这些被爆破/终止服务/跑路的机场自己也有问题。

比如：内置审查规则。

本人知道的：https://t.me/s/airkoryochannel rixcloud 喵帕斯 sockboom

https://telegra.ph/rurirei-11-06

Android by default has a strong security model with full system SELinux policies, strong app sandboxing, full verified boot, modern exploit mitigations like fine-grained forward-edge Control-Flow Integrity and ShadowCallStack, widespread use of memory-safe languages (Java) and more. 本文旨在讨论人们破坏安卓安全模型的行为，而不是批评安卓本身。

解锁 BOOTLOADER

Unlocking the bootloader in Android is a massive security risk. It disables verified boot, a fundamental part of the security model. VERIFIED BOOT 确保基本系统完整，确保启动链，从而阻止恶意软件存在。如果攻击者确实获得了设备的极高权限，VERIFIED BOOT 会在重启后重置他的所有更改，并确保对设备的控制无法持续。

VERIFIED BOOT 不仅仅是人们认为的「仅确保物理安全」。 它的目的是针对远程攻击，「确保物理安全」是一个不错的附加效应。

绝对不要解锁 BOOTLOADER。

ROOT

ROOT 设备允许攻击者得到极高的权限。 Android 的架构基于 最小权限原则. 默认情况下，系统中不存在 ROOT 用户，请看full system SELinux policy. 即使 INIT SYSTEM 也没有 ROOT 的权限. 把操作系统都没有的权限交给应用层是很愚蠢的.

ROOT 权限的名单式授权也不能确保安全，攻击者完全可以伪造用户输入，比如 CLICKJACKING。他们也可以在你赋权的 APP 里植入风险。

人们会说「如果 ROOT 不安全，为什么 Linux 有？」. 实际上，Linux 并没有 Android 那样的 安全模型. 在大多数 Linux 上, 获取 ROOT 非常简单.

自定 ROM

主流的自定 ROM 都会破坏安全模型，比如「禁用 VERIFIED BOOT」，「使用 USERDEBUG BUILDS」，「禁用 SELinux」，「不提供 FIRMWARE 更新」，以及很多。 以上全占的一个 ROM 是 LineageOS

LineageOS

LineageOS 使用 userdebug builds which 带来了大量增加攻击面的调试工具, 减弱 SELinux polices，向 adb 提供 ROOT 权限。 LineageOS 需要解锁 BOOTLOADER 以及禁用 验证系统完整性的必须：VERIFIED BOOT。不提供回滚保护，攻击者可以降级此系统，并利用已被修复的风险漏洞。（LineageOS 自带的 Updater 应用就允许您降级）。 不提供 FIRMWARE 更新，您无法获得修复风险漏洞的补丁程序。 这样的安全问题还有很多。

LineageOS (以及其他许多自定 ROM) 注重自定义而不是安全/隐私。

MicroG / Signature Spoofing

MicroG 是 Google Play 服务的流行替代方案。 许多人借此摆脱 Google 追踪他们的设备，其实他们未必了解这会危害安全性，因为 MicroG 需要 伪造签名 ，允许 APP 请求绕过签名验证。

尽管有的 伪造签名 的实现不那么糟糕，比如CalyxOS 的.

防火墙

AFWall+ or Netguard 常被用来阻止某个 APP 联网，实际上，不起作用。任何 APP 可以用 IPC 绕过限制. 即使你切断了某个 APP 的网络连接, 也不能阻止其向其他应用发送 intent (比如浏览器) 来完成相同的网络连接.

许多 APP 无意中已经做到了这一点,通过下载管理器.

最有效的阻止网络连接的方法是让其在其独立的 工作资料 中运行，它无法与资料外的 APP 联络。同时撤销其INTERNET 权限 。（GrapheneOS 可以做到）

总结

安全/隐私的最好选项是用 Pixel >= 3 并安装 GrapheneOS. GrapheneOS 不包含追踪器（Pixel 和许多厂商的原始系统有很多追踪器），并增加了许多加固比如hardened memory allocator, hardened C library, hardened kernel, stricter SELinux policies and more.

