作者isaacc (小元宅爸)
看板WorkinChina
标题Re: [讨论] VPN敢线上刷卡吗?
时间Fri Jan 13 17:08:49 2023
用VPN就是别人全都录啦,何止是刷卡。
所以这是个人的选择,而我自己是不用的。
※ 引述《Tsai07 (奇门遁甲)》之铭言:
: hi 小弟又来问问题了,
: 想请教一下大家,
: VPN後会敢用自己在台湾的信用卡刷台湾的网站吗?
: 还是这样会有安全疑虑?
: 大概下面这几个问题。
: 1.台湾信用卡线上刷卡
: 2.台湾的银行帐号设定汇款或缴费等
: (目前是用中信帐号在做设定,还是这个不用VPN也能做?)
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.24.31.77 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/WorkinChina/M.1673600931.A.025.html
1F:推 ray0011: 你重修资讯工程吧 01/13 17:25
虽然说不要挡人财路
不过我要再次强调,这不是技术问题,而是管理问题
请问贵公司的资安管理与服务管理,有经过什麽样的组织,符合什麽样的标准,
做过第三方认证验证与查核,定期公布相关的结果
让大家可以相信资讯不会被侧录,旁录,解读,备份,或是被使用?
2F:→ suzhou: 不要秀下限 01/13 23:02
3F:推 magicalko: 习近平都会盗刷,小心 01/14 06:32
VPN服务就是一个愿打,一个愿挨。
我自己是不使用的。
4F:推 stormNEW: 羡慕老人可以过不需要VPN的生活 01/14 22:08
5F:推 ray0011: 什麽样的管理问题可以突破TLS传输层安全传输,在不解密加 01/14 23:36
6F:→ ray0011: 密流量的情况下拿到明文的传输内容啊?说说嘛,既然你觉 01/14 23:36
7F:→ ray0011: 得你比我厉害,比我懂,想必懂王先生你应该能说出个12345 01/14 23:36
8F:→ ray0011: 吧 01/14 23:36
SSL/TLS有几个版本,您知道吗?
为何一直持续有新版本,然後搭配更强大的加密演算法?
9F:推 noname22: 没有vpn一天都待不下去T_T 01/15 00:08
可以自己架设看看,不一定要买别人的服务
这是种选择
但自己架设的环境,也要关注资安防护,以及必要的升级/补丁需求。
10F:→ roadmanjia: 不用是你家的事情啊,没必要这样踢馆吧? 01/15 00:30
11F:推 upurs: 我就相信ray大也不会信你 01/15 00:56
12F:推 upurs: 会上这板基本都有翻墙需求,又不是每人都能用得起中华电信 01/15 00:58
13F:→ upurs: 1688 01/15 00:58
14F:推 wasdqwer: 推ray大 有专业知识与技术 01/15 01:33
推文很精确
有专业知识与技术
但就不提管理层面。
15F:推 laicher: 如果要把组织扩大到可以处理全部的资讯揭露,那还要补全 01/15 09:29
16F:→ laicher: 法务、财务的一些组织运作。 01/15 09:29
17F:→ laicher: 那r大的方案就不见得对於ptt的人比较好了吧? 01/15 09:29
18F:→ laicher: 有利有弊,在现有的服务下,i 大既然对r大的平台有疑虑 01/15 09:29
19F:→ laicher: 那何不以i 大现有的资安技术知识来询问r大才是正确的质 01/15 09:29
20F:→ laicher: 询方式。 01/15 09:29
21F:→ laicher: 用组织流程策略来问只要对方不是大公司,怎麽讲都是输, 01/15 09:29
22F:→ laicher: 对r大很不公平。 01/15 09:29
我向来奉行孔子的教诲,以德报怨,何以报德?
