简明网络安全手册
[click on this link](#my-multi-word-header)
### My Multi Word Header
简明网络安全(1)|导言
阅读本文大约需要: 5 分钟
写点没用的东西,不引起争议。
我本业是做IT吉祥物,就像重庆崽儿花露水的本业是读金庸一样。若不是迫于形势,谁会在神学翻译的泥潭里挣扎呢?
有的时候,有朋友会问我网络安全的事情。大体上,他们希望知道如何才能保护自己的安全。
但是,单纯的保护安全是个“伪问题”,最近看到一个关于人工智能的笑话,简单复述如下: 一个实验室研究一台AI的狼,打算用深度神经网络加以训练。他们设定了狼的位置和方向,羊的位置和方向,狼的奔跑和转向速度,羊的奔跑和跳跃速度,以及体力,耐力等参数。下面是训练的目标函数:狼的初始分数是10分。如果抓住了羊,就奖励10分;如果撞到障碍物,就扣0.1分;每延缓1秒钟抓住羊,也要相应地扣分…… **一个完美的模型。**迭代了200万次之后,实验室的计算机科学家们发现,狼越来越笨,常常启动就撞上石头或掉下悬崖,完全无法抓住羊。
经过仔细分析才发现,原来是目标函数和惩罚参数不匹配,狼觉得无论如何努力也抓不到羊,最终分数会被扣完;于是,狼的最佳策略就进化为尽快自杀,以保住现有的10分——其他所有策略的最终得分都比自杀要低,甚至会低到0分。
最近这个模型在讨论996福报,三和大神,计划生育与人口等问题上,发挥了很好的效果,完全可以直接用在宏观政治学和经济学上,真是一个杰出的模型。
说到网络安全问题是个伪问题,因为单纯谈安全而不讨论易用性,是没有任何意义的。最安全的网络安全策略就是物理隔绝,完全不使用网络。这显然是一种错误的目标函数。
教会也一样。一个为了安全而在主日闭门的教会,自然不会引发任何问题,但也不能成就教会的功能和使命。所以,在讨论安全的时候,需要同时讨论易用性。
我曾经做过一次简单的网络安全工作坊。但主要的问题甚至不在于技术,而在于人,或者说在于个体的使用习惯和心理学(不要误会——我在标准的语境下使用“心理学”这个术语,与任何“辅导”都无关)。
比如,马太效应,赢家通吃,同伴压力,社交媒体的吸引和上瘾,以及不同亚文化群体使用某种社交通讯软件的自然隔离等等,都会影响到我们的网络安全习惯。
安全而易用的技术和规范是有的,不过很少有人能遵守,说了也是白说。几个小问题:
- 操作系统和流氓软件:你使用了什么操作系统,安装了哪些软件,安全吗?
- 浏览器:你使用什么浏览器上网?
- 电子邮箱:你的电子邮件服务器在哪里?安全吗?
- 即时通讯软件:你用什么通讯软件和朋友联系?
- vpn:是可以了解这个世界正在发生什么事情吗?
- 输入法:你输入的每一个字(包括删除或修改),都在我们的云端服务器上以明文传输和保存……
- 数据的加密和存储:欢迎来到云上贵州或百度网盘……
- 社交媒体和(别人的)隐私:你今天晒娃了吗?
- 你的安全规范是什么?你会遵守吗?怎样说服奶奶或外婆不在微信上随意发各种带有详细介绍的、配了音乐的全家福?
- 你用的什么手机吗?什么操作系统?
可以用作自测。
如果你没有考虑过上述问题,并建立一个明确遵守的规范,你的计算机/手机网络安全大概会有些隐患。在这种情况下,只有两种办法:
- 我行事磊落,光明正大。所以不惧怕任何人窥探我的数据,邮件,照片和隐私。但和你通信的朋友同样失去了安全的选择,因为所谓的短板理论——系统的弱点在最短的那块板上……
- 无论如何,我也扛不住职业黑客。如果是国家队级别的职业黑客……不如透明,反正也搞不过。
这样就回到从前的老问题上,安全仍然是个“伪问题”。
另一个需要考虑的问题是,你愿意为了网络安全付出多少代价。这里有金钱的代价,也有一些是易用性或调整使用习惯的代价,还有一些是说服或放弃不安全的社交场合的心理代价。当然,也许还有神学代价——比如计算机安全如何与圣约神学相容?
