作者isaacc (小元宅爸)
看板WorkinChina
標題Re: [討論] VPN敢線上刷卡嗎?
時間Fri Jan 13 17:08:49 2023
用VPN就是別人全都錄啦,何止是刷卡。
所以這是個人的選擇,而我自己是不用的。
※ 引述《Tsai07 (奇門遁甲)》之銘言:
: hi 小弟又來問問題了,
: 想請教一下大家,
: VPN後會敢用自己在台灣的信用卡刷台灣的網站嗎?
: 還是這樣會有安全疑慮?
: 大概下面這幾個問題。
: 1.台灣信用卡線上刷卡
: 2.台灣的銀行帳號設定匯款或繳費等
: (目前是用中信帳號在做設定,還是這個不用VPN也能做?)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.24.31.77 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/WorkinChina/M.1673600931.A.025.html
1F:推 ray0011: 你重修資訊工程吧 01/13 17:25
雖然說不要擋人財路
不過我要再次強調,這不是技術問題,而是管理問題
請問貴公司的資安管理與服務管理,有經過什麼樣的組織,符合什麼樣的標準,
做過第三方認證驗證與查核,定期公布相關的結果
讓大家可以相信資訊不會被側錄,旁錄,解讀,備份,或是被使用?
2F:→ suzhou: 不要秀下限 01/13 23:02
3F:推 magicalko: 習近平都會盜刷,小心 01/14 06:32
VPN服務就是一個願打,一個願挨。
我自己是不使用的。
4F:推 stormNEW: 羨慕老人可以過不需要VPN的生活 01/14 22:08
5F:推 ray0011: 什麼樣的管理問題可以突破TLS傳輸層安全傳輸,在不解密加 01/14 23:36
6F:→ ray0011: 密流量的情況下拿到明文的傳輸內容啊?說說嘛,既然你覺 01/14 23:36
7F:→ ray0011: 得你比我厲害,比我懂,想必懂王先生你應該能說出個12345 01/14 23:36
8F:→ ray0011: 吧 01/14 23:36
SSL/TLS有幾個版本,您知道嗎?
為何一直持續有新版本,然後搭配更強大的加密演算法?
9F:推 noname22: 沒有vpn一天都待不下去T_T 01/15 00:08
可以自己架設看看,不一定要買別人的服務
這是種選擇
但自己架設的環境,也要關注資安防護,以及必要的升級/補丁需求。
10F:→ roadmanjia: 不用是你家的事情啊,沒必要這樣踢館吧? 01/15 00:30
11F:推 upurs: 我就相信ray大也不會信你 01/15 00:56
12F:推 upurs: 會上這板基本都有翻牆需求,又不是每人都能用得起中華電信 01/15 00:58
13F:→ upurs: 1688 01/15 00:58
14F:推 wasdqwer: 推ray大 有專業知識與技術 01/15 01:33
推文很精確
有專業知識與技術
但就不提管理層面。
15F:推 laicher: 如果要把組織擴大到可以處理全部的資訊揭露,那還要補全 01/15 09:29
16F:→ laicher: 法務、財務的一些組織運作。 01/15 09:29
17F:→ laicher: 那r大的方案就不見得對於ptt的人比較好了吧? 01/15 09:29
18F:→ laicher: 有利有弊,在現有的服務下,i 大既然對r大的平台有疑慮 01/15 09:29
19F:→ laicher: 那何不以i 大現有的資安技術知識來詢問r大才是正確的質 01/15 09:29
20F:→ laicher: 詢方式。 01/15 09:29
21F:→ laicher: 用組織流程策略來問只要對方不是大公司,怎麼講都是輸, 01/15 09:29
22F:→ laicher: 對r大很不公平。 01/15 09:29
我向來奉行孔子的教誨,以德報怨,何以報德?