Pixel 是最好的硬件，有许多加固措施，比如 full verified boot 并包含对用户自定密钥的支持, Titan M, hardened basebands, a good IOMMU to isolate hardware devices, fine-grained forward-edge kernel Control-Flow Integrity, kernel ShadowCallStack, etc.

注意 GrapheneOS 并不能避免您自己破环自己的隐私。无论用什么操作系统，您都要小心才行。

Source: https://madaidans-insecurities.github.io/android.html

Is Stack Overflow accessible in China?

我笑死，一群洋人SB还活在梦里。你们给共产党提鞋都不配

如果浏览器或者操作系统支持请使用 DoH 或 DoT。

e.g.

tls://dns.google:853 https://dns.nextdns.io/dns-query https://dns.cloudflare-dns.com/dns-query

@消极 #104127 请问是如何盗用的？或者，个人的 SSN 是如何被第三方知道的？

身份盗用的案例，您能贴一些外链吗？

为什么不验证 SSN ？

根据 IP 或者用户名接收并只记录一次 POST 吗？

作者

刘刚，云晓春，方滨兴，胡铭曾

(哈尔滨工业大学计算机科学与工程系 ， 黑龙江哈尔滨150001)

前言

针对已有的网络控管方法的缺点，提出一种基于路由扩散的大规模网络控管的新方法 。 阐述了其基本网络拓扑结构、动态路由协议的选取和配置等 问题，并同已有的方法进行了详细对比。 该方法具有路由器负担小、控制规则容量大、智能化、可扩展以及一处配置多处生效等优点，适用于大规模网络控管 。

下载链接

很多国家都封锁色情服务，nsfw屏蔽都很合理，造谣内容屏蔽也算合理。

请看 https://www.iyouport.org/数字焚书和网络维稳：149个国家-地区的互联网监视/

"公海有人讲话我要 delete （删除）它、有人 PM（私讯）我访问又要 delete 了他，"她说，恐惧让自己有点"走火入魔"，想要假装自己不是管理员。

https://telegram.org/blog/filters-anonymous-admins-comments

Anonymous Group Admins

Telegram is increasingly used to organize protests for democracy and freedom. Today we're introducing another tool for safer protests.

Toggle Remain Anonymous in Admin rights to enable Batman mode. The anonymized admin will be hidden in the list of group members, and their messages in the chat will be signed with the group name, similar to channel posts.

@Wizard #102189 正在用 phantomsocks（README 里的 其他平台 的链接） ，效果很好。

看起来检测 SNI 屏蔽方式的 pixiv， steamcommunity，pornhub 也可以这样绕过。 （测试了 ttl 和 w-seq）

扫描 Google IP gscan_quic 很好用...好久没用 phuslu 的 goproxy 了

@Wizard #102174

3.做成静态站点（无 JS）可能对 Tor 用户更友好。

那么发帖，评论要如何实现呢？

算了。

INTANG，Geneva，SymTCP 都需要 netfilter

@Wizard #102181 谢谢您。我去看一下那篇论文。

@Wizard #102163 请问 desync 是指 Ignoring TCP reset packets sent by the GFW. 吗？

看到一个和您所说有关的项目 https://github.com/seclab-ucr/INTANG

能否具体解释一下？

@Wizard #102159 确实。

google.com 网页 是可以通过 QUIC 传送的。

您还能举出几例这样的吗？路由黑洞可以屏蔽而 RST 无法做到的。

目前观测到部分地区对 GitHub 的 IP 进行 RST，无论以什么 servername （或者 无 servername）试图建立 加密连接都会收到 reset。

那么，为什么不大规模部署这种检测方式（基于检测 IP 的 reset） 呢？却对 Google FB 的 IP 进行昂贵的路由黑洞？（CDN 的 IP 不在讨论范围内）

请先上传您的公钥呢

@天下无贼 #101646

…………果然不行，无论多少回车，最后都会被替换成1个

abc

\姨葱</mark>
\品韭</mark>
\偽蔥</mark>
\伪葱</mark>

edit:

原因大概是：

1. 区分自动折叠和用户的换行
2. plain text 下更好看

另外，在行末插入两个空格，然后一个回车也会换行

多个换行的问题，你可以试试 abc <br> <br> <br> <br> abd

P.S. 发现了两个有趣的帖子：
Should the markdown renderer treat a single line break as <br>?