你愿意为了vpn付费吗?email呢?你愿意切换到signal或telegram上,放弃微信和QQ吗?你会谢绝在数百人的zoom会议上露脸发言吗?你愿意放弃熟悉的输入法,采用开源的输入法吗?
最后我常常发现,那些初心在乎安全的人,最终会因为各种原因,主动放弃安全措施。
版权所有:Eddy Zhang 博客:https://eddyemma.com
简明网络安全(2)|操作系统
阅读本文大约需要: 7 分钟
按:如果你有很强的神学背景或神学意识形态,有很坚定的信心,有整全的生命,请相信我,这个公众号主要不是为你写的。我鼓励你写自己的文章,在自己的平台上表达自己的观点。 我在这里写的文章,是为了记录,为了提问,不是为了回答。
如果你不幸计算机专业毕业(嗯,我们教会里百分之70的弟兄是计算机专业的),这个系列不是为你写的。 目前还继续有读者来公号上留言讨论圣经辅导的问题。但那些看起来情绪不太稳定,或者一开口就明说自己有过各种情绪问题,同时又说自己得到圣经辅导很大帮助的,我都不敢回应。总而言之,希望你们可以在圣经辅导的照料下,生命成长,和基督的关系更好一点,各个方面都更加稳定以后,再来讨论。所以,我决定这一周安心讨论现代宣教的计算机安全问题。 顺便说一下,许多人用个人经验和我辩论,坚持认为我错了(或者我翻译错了),而他/她学习、接受圣经辅导的个人经验才是唯一正确的经验。这当然也很后现代,毕竟个体经验是无法反驳的,如果不愿意通过他人的经验来学习和改变,也不看文章里给出论证过程、事实、引文和参考文献,一味直接诉诸于经验,又不能给出充分证据,逻辑地证明自己的观点,自然是没有辩论的任何必要性。 有些读者显然还在接受圣经辅导的治疗和咨询之中,这样的情况我更加不敢回应,连“你是对的”都不敢说,以免引起读者情绪的变化。比如,愤怒就不太好,而愤怒到口不择言的程度,当然更不好了。这样的读者最好取关,对于治疗而言更好一些。【免责声明:以上(以下也一样)并非专业的、特定咨询意见。若根据以上(或以下)意见采取行动,发生任何后果,我不负任何责任。】
简单地说,就两句话。
\1. 用开源或正版软件,用正版操作系统。尽量不要用国产软件和盗版商用软件。
\2. 若有web版软件,就不要用桌面软件和手机软件。浏览器等于虚拟机,比较容易控制。
我刚接触计算机的时候,还在用SunOS,Novell Netware,Dos 3.3,Apple-2,PC-1500之类,那时候无论病毒还是杀毒软件,都是自己汇编分析,甚至可以将所有代码打出来用铅笔分析。
现在已经不再有单纯为了好玩而黑客的,所以一切“雨林木风”之类封装操作系统,基本上是可疑的,绝对不要使用为好。
我也不用任何第三方杀毒软件,就靠着windows defender和比较良好的使用习惯和判断,长年累月地运行,并不担心任何病毒或木马感染。基本原则是,尽量减少来历不明的软件,更多地使用声誉良好的开源软件。
我的图像处理软件是Gimp,记账软件是GnuCash,SSH软件是Putty,压缩软件是7-zip,Ftp软件是filezilla,音乐软件是foobar,文本编辑是notepad++和vim,圣经软件是theword,字典软件是goldenDict,都是声誉良好的免费或开源软件。
除此之外,我使用正版办公软件的office365,正版的翻译软件MemoQ,正版的Acrobat Pro,付费的美版Zoom,付费版的Logos圣经软件,以及telegram、signal和wire三个桌面版的即时通讯软件。
我的所有重要数据用veracrypt加密,同时存储在两个加密移动硬盘上。veracrypt也是开源软件。
其他软件都是windows自带的工具,可以说一个国产软件也没有。若实在需要国产平台,比如微信公众号或支付宝京东,就使用web版。
另外,所有email全部采用web端访问,不下载到本地保存。
大体上来说,这样就算是操作系统和软件安全了。
马太福音 7:12 12 所以,无论何事,你们愿意人怎样待你们,你们也要怎样待人,因为这就是律法和先知的道理。
最近两三年听闻好几个因为数据泄露而离开工场的宣教团队案例。有的时候,与宣教士联络的朋友们,应当特别小心地适应和坚持使用宣教士级别的网络安全规范。按照一篇文章的要点,宣教士的朋友极为重要。朋友们或许可以:
1. Friends relate to missionaries as real, normal people, not projects. 将宣教士视为真实、正常(有挣扎和失败)的人,而不是一个宣教项目。
