅地使用内容编辑、点赞、设置等功能。
我们建议用户们使用Tor这样的匿名网络,并使用加固的浏览器(例如Tor browser)。这种情况下,启用站内javascript safer模式并无额外风险。如果启用双虚拟机+Tor的方案,则用户可以做到安全自足。
总之,如果用户用tor浏览器登录2047,攻击者锁定2047用户IP的方式只有Cloudflare失陷/2047服务器失陷+ tor三层节点都是蜜罐+ 前置代理失陷,中招概率远小于中共明年倒台。
禁用js的做法已经过时了,现在很多网站离开js都无法正常工作。另一方面现代js引擎(比如V8)也不像2010年代那么不堪。禁用js就像是有电脑不用,非要去用软盘和传真一样。
最核心的安全措施是用tor,用了tor之后再想办法加固浏览器和操作系统。Linux上有很多沙盒软件可以限制浏览器的行为,使用这些软件不需要了解浏览器或者系统内核的工作原理。
根本解决方法是双虚拟机+Tor,有了这个随便js都无所谓。
禁用js的做法已经过时了
尽管我们是否需要做到这种程度有待商榷, 但禁用JS在需要高度安全的环境(比如自由世界中的各种非法暗网, 合法的securedrop)从未过时而且是标配.
根本解决方法是双虚拟机+Tor,有了这个随便js都无所谓。
就算用双虚拟机也不应随便JS, 能禁用JS的时候也应该尽可能禁用, 比如说恶意JS收集用户按键鼠标习惯特征, 以特定模式发送数据包帮助锁定等.
参考:
https://pincong.rocks/article/4183
https://pincong.rocks/article/3650
我们有些同志啊,读书读了很多,但是不会举一反三,比如上面说的恶意js,我不用js一样可以帮助流量分析。比编程随想方案更好的是高延迟转发方案。但是这个方案就会带来更多的问题,比如高延迟转发的服务,没有tor这样的现成低延迟网络,自己要搭建,那特征就会多很多。
所以啊,看我的头像,脑子要2000伏脉冲刺激一下。
永遠不要對所謂反賊論壇的功能提更多要求。由於對安全性的忽視。這些網站的倒閉多半是他們應得的。 還有一點,就是碼農界的一個潛規則:對於開發者而言,白嫖用戶提出的需求改進應該由他們自己完成。說粗俗一點就是你的欲望幹我屁事。 所以你的想法我也覺得很不錯,但你能先獨自完成你想要的前端框架再說。完成之後再來和這裏的站長商量。看對方是否願意接納你的方案。
您举的例子没有可操作性,例如“恶意JS收集用户按键鼠标习惯特征”,且不论鼠标运动是否构成可供识别的特征,请问收集了特征以后和什么对比?更不用说这工程上的困难,我知道有一些无交互验证码可以记录并上传鼠标运动,但是这很占用CPU和网络资源,几乎不可能在所有页面上部署。
再比如“以特定模式发送数据包帮助锁定等”,这要以什么模式发送数据包?如果这模式是用户的身份,那已经知道了用户的身份,何必再去发送一遍?如果这是指差分流量分析,那么您需要证明有技术确实可以从海量互联网噪音里,辨别出这几百个字节的ajax包。
诚然我认为“关闭js减小攻击面”的说法是正确的。但是面向大众的论坛不是小众技术爱好者自娱自乐的乐园,对于那些不懂JS为何物的用户,提供接近主流商业网站的体验是绝对有必要的。
@47小管家 虽然系统越简单越安全, 需要注意的是不必要的改动程序也能导致bug/漏洞.
这里说的"高延迟匿名网络"是指数小时甚至数天, 数周这种长时间跨度, 比如匿名邮件系统中推迟很长时间才发送等, 目的是让通过夸张的随机延迟来掩盖活动时间痕迹, 普通的(就像普通的I2P暗网)相差几秒甚至相差几分钟都对时间分析影响不大.
据我所知的应用场景是不要求实时传递的消息传输, 比如I2P-BOTE(每一跳都增加随机延迟).
相关阅读:https://www.cse.wustl.edu/~jain/cse571-11/ftp/anonym/index.html#High
应该如何理解你说的"I2P确实是高延迟网络"?根据我搜到的官方文档delay选项尚未实现:https://geti2p.net/spec/tunnel-message
你说的"I2P确实是高延迟网络"是指链接中的官方I2P文档吗?还是指的是I2P-Bote或Syndie这种上层应用而已?
资瓷,PTT都这么丑了台湾人还在用,可见网站外观是什么样不是关键