What is the reason for the top secret two space newline markdown weirdness?

注意：图片地址全部为 archive.today

来源：（存档） http://iamkush.me/how-india-censors-the-web/

原文：

更新（2020年4月11日）：该论文已在ACM Web Science 2020 上接受。可以在arXiv 上获取预印本。

世界各地的国家机器加入审查互联网的行列，法律的技术手段多种多样。印度也不例外：「印度政府」可以合法地要求「互联网服务提供商 」(ISP)行使管辖权，阻止其用户对特定网站的访问。这个和中国，伊朗的管辖权不一样，「信息技术法案」的69A 和 79 条允许（印度）中央政府和各地的法院提出屏蔽网站的命令，这些命令，互联网服务提供商有法律义务遵循。这些命令几乎全部不公开。

近期的事件和印度的黑箱网络审查迫使我们， 互联网和社会中心 研究印度的审查机制。 我们想回答印度互联网用户遭遇审查的两个问题：去年至今———已经有了回答

1. ISP们使用什么技术手段屏蔽网站？
2. 所有ISP使用同一个阻止名单吗？

迄今为止，这项网络审查研究是印度境内最大的，无论是「审查机制」还是「PBW」（潜在被阻止网站）的数量。

数据策划

我们有三个PBW来源

政府命令

网站/ URL阻止命令可能来自印度政府（《信息技术法》第69A条）。 这些命令通常不在公共领域，因为保密条款阻止任何一方公开其内容。 我们收集已发布和泄漏的政府命令。

法院命令

印度的各个法院也有权发布网站封锁命令（《信息技术法》第79条）。 并非所有此类命令都可以在公共领域获得。 不过，印度政府和 BSNL （一家以ISP身份运营的上市公司）提供了一部分，由于面临知情权要求。（ RTI )

用户报告

互联网自由基金会 收集用户发现新的屏蔽网站的报告，并发布出来。

这些数据的总和是 9673 个 URL ，实际上，5798 个独立网站。我们只统计活跃的站点，因此，排除了不能访问（不能通过Tor访问）的，最终形成了 4379 个 PBW 的列表。

测试

我们设计了 4 个测试，分别探测在 DNS,TCP,HTTP 和 TLS 级的封锁。为了简洁起见，本文中将省略对测试的详细说明。 详细信息可以在我们的预印本 中找到。

我们通过来自六个不同ISP（Jio，Airtel，Vodafone，MTNL，BSNL和ACT）的连接为我们的列表中的每个网站运行这些测试，这些服务总共为印度98％以上的Internet用户提供服务。 我们确认，ISP们使用不同的技术手段屏蔽站点，不同ISP的阻止名单也各不相同。

结果

在审查方法方面，我们的结果证实，印度的ISP自由使用他们希望的任何技术过滤机制：实际上，在ISP之间没有单一的通用机制。

我们发现ISP使用了多种技术来阻止访问，例如DNS 污染和HTTP主机标头检查。 我们的测试还可以看出印度最大的ISP（Jio）正在使用SNI检查来屏蔽HTTPS通信，这是之前没有在印度被记载使用过的手段。

印度ISP部署的不同技术手段

此外，我们注意到，使用多种检查机制的所有ISP都不会通过每种机制屏蔽相同的网站。 例如，ACT仅使用DNS审查来屏蔽233个网站，仅使用HTTP审查来屏蔽1873个网站， 同时使用这两种方法屏蔽1615个网站。 这样的不规则如下所示。

(i) ACT,(ii) Airtel 和 (iii) Jio使用的方法。我们注意到同一ISP使用多种技术来阻止不同的网站。

有趣的发现

我们的研究记录了不同印度ISP的网站黑名单中的大量不一致之处。 从我们的4379 PBW列表中，我们发现4033被至少一个ISP的阻止列表阻止了。 在绝对数量方面，我们注意到ACT阻止了最大数量的网站（3721）。 与ACT相比，Airtel阻止了大约一半的网站（1892）。

也许最令人惊讶的是，我们发现4033个网站中只有1115个网站（仅占27.64％）被所有六个ISP阻止。 简而言之，我们找到了确凿的证据，证明印度的互联网用户可能会有截然不同的网络审查体验。

