Forwarded from 电报时报
Signal 的 TLS 代理存在主动探测问题,然而……
几个小时前知名端到端加密聊天工具 Signal 发了一个帖子:
https://signal.org/blog/help-iran-reconnect/
帖子里声称为了能让更多的伊朗兄弟连上 Signal,他们自己造了一个 TLS 代理,在 TLS 隧道里跑 Signal 的 TLS,然后用 SNI 白名单控制访问。
我和
于是我们觉都没睡,连夜码字指出问题,和
https://github.com/signalapp/Signal-TLS-Proxy/issues/3
所以他们要我们去一个专用的论坛去反馈,好的,注册帐号,GitHub 登陆,发帖,然后——
https://github.com/net4people/bbs/issues/60
#signal #probing_resistant #proxy #tls #active_probing
几个小时前知名端到端加密聊天工具 Signal 发了一个帖子:
https://signal.org/blog/help-iran-reconnect/
帖子里声称为了能让更多的伊朗兄弟连上 Signal,他们自己造了一个 TLS 代理,在 TLS 隧道里跑 Signal 的 TLS,然后用 SNI 白名单控制访问。
我和
@studentmain
读完当时就觉得不对劲——这东西扛不住主动探测呀。没有 PSK,你用 Signal 客户端和非 Signal 客户端流量直接试就能试出来这是不是一个 Signal 代理。于是我们觉都没睡,连夜码字指出问题,和
@studentmain
连夜搞出 PoC,我则码了千字建议,结果@studentmain: Signal 那边 Issue 区一关,一切当作无事发生,真有你的啊如无意外,下面的 Issue 已经 404 了:
https://github.com/signalapp/Signal-TLS-Proxy/issues/3
所以他们要我们去一个专用的论坛去反馈,好的,注册帐号,GitHub 登陆,发帖,然后——
@DuckSoft: 草泥马,我帐号怎么被临时封禁了,不能发帖?Excuse me?那不好意思了,咱们隔壁见~
https://github.com/net4people/bbs/issues/60
#signal #probing_resistant #proxy #tls #active_probing
Forwarded from Solidot
Chromium 重新设计代码大幅减少 DNS 流量
2021-02-05 23:24 #Chromium
去年 8 月,亚太互联网络信息中心(APNIC)报告,Chromium 浏览器中检查网络是否存在 NXDOMAIN 拦截的代码会导致大量的垃圾 DNS 查询流量。NXDOMAIN 是域名错误信息,部分 ISP 会对其进行拦截重定向。Chromium 采用的方法是每次启动、每次 IP 地址变化、每次设备 DNS 配置变更时对 3 个随机的 10 个字符长的字符串进行 DNS 查询。APNIC 称 root 服务器一半的查询流量来自于 Chromium 的检查。这相当于每天在 root 服务器系统查询 600 亿次。APNIC 现在报告,Chromium 团队重新设计了代码停止了垃圾 DNS 查询,这一变动包含在 Chromium 87 中。在 Chromium 87 释出前,root 服务器的峰值查询流量高达每天 1430 亿次,释出后降至了每天 840 亿次,减少了 41%。
2021-02-05 23:24 #Chromium