我这篇文章是回给原PO的,我也只是说我自己不使用。
後来是厂商自己跳进来要呛我...然後您说我不公平,蛮神奇的。
23F:嘘 samhou6: 加密传输的东西被录下来有啥用? 教我 01/15 10:26
老共很喜欢您这种论调
因此您应该也不知道,对於加密流量
人家二十年前就有大量数学家运用统计与分析技术
做了一定程度的分析与破解了
甚至团队还嚣张到针对某些题材写了公开论文发表,向外叫阵。
全世界聘用数学家最多的单位是美国NSA,第二名就是中国共产党。
方滨兴的团队不是开玩笑的,没曝光的专家们整天都在搞这些。
24F:推 stormNEW: 通常老人们习惯表达方式都是用大方向来唬你,要他讲细 01/15 12:33
25F:→ stormNEW: 节对论根本不敢,各位别逼他了 01/15 12:33
26F:→ wasdqwer: 推10楼。 大方向唬人 01/15 12:34
27F:嘘 suzhou: 目前多数要刷卡走金流都至少是https加密 你侧录是能干啥 01/15 17:05
28F:嘘 nicoleshen: 侧录XDDDDDDD 01/15 17:56
29F:→ asdfghjklasd: 除非是自己建的VPN , 只要用别人的,无论是免费 01/15 22:51
30F:→ asdfghjklasd: 收费,本来就有被偷录的可能 01/15 22:51
31F:→ asdfghjklasd: SSL Proxy 可以了解看看 01/15 22:52
32F:→ asdfghjklasd: 避免这问题的可以用OTP以及每笔交易都会即时通知的 01/15 22:55
33F:→ asdfghjklasd: 至於那个VPN商.. 光明正大的做生意也是妙了 01/15 22:56
35F:→ asdfghjklasd: How to decrypt HTTPS traffic using SSL Proxy 01/15 23:02
37F:→ ray0011: 你自己贴东西要不要看看内文?内文明确说明了decrypt流量 01/16 02:38
38F:→ ray0011: 前提是安装自签名root ca证书,你们这些半点资工常识的人 01/16 02:38
39F:→ ray0011: 哪来的脸在我们这些资工业混迹很多年的眼前蹦来蹦去的? 01/16 02:38
40F:→ ray0011: 你自己都选择了信任来源不明的第三方root ca植入到你的设 01/16 02:40
41F:→ ray0011: 备,被人解密了tls传输流量,难不成还怪我? 01/16 02:40
42F:推 ray0011: 我怕有些人准备原地打滚无理取闹,再贴一次原文的关键字h 01/16 02:44
43F:→ ray0011: ttp://i.imgur.com/wMTvZ1U.jpg 01/16 02:44
看了真觉得蛮有趣的。
资工专业? 有没有论文? 专利? 资安软硬体开发经验? 产品经验?
以上我都有,而且是资讯安全领域。
印象中您架设过PPTP,L2TP,IPSec等等VPN产品
我曾经带团队开发过这些东西啊,连加解密library都是自己一行一行写出来的。
另外,密码学的基础是数学,不只是资讯工程
更别说大家都不想提到的资安管理议题了。
中间人攻击就不太有技术门槛,不管您写MITM或是MTIM
要注意对user使用者而言,您就是中间人阿,您的设备就是在中间阿。
我知道您是位很有经验的工程师
不过真的要叫阵,说真的我也是给您拍拍手啦,毕竟许多人用过您的服务。
只不过,这篇文章本来是回给原PO的
他怎麽问,我就怎麽回应。
您跳进来呛人,那我有空的话也只能被动回应些看法。
45F:推 sp23: 本身已经加密的东西,拿到资料是没有用的,就好像一堆密码, 01/16 05:56
46F:→ sp23: 你没有母本是找不出逻辑。据说Skype传输出去的文字也是? 01/16 05:56
47F:→ roadmanjia: 你真的要加密要用signal,美国国安局是可以看skype的XD 01/16 11:25
48F:→ magicalko: akype走22,mirror都是空白 01/16 12:52
49F:推 magicalko: 443 port 01/16 12:55
50F:嘘 toothache: 口水战,非技术讨论,请用技术来回应吧 01/16 13:45
蛮有趣的,资讯安全的关键议题除了技术面就是管理面。
一直绕是为了什麽阿。。。更别说您口中的技术,又是什麽呢?