分析黑名单中的不一致之处还可以清楚地看出印度的ISP是：

1. 没有正确遵循网站屏蔽命令（或是之后的解除屏蔽命令）
2. 在没有命令的情况下随意屏蔽网站

这具有重要的法律后果：印度的“网络中立性”法规 已编入ISP与印度政府签订的许可协议中，明确禁止了此类行为。

我们的研究还指出：ISP们选择的技术手段如何降低了透明性，在印度的政府命令的审查中。有些 ISP 有提供屏蔽通知，有的没有这样做。比如 Airtel 用 NXDOMAIN（不存在的域名） 回复被对被屏蔽网站的 DNS query。Jio 使用 SNI 检查 来封锁网站，这让他们从技术上没有办法提供审查通知。 因此，互联网服务提供商选择某些技术方法会加剧对允许网络审查的不透明的法律程序的担忧。

总结

网络审查是对所有印度人保证的言论自由权的缩减。 迫切需要重新评估印度网络审查的法律和技术机制，以确保审查是透明的，并且执行者要负责。

互联网服务提供商和政府对网络审查的异想天开的态度使得必须开发一种众包工具来从全国不同的角度监测和衡量这种审查。 这将进一步揭示印度各地ISP审查制度实践的（目前未知的？）地域差异。

为了进一步探究这一点，我们将网络测试移植到了android应用程序中，并寻找愿意在其移动网络上运行它的志愿者。 整个过程将完全是匿名的； 我们将不会收集任何特定于用户的信息。 如果您住在印度，请考虑运行Censorwatch 。

Acks

This study was done in collaboration with Gurshabad Grover and Varun Bansal at The Center for Internet and Society, graciously supported by the MacArthur Foundation.

进入 21 世纪 20 年后的今天，西方面临的主要挑战已经变得十分明显：中国重新回到中心舞台。从 1980 年至 2020 年，西方很好地应对了中国改革的第一阶段——在此期间，中国没有发动或加入任何战争——但在第二阶段，西方正在搭起让自己失败的舞台。

三个错误的假设将会导致这种失败。第一个假设是西方人心目中最为根深蒂固的想法，那就是只要中国还在中国共产党的统治之下，它就无法成为一个好的合作伙伴。上世纪 80 年代末苏联解体后，共产主义本该一道被扫进历史的垃圾箱。因此，按照这种观点的逻辑，世界怎么能与一个压迫性的、统治方式与中国人民的智慧对立的政党合作呢？

然而，有足够的证据似乎表明，大多数中国人并不认为中国共产党具有压迫性。事实上，最新的《埃德尔曼信任度调查报告》(Edelman Trust Barometer) 似乎表明，中国政府的民意支持率在世界上名列前茅。斯坦福大学 (Stanford University) 美籍华裔心理学研究员 Jean Fan 在 2019 年访问中国后观察到，「中国正在……快速变化，如果不是亲眼所见，其变化之快几乎让人无法理解。与美国的停滞形成鲜明对比的是，中国的文化、自我观念和士气正在快速转变——主要是向好的方面转变。」

尽管如此，很少有西方人能避免第二个错误的假设：即使大多数中国人对中国共产党感到满意，但如果中国立即转向民主制度，那对中国人以及世界其他国家的人民会更好。

在苏联解体以及随后俄罗斯人民生活水平急剧恶化之前，部分中国人可能还会拥护立即转向民主制度。但现在，许多人毫不怀疑，一个软弱的中央政府将给中国人民带来巨大的混乱和痛苦。为了寻找这方面的证据，他们把目光投向中国 4000 年的历史，尤其是从 1842 年至 1949 年的所谓「百年国耻」。

此外，民主选举产生的政府不一定是具有自由派意识的政府。1961 年，印度民主选举产生的总理贾瓦哈拉尔·尼赫鲁 (Jawaharlal Nehru) 不顾时任美国总统约翰·F·肯尼迪 (John F Kennedy) 和英国首相哈罗德·麦克米伦 (Harold Macmillan) 的抗议，夺回了葡萄牙殖民地果阿。一个民主的中国在处理香港和台湾问题上可能会更加没有耐心。