去年 8 月,亚太互联网络信息中心(APNIC)报告,Chromium 浏览器中检查网络是否存在 NXDOMAIN 拦截的代码会导致大量的垃圾 DNS 查询流量。NXDOMAIN 是域名错误信息,部分 ISP 会对其进行拦截重定向。Chromium 采用的方法是每次启动、每次 IP 地址变化、每次设备 DNS 配置变更时对 3 个随机的 10 个字符长的字符串进行 DNS 查询。APNIC 称 root 服务器一半的查询流量来自于 Chromium 的检查。这相当于每天在 root 服务器系统查询 600 亿次。APNIC 现在报告,Chromium 团队重新设计了代码停止了垃圾 DNS 查询,这一变动包含在 Chromium 87 中。在 Chromium 87 释出前,root 服务器的峰值查询流量高达每天 1430 亿次,释出后降至了每天 840 亿次,减少了 41%。
RT @isukkaw: 因为 clubhouse 只推出苹果版,不推出 Android、PC 版,潜意识里告诉你「这是面向精英人群的 Discord」,所以一下子很受那些「自以为是精英」的知乎er、V2EXer、果粉、迫真果粉等的欢迎。
参与讨论 on #Twitter
参与讨论 on #Twitter
Twitter
Sukka / 毛绒绒的大尾巴🦊
因为 clubhouse 只推出苹果版,不推出 Android、PC 版,潜意识里告诉你「这是面向精英人群的 Discord」,所以一下子很受那些「自以为是精英」的知乎er、V2EXer、果粉、迫真果粉等的欢迎。 https://t.co/SDqHSM99IN
Forwarded from Solidot
Signal 无视代理漏洞,称“这不是风险”
2021-02-08 14:49 #安全
DuckSoft 写道 "最近,端到端加密消息平台 Signal 被伊朗政府封杀。为了帮助其用户绕过伊朗的审查制度,该公司提出了一个 TLS 代理 的变通方法。
然而,多名研究人员现在 发现了该变通方法中的缺陷,可以让审查员或政府机构探查到 Signal TLS 代理,使这些保护措施失去意义,并可能给位于镇压政权的 Signal 用户带来影响。
通过 Signal 的 GitHub 仓库报告这些缺陷的研究人员已经被公司禁言,而他们报告的问题也被删除。来源:BleepingComputer"
2021-02-08 14:49 #安全
DuckSoft 写道 "最近,端到端加密消息平台 Signal 被伊朗政府封杀。为了帮助其用户绕过伊朗的审查制度,该公司提出了一个 TLS 代理 的变通方法。
然而,多名研究人员现在 发现了该变通方法中的缺陷,可以让审查员或政府机构探查到 Signal TLS 代理,使这些保护措施失去意义,并可能给位于镇压政权的 Signal 用户带来影响。
通过 Signal 的 GitHub 仓库报告这些缺陷的研究人员已经被公司禁言,而他们报告的问题也被删除。来源:BleepingComputer"
Forwarded from Solidot
在账号被 Google 锁定三周之后开发者宣布取消 Terraria on Stadia
2021-02-08 20:53 #Google
Google 的技术支持向来饱受诟病,普通用户基本联系不上活生生的 Google 的技术支持,更不用说解决问题了。Andrew Spinks 是独立游戏工作室 Re-Logic 的创始人,该工作室的知名作品包括 2D 沙盒游戏《泰拉瑞亚(Terraria)》——史上最畅销的游戏之一。他称不上普通人,但也有着普通 Google 用户的烦恼。他在 Twitter 上 讲述了自己的经历:他的 Google 账号被锁定了超过三周时间,完全不知道是什么原因导致的,在穷尽一切方法之后问题仍然未能解决。他无法从 Google 应用商店获得其游戏的销售收入,也没有办法访问刚刚购买的电影《指环王》,失去了使用了长达 15 年的 Gmail 账号。他认为这是对他个人的攻击,宣布取消在 Google 云游戏服务 Stadia 上发行他的游戏《泰拉瑞亚》,他的公司未来将不再支持任何 Google 平台,他不会再与如此轻视客户和合作伙伴价值的公司打交道,认为与 Google 做生意是一种累赘。
2021-02-08 20:53 #Google