我這篇文章是回給原PO的,我也只是說我自己不使用。
後來是廠商自己跳進來要嗆我...然後您說我不公平,蠻神奇的。
23F:噓 samhou6: 加密傳輸的東西被錄下來有啥用? 教我 01/15 10:26
老共很喜歡您這種論調
因此您應該也不知道,對於加密流量
人家二十年前就有大量數學家運用統計與分析技術
做了一定程度的分析與破解了
甚至團隊還囂張到針對某些題材寫了公開論文發表,向外叫陣。
全世界聘用數學家最多的單位是美國NSA,第二名就是中國共產黨。
方濱興的團隊不是開玩笑的,沒曝光的專家們整天都在搞這些。
24F:推 stormNEW: 通常老人們習慣表達方式都是用大方向來唬你,要他講細 01/15 12:33
25F:→ stormNEW: 節對論根本不敢,各位別逼他了 01/15 12:33
26F:→ wasdqwer: 推10樓。 大方向唬人 01/15 12:34
27F:噓 suzhou: 目前多數要刷卡走金流都至少是https加密 你側錄是能幹啥 01/15 17:05
28F:噓 nicoleshen: 側錄XDDDDDDD 01/15 17:56
29F:→ asdfghjklasd: 除非是自己建的VPN , 只要用別人的,無論是免費 01/15 22:51
30F:→ asdfghjklasd: 收費,本來就有被偷錄的可能 01/15 22:51
31F:→ asdfghjklasd: SSL Proxy 可以了解看看 01/15 22:52
32F:→ asdfghjklasd: 避免這問題的可以用OTP以及每筆交易都會即時通知的 01/15 22:55
33F:→ asdfghjklasd: 至於那個VPN商.. 光明正大的做生意也是妙了 01/15 22:56
35F:→ asdfghjklasd: How to decrypt HTTPS traffic using SSL Proxy 01/15 23:02
37F:→ ray0011: 你自己貼東西要不要看看內文?內文明確說明了decrypt流量 01/16 02:38
38F:→ ray0011: 前提是安裝自簽名root ca證書,你們這些半點資工常識的人 01/16 02:38
39F:→ ray0011: 哪來的臉在我們這些資工業混跡很多年的眼前蹦來蹦去的? 01/16 02:38
40F:→ ray0011: 你自己都選擇了信任來源不明的第三方root ca植入到你的設 01/16 02:40
41F:→ ray0011: 備,被人解密了tls傳輸流量,難不成還怪我? 01/16 02:40
42F:推 ray0011: 我怕有些人準備原地打滾無理取鬧,再貼一次原文的關鍵字h 01/16 02:44
43F:→ ray0011: ttp://i.imgur.com/wMTvZ1U.jpg 01/16 02:44
看了真覺得蠻有趣的。
資工專業? 有沒有論文? 專利? 資安軟硬體開發經驗? 產品經驗?
以上我都有,而且是資訊安全領域。
印象中您架設過PPTP,L2TP,IPSec等等VPN產品
我曾經帶團隊開發過這些東西啊,連加解密library都是自己一行一行寫出來的。
另外,密碼學的基礎是數學,不只是資訊工程
更別說大家都不想提到的資安管理議題了。
中間人攻擊就不太有技術門檻,不管您寫MITM或是MTIM
要注意對user使用者而言,您就是中間人阿,您的設備就是在中間阿。
我知道您是位很有經驗的工程師
不過真的要叫陣,說真的我也是給您拍拍手啦,畢竟許多人用過您的服務。
只不過,這篇文章本來是回給原PO的
他怎麼問,我就怎麼回應。
您跳進來嗆人,那我有空的話也只能被動回應些看法。
45F:推 sp23: 本身已經加密的東西,拿到資料是沒有用的,就好像一堆密碼, 01/16 05:56
46F:→ sp23: 你沒有母本是找不出邏輯。據說Skype傳輸出去的文字也是? 01/16 05:56
47F:→ roadmanjia: 你真的要加密要用signal,美國國安局是可以看skype的XD 01/16 11:25
48F:→ magicalko: akype走22,mirror都是空白 01/16 12:52
49F:推 magicalko: 443 port 01/16 12:55
50F:噓 toothache: 口水戰,非技術討論,請用技術來回應吧 01/16 13:45
蠻有趣的,資訊安全的關鍵議題除了技術面就是管理面。
一直繞是為了什麼阿。。。更別說您口中的技術,又是什麼呢?
