文章
江湖

关于安全性

thphd  ·  2020年9月4日 2047前站长

由来:/t/7222

参考:/t/7124

首先你从公网访问2047呢,你是通过HTTPS的,这个HTTPS是一种加密,别人(比如ISP或者国安)只能看到你是在访问2047.name这个域名,但是看不到具体内容的,比如说用户名,访问了哪个页面,这些是完全看不到的,因为HTTPS除了目的的IP地址和主机名不加密(加密了的话,cloudflare怎么知道要把数据包给谁),其他一切都是加密的。

如果你连访问2047.name这个域名都不想透露给别人,@沉默的广场 有ESNI教程的,可以去看。

再不然你就用Tor或者其他VPN、梯子等等的访问本站,这样ISP和国安就看不到你连接2047,最多只知道你连接了Tor、VPN或者梯子。

本站Tor地址见页面底部。

那么新品葱这两天被攻击到无法访问了,是不是用户数据就不安全啊?当然不是的,因为攻击分很多种,如果别人是想偷你的用户数据,那就要通过你网站的漏洞,比如你的网站允许执行任意php代码或者sql代码这样的漏洞就可以,但是这种漏洞并不是想要就有的,而且偷数据的关键是悄无声息,现在品葱已经无法访问,所以显然不是在偷,而是另一种形式也就是DoS攻击(请自行谷歌)。这种攻击只是让你短时间无法访问,但不会导致数据泄露,就好像有人用车子堵着中南海门口,出不去进不来,但并不会导致中南海里面的秘密泄露出去。

至于本站有没有丢数据的漏洞,首先我们的程序是自己写的(不是像品葱那样拿来抄的),其次我们不用PHP也不用SQL,尤其我们的工程师是对security highly-aware的,所以我们认为,普通用户应该盲目地信任我们,挑剔的用户就去审计代码吧

菜单
  1. 习猪习 抵抗者运动
    习猪习   抵抗者运动
  2. 习猪习 抵抗者运动
    习猪习   抵抗者运动

    很有可能是在共匪入侵 Cloudflare 帐号或者人身威胁下操作设定了阻断所有连接的 Firewall Rule

  3. thphd   2047前站长

    @习猪习 #9113325 是,现在看来很有这个可能,因为站长如果对cloudflare还有控制,不应该搞这么久还没恢复

    一种可能性是站长喝多了,正在睡觉,没有起床检查自己的站。

    考虑到mohu也是在同一个服务器上,既然mohu还活着,服务器应该还是安全的。

  4. 爱狗却养猫 饭丝
    爱狗却养猫  

    说实话这事真让我有点担心……我其实无所谓品葱本身怎么样,但我希望人能没事…………

    我在回想当初2049出事时候发生的事。首先是小二失联(4月19日,周日),然后4月21/2日左右无法访问超过10小时(我记得是Error 521/523,不是403,也不是1020)。那个时候熊猫应该问出了2049的信息,断开了服务器。之后开站,可以合理假设后台某些代码已经改动过了,放着就是钓鱼用的。

    所以如果熊猫控制了品葱站长,根本不用发动什么攻击(费钱);一旦掌握了站点的所有信息,可以直接关站,或者先关站改造成蜜罐再打开。不去关服务器而在CF上设防火墙规则,感觉多此一举。此外@thphd 说的膜乎还活着,似乎也是支持品葱站长肉身依然安全的一个证据。

    (关于膜乎问题还有一个可能,就是膜乎服务器的信息只有膜乎站长知道,以落实“膜乎独立”;所以无论品葱站长怎样,膜乎都还安全。)

    此外品葱和2049有一点不同,就是前者人气高,而且思想倾向比较强烈。在香港反送中事件的时候,还起到了宣传和交流平台的作用,也被中共攻击过一次。因此从逻辑上来说,由于中共最近比较忌惮内蒙问题,因此希望掐断内蒙人可以直接串联的墙外平台,是一个合理猜测。而如果攻势比较强烈,品葱站长花时间升级服务器和CF服务等级什么的,是有可能的。


    update:也有可能是和旧品葱类似的情况(活跃葱油身份暴露,警方以此威胁站长关站)。

  5. 习猪习 抵抗者运动
    习猪习   抵抗者运动
  6. 习猪习 抵抗者运动
    习猪习   抵抗者运动

    新品葱站长有没有其它的公告或者联络方式?如果人没有事应该会及时说明

  7. 爱狗却养猫 饭丝
    爱狗却养猫  

    @习猪习 #9132801 这是个技术问题:假设我是品葱站长,CF被人控制了,我是否可以重新注册一个CF号连接品葱?

    以及又一个技术问题:域名被控制而服务器没有被控制,会发生什么现象?

    如果特征符合,你说的这种情况可能性增大。

    考古以前的帖子可以发现,小二说过品葱的域名是他注册的,但早就移交了。在小二被抓和大家知道此事之间有至少两天的时间差,这个时间差或许足够熊猫获取品葱域名账号的部分信息,然后黑进该账号。

  8. 习猪习 抵抗者运动
    习猪习   抵抗者运动
  9. 习猪习 抵抗者运动
    习猪习   抵抗者运动
  10. 习猪习 抵抗者运动
  11. 爱狗却养猫 饭丝
    爱狗却养猫  

    sigh of relief。人没事就好。

  12. 习猪习 抵抗者运动
    习猪习   抵抗者运动

    虽说恢复了,但是不能掉以轻心,该备份的还是需要备份,这次有可能和小二被抓后 2049bbs 下线几个小时一样

  13. 习猪习 抵抗者运动
    习猪习   抵抗者运动

    不忍回想2018年11月时旧品葱说没就没了,没有适时的数据备份,只能靠网页快照找回断垣残壁

    更新一下,确切地说是 2018年10月30日

  14. leigh-bur  

    请问如果密码忘记了是可以找回的吗? (很明显……我已经忘了注册了大概24小时不到的密码了)

  15. thphd   2047前站长

    @leigh-bur #9553599 我可以把你这个账户跟原来的账户关联,但仅此一次。

    找回密码的话,需要提供邮箱,但是我们其实不想要用户的邮箱

  16. leigh-bur  

    @thphd #9556561 谢谢你 - 我的旧账户是https://2047.name/u/5206 只是想保留这一个在pc/mohu都通用的用户名而已。再次谢谢了

  17. Sylvia   𝓢𝔂𝓵𝓿𝓲𝓪🍊✨

    为什么页面上会不时地弹出test呀()

  18. thphd   2047前站长
  19. Neko 守序善良
    Neko   人类社会永远在变化。

    松了一口气。反贼社区,一个也不能少。多一个社区,党国就多一个出血口,2047就多一分安全。

  20. linda   rico y libre

    那么2047这两天被攻击到无法访问了,是不是用户数据就不安全啊?当然不是的,因为攻击分很多种,如果别人是想偷你的用户数据,那就要通过你网站的后端漏洞,比如你的网站允许执行任意php代码或者sql代码这样的漏洞就可以,但是这种漏洞并不是想要就有的,而且偷数据的关键是悄无声息,当时2047已经无法访问,所以显然不是在偷,而是另一种形式也就是DoS攻击(请自行谷歌)。这种攻击只是让你短时间无法访问,但不会导致数据泄露,就好像有人用车子堵着中南海门口,出不去进不来,但并不会导致中南海里面的秘密泄露出去。

    还有一种形式是前端漏洞挂马,比如2021年底小鹿乱撞对2047name和拜登论坛的攻击,是利用网站渲染的前端漏洞,挂马攻击,但是挂马攻击者只能获得访客的ip地址,而不能简单获取用户的其他信息。