Google 的技术支持向来饱受诟病,普通用户基本联系不上活生生的 Google 的技术支持,更不用说解决问题了。Andrew Spinks 是独立游戏工作室 Re-Logic 的创始人,该工作室的知名作品包括 2D 沙盒游戏《泰拉瑞亚(Terraria)》——史上最畅销的游戏之一。他称不上普通人,但也有着普通 Google 用户的烦恼。他在 Twitter 上 讲述了自己的经历:他的 Google 账号被锁定了超过三周时间,完全不知道是什么原因导致的,在穷尽一切方法之后问题仍然未能解决。他无法从 Google 应用商店获得其游戏的销售收入,也没有办法访问刚刚购买的电影《指环王》,失去了使用了长达 15 年的 Gmail 账号。他认为这是对他个人的攻击,宣布取消在 Google 云游戏服务 Stadia 上发行他的游戏《泰拉瑞亚》,他的公司未来将不再支持任何 Google 平台,他不会再与如此轻视客户和合作伙伴价值的公司打交道,认为与 Google 做生意是一种累赘。
Forwarded from Solidot
特斯拉购买了 15 亿美元的比特币
2021-02-08 21:46 #比特币
在递交到 SEC 的文件中,特斯拉公司披露它购买了价值 15 亿美元的比特币。它还考虑未来消费者在购车时可以使用比特币作为一种支付方式。特斯拉也承认,使用比特币支付还存在监管方面的不确定性。目前比特币的 币值已经突破了 4.3 万美元。
2021-02-08 21:46 #比特币
在递交到 SEC 的文件中,特斯拉公司披露它购买了价值 15 亿美元的比特币。它还考虑未来消费者在购车时可以使用比特币作为一种支付方式。特斯拉也承认,使用比特币支付还存在监管方面的不确定性。目前比特币的 币值已经突破了 4.3 万美元。
Forwarded from Solidot
研究人员发现 Signal 的 TLS 代理会泄漏 DNS 和 API 请求
2021-02-09 09:12 #安全
DuckSoft 写道 "最近,端到端加密消息平台 Signal 被伊朗政府封杀。为了帮助其用户绕过伊朗的审查制度,该公司提出了一个 TLS 代理 的变通方法。
继 “Signal 无视代理漏洞,称“这不是风险” 事件”(Solidot)后,有研究人员发现( 存档),Signal 的 Android 应用的最新测试版未能将所有流量路由到 TLS 代理。应用中存在 DNS 泄漏,这对于审查人员来说,了解哪些 IP 地址连接到 Signal 将易如反掌。
研究人员还报告了其他的流量泄漏问题,包括检查更新等 API 不会走代理等。"
2021-02-09 09:12 #安全
DuckSoft 写道 "最近,端到端加密消息平台 Signal 被伊朗政府封杀。为了帮助其用户绕过伊朗的审查制度,该公司提出了一个 TLS 代理 的变通方法。
继 “Signal 无视代理漏洞,称“这不是风险” 事件”(Solidot)后,有研究人员发现( 存档),Signal 的 Android 应用的最新测试版未能将所有流量路由到 TLS 代理。应用中存在 DNS 泄漏,这对于审查人员来说,了解哪些 IP 地址连接到 Signal 将易如反掌。
研究人员还报告了其他的流量泄漏问题,包括检查更新等 API 不会走代理等。"
Forwarded from Solidot
欧盟拟迫使 Google 等巨头为新闻付费
2021-02-09 12:48 #Google
欧盟负责新数字法规的立法者希望迫使大型科技公司为新闻付费。此举效仿了澳大利亚的一项举措,加强了出版机构对抗 Google 和 Facebook 的力量。欧洲议会成员的这项立法行动可能对 Google 造成沉重打击。Google 已威胁要撤出澳大利亚,以抗议该国拟议的将迫使其为新闻付费的新法律。Facebook 也警告称,如果以目前的形式通过该法,它将禁止澳大利亚用户分享新闻。
2021-02-09 12:48 #Google
欧盟负责新数字法规的立法者希望迫使大型科技公司为新闻付费。此举效仿了澳大利亚的一项举措,加强了出版机构对抗 Google 和 Facebook 的力量。欧洲议会成员的这项立法行动可能对 Google 造成沉重打击。Google 已威胁要撤出澳大利亚,以抗议该国拟议的将迫使其为新闻付费的新法律。Facebook 也警告称,如果以目前的形式通过该法,它将禁止澳大利亚用户分享新闻。