就算只限定在產品,近年來駭客最喜歡研究VPN產品的種種bug
敢問使用VPN產品服務的各位仁兄們,您知道自己使用的設備,上次升級是何時嗎?
畢竟隨便google就可以看到許多怵目驚心的新聞啦...
https://www.ithome.com.tw/news/154653
https://www.twcert.org.tw/newepaper/cp-67-6386-1068b-3.html
https://www.cc.ntu.edu.tw/chinese/cert/cert20221221.asp
https://www.ithome.com.tw/news/154653
許多技術很好的人,都不能做到即時與定期的漏洞修補升級工作
這也是許多資安管理人員努力的目標
資安技術與資安管理要能相輔相成,才能做到最基本的資安防護
就算不談第三方外部的資安稽核好了
請問各位網友,您使用的VPN服務商,
上一次跟您說要停機升級更新的時間,是甚麼?
做資安,不容易啊。
※ 編輯: isaacc (114.24.31.77 臺灣), 01/16/2023 17:51:56
51F:→ tomsawyer: 你刷卡的對象網頁不使用TLS>=1.2? 何況網頁憑證不對跳 01/16 18:10
52F:→ tomsawyer: 警告不是應該要很的嗎? 除非妳亂裝rootCA 不然被中途 01/16 18:10
53F:→ tomsawyer: 攔截一定跳警告 01/16 18:10
54F:→ tomsawyer: 再說個 android>7 跟ios 預設不信任自己安裝的ca 就算 01/16 18:12
55F:→ tomsawyer: 你裝了也沒屁用 chrome看的網頁可能有用啦 但安裝的a 01/16 18:12
56F:→ tomsawyer: pp是可以檢查ca要用系統預設的檢查還是怎樣 01/16 18:12
57F:→ asdfghjklasd: 現在就是在說你的環境沒第三方認為,誰知道有沒有 01/16 23:40
58F:→ asdfghjklasd: 被人塞了東西 01/16 23:40
59F:→ asdfghjklasd: 現在就是在說你的環境沒第三方認證,誰知道有沒有 01/16 23:42
60F:噓 toothache: 看了老半天還是沒點出現有服務商有哪些問題,只是像Line 01/17 06:02
61F:→ toothache: 群中的老人貼貼新聞,講不著邊際的話術給自己下台階XDD 01/17 06:04
62F:噓 gossiplarry: 笑死 密碼學再去重修一次啦!你哪年讀的課ㄅㄣ 01/17 11:11
63F:噓 samhou6: 屁話一堆 你架一個VPN 我登著刷卡 然後你負責盜刷我卡 01/18 05:04
64F:→ samhou6: 辦得到再來繼續廢話 不需要你取得我的資訊哦 只要能盜刷 01/18 05:04
65F:→ samhou6: 就好 01/18 05:04
66F:→ samhou6: 取得我卡片資訊對一個嘴砲仔來說應該天方夜譚 01/18 05:05
67F:推 stormNEW: 各位別這樣,大家都有老的一天,都是會變老害的 01/18 10:43
68F:噓 lpoijk: 你錄給我看看 不要嘴砲 01/20 10:02
69F:→ lpoijk: 就算沒有走vpn 刷卡也是整段TLS 沒任何key你解看看 01/20 10:03
70F:→ lpoijk: 看就知道是google唬爛嘴而已 01/20 10:04
71F:噓 mayday0304: 這文看不出技術含金量 01/22 10:52
72F:噓 flyiii: 跟管理有啥關係?就算他中間架了SSL-Proxy A10 之類的 01/27 14:44
73F:→ flyiii: 還是沒用阿... 他只是能把藏在tunnel的資訊解開,但是密碼 01/27 14:45
74F:→ flyiii: 跟密鑰還是無解的 01/27 14:45
75F:→ babylon297: 針對ISP跟主機商都能知道的資訊,自不自架根本沒差, 02/02 17:38
76F:→ babylon297: 我建議你不要用網路 02/02 17:38