民选产生的中国政府也将不愿被外界视为在处理新疆的分离主义运动方面软弱无能——看看印度政府在克什米尔发起的镇压行动就知道了。事实上，中国没有一个邻国——包括亚洲最大的几个民主国家——在推动北京的政权更迭。一个稳定的、可预测的中国，即使它变得更加强势，也比替代情景更好。

第三个错误的假设可能是最危险的：一个民主的中国必然会接受西方的规范和做法，并愉快地成为西方俱乐部的一员，如同日本一样。

这并不符合正在席卷亚洲的文化动态。土耳其和印度都是西方的朋友。然而，土耳其已经从穆斯塔法·凯末尔·阿塔图尔克 (Mustafa Kemal Ataturk) 的世俗意识形态转向雷杰普·塔伊普·埃尔多安 (Recep Tayyip Erdogan) 的伊斯兰意识形态，而印度总理已从亲英的尼赫鲁 (Nehru) 变为笃信印度教的纳伦德拉·莫迪 (Narendra Modi)。

我们必须承认，一场去西方化的海啸正在扑面而来。更重要的是，当埃尔多安宣布将圣索菲亚大教堂 (Hagia Sophia) 改建成一座清真寺、而莫迪决定在一处有争议的宗教遗址重建早已消失的印度教寺庙时，他们都在表达一种回归前西方文化根源的愿望。

拿破仑 (Napoleon) 曾警告西方国家「中国是一头沉睡的狮子，当这头睡狮醒来时，世界都会为之发抖」，他说的没错。与土耳其和印度相比，中国潜藏的反西方情绪更有可能如火山一样爆发。如今，唯一强大到足以压制中国民族主义力量的政治力量是中国共产党。

中国共产党的继任者很可能远没有这样理性。记住这一点，而不要不假思索地继续现行的对华政策。西方国家是时候彻底重启并重新考虑其在对华思维中的所有根本前提假设了。西方各国政府应该学习如何与中国领导层共处合作，而不是期盼其转型或早日灭亡。

Translated by Nei.st

Read on telegra.ph: https://telegra.ph/西方应听从拿破仑的建议让中国继续沉睡-10-02

Source：https://www.ft.com/content/1948448c-d5c8-4e3d-8e40-a670e69235c8（PAYWALL）

https://archive.vn/YTCyl

https://archive.vn/qfDck

本帖收集一些奇妙睿智发言

图片址为 archive.today 或 telegra.ph

Web Jan 13 2020 CST: 本人删除了无关的内容

您可以去 https://archive.vn/Adn41 查看删除前的存档

@rebecca #100864 上海电信的篡改结果是由GFW的抢答行为造成的缓存，发生在第一次（或者TTL归零时）上海电信向其他 DNS 服务器请求时。

政府大概不会「要求」 DNS 提供者修改记录，而是通过造成大量错误的缓存达到目的。

这种故意发一个错误的IP地址的做法，就是所谓的 DNS污染(DNS poisoning) 。

我以为 DNS 污染是被观察到的现象：GFW无差别抢答本地区的特定DNS请求，甚至包括来自CN外的，对位于CN境内的根域名服务器的请求，造成地区内大量错误的缓存。

你所说的情况应当为「DNS劫持」

See Also: https://www.williamlong.info/archives/3356.html

@爱狗却养猫 #100852 是的,www站也没有被墙。 话说回来，有条件只封锁二级域名为什么要一刀切呢。

国内DNS服务商受政府控制，政府要求污染DNS的时候，服务商只能同意。而国外的DNS服务器（比如google DNS），要么直接被中国政府屏蔽，要么DNS请求在返回过程中被中国政府篡改，令用户最终收到错误的IP地址。

「DNS请求被篡改」> 应当是被部署在各地的GFW「节点」（？）抢答。

Update: Nov 21 2020

Update: Oct 31 2020

Update: 随机找了几个 wordpress 的博客，都没有被封锁wordpress 主站也可以直连。可以判定只有 2049post 是 target 了

稍微整理了一下

看起来 wordpress.com 和 abc.wordpress.com 没有 DNS 污染 也没有检测 SNI，可以正常访问啊。
另：逊。 2049post.wordpress.com 仅仅是 DNS 污染

我就他妈的支持共产党怎么了？ -- 孙子杨

那么，可以进一步禁用密码登录吗？