就算只限定在产品,近年来骇客最喜欢研究VPN产品的种种bug
敢问使用VPN产品服务的各位仁兄们,您知道自己使用的设备,上次升级是何时吗?
毕竟随便google就可以看到许多怵目惊心的新闻啦...
https://www.ithome.com.tw/news/154653
https://www.twcert.org.tw/newepaper/cp-67-6386-1068b-3.html
https://www.cc.ntu.edu.tw/chinese/cert/cert20221221.asp
https://www.ithome.com.tw/news/154653
许多技术很好的人,都不能做到即时与定期的漏洞修补升级工作
这也是许多资安管理人员努力的目标
资安技术与资安管理要能相辅相成,才能做到最基本的资安防护
就算不谈第三方外部的资安稽核好了
请问各位网友,您使用的VPN服务商,
上一次跟您说要停机升级更新的时间,是甚麽?
做资安,不容易啊。
※ 编辑: isaacc (114.24.31.77 台湾), 01/16/2023 17:51:56
51F:→ tomsawyer: 你刷卡的对象网页不使用TLS>=1.2? 何况网页凭证不对跳 01/16 18:10
52F:→ tomsawyer: 警告不是应该要很的吗? 除非你乱装rootCA 不然被中途 01/16 18:10
53F:→ tomsawyer: 拦截一定跳警告 01/16 18:10
54F:→ tomsawyer: 再说个 android>7 跟ios 预设不信任自己安装的ca 就算 01/16 18:12
55F:→ tomsawyer: 你装了也没屁用 chrome看的网页可能有用啦 但安装的a 01/16 18:12
56F:→ tomsawyer: pp是可以检查ca要用系统预设的检查还是怎样 01/16 18:12
57F:→ asdfghjklasd: 现在就是在说你的环境没第三方认为,谁知道有没有 01/16 23:40
58F:→ asdfghjklasd: 被人塞了东西 01/16 23:40
59F:→ asdfghjklasd: 现在就是在说你的环境没第三方认证,谁知道有没有 01/16 23:42
60F:嘘 toothache: 看了老半天还是没点出现有服务商有哪些问题,只是像Line 01/17 06:02
61F:→ toothache: 群中的老人贴贴新闻,讲不着边际的话术给自己下台阶XDD 01/17 06:04
62F:嘘 gossiplarry: 笑死 密码学再去重修一次啦!你哪年读的课ㄅㄣ 01/17 11:11
63F:嘘 samhou6: 屁话一堆 你架一个VPN 我登着刷卡 然後你负责盗刷我卡 01/18 05:04
64F:→ samhou6: 办得到再来继续废话 不需要你取得我的资讯哦 只要能盗刷 01/18 05:04
65F:→ samhou6: 就好 01/18 05:04
66F:→ samhou6: 取得我卡片资讯对一个嘴炮仔来说应该天方夜谭 01/18 05:05
67F:推 stormNEW: 各位别这样,大家都有老的一天,都是会变老害的 01/18 10:43
68F:嘘 lpoijk: 你录给我看看 不要嘴炮 01/20 10:02
69F:→ lpoijk: 就算没有走vpn 刷卡也是整段TLS 没任何key你解看看 01/20 10:03
70F:→ lpoijk: 看就知道是google唬烂嘴而已 01/20 10:04
71F:嘘 mayday0304: 这文看不出技术含金量 01/22 10:52
72F:嘘 flyiii: 跟管理有啥关系?就算他中间架了SSL-Proxy A10 之类的 01/27 14:44
73F:→ flyiii: 还是没用阿... 他只是能把藏在tunnel的资讯解开,但是密码 01/27 14:45
74F:→ flyiii: 跟密钥还是无解的 01/27 14:45
75F:→ babylon297: 针对ISP跟主机商都能知道的资讯,自不自架根本没差, 02/02 17:38
76F:→ babylon297: 我建议你不要用网路 02/02 17:38