2. Friends are willing to invest effort to come to understand the missionary as a person, their family, adopted culture and context, as well as their ministry goals, successes, and failures. 朋友们愿意投入时间和精力理解宣教士,理解、家庭、宣教文化和处境,以及他们的事工目标、成功与失败。
3. Friends intentionally work at becoming better listeners. 朋友们愿意成为更好的听众。
4. Friends learn how to communicate long-distance following security protocols. 朋友们愿意学习如何遵守安全准则来进行长途通讯。特别是敏感地区的宣教士,一定要严格按照安全守则来通讯。否则可能是要命的事情。
5. Friends make the sacrifice to visit the missionary on the field. 朋友们愿意做出牺牲,去探访宣教士。
6. Friends don’t rush or force a Friendship. 宣教士可能很忙碌或很孤独。朋友们应当 根据需要提供友谊的支持。
7. Friends share a common passion for ministry. 即使不去宣教,也热心事工和支持。
8. Friends provide wise, honest counsel. 给予智慧而诚实的意见。
9. Friends keep their church’s missions leaders informed about the missionary. 与教会的宣教领袖们保持沟通。
10. Friends should be Friends, not supervisors. 朋友不是上司。
11. Friends are dedicated intercessors. 朋友是热心的代祷者。
对于现代的宣教而言,网络安全和使用规范已经是极为重要的环节。
即使在疫情期间,我也很少参加各种Zoom上举行的会议,大部分发言的邀请都是简单而坚定地谢绝。甚至连进去潜水,我都很谨慎。
我的工作坊和各样的事工联系,都希望使用安全邮箱或安全即时通信软件。但即使这样,也很难做到。
但至少,我希望我这一端的安全隐患较少,一旦出现安全问题,被突破的短板最好不在我的计算机、服务器或数据上。
当然, 安全性和易用性需要平衡,但似乎简单的调整使用习惯,坚持某些安全规范,就能在很大程度上提高安全,或者大幅度增加网络攻击者的难度、时间成本、计算成本和人力资源成本。
版权所有:Eddy Zhang 博客:https://eddyemma.com
简明网络安全(3)|浏览器
阅读本文大约需要: 7 分钟
按:因为最近遇到许多自称初学者的朋友,昨天不小心在用以弗所书2:1-10节讲道的时候,用了“凡尔赛学”作为导言。但效果不太好,礼拜结束就有弟兄姊妹对我说,没有听懂你的导言,直到后面解经分析的时候,才弄明白了什么是凡尔赛,什么是加尔文。 推荐姜原来老师的文章:公共文化里的光与盐之二
我当时的读后感:索尔仁尼琴和萨特那段往事是很有趣的。诗人多了,“保守的改革宗”或者“基要主义的改革宗”这种自相矛盾的新话就会少些吧。也许我们需要加强文学和艺术性,在此意义上我是“加尔文”主义者,或者add you some literaturist。 重读姜老师的文章,经过深刻反思,我认真地考虑要不要将这个公众号改为“跨文翻译初学者”,或者随着内容的不同,署名“XX辅导初学者”,“XX安全初学者”。比如下图:
Photo by DSD on Pexels.com
简单地说,就两句话。
浏览器是个人计算机上最常用的软件,也是最复杂的软件,也是最耗费内存资源和计算资源的软件。
世界上只有一个国家的两、三家公司可以生产浏览器内核:苹果公司的webkit,mozilla的gecho和google的blink。微软本来有一款,但性能太差,最新版的edge已经放弃了开发,采用blink作为内核了。
浏览器负责网络通讯、图像渲染、各种静态和动态语言解析等功能,对性能和安全性的要求极高,开发难度差不多和大飞机、火箭上天之类的有得一比。
浏览器安全就2条:
- 不要使用非原生的浏览器,无论是360还是UC还是迅雷、QQ、输入法等软件内嵌的浏览器和搜索引擎。
- 不要使用百度等流氓搜索引擎。他们提供的搜索结果,一个标点都不要相信。
我使用自带tor链接的brave浏览器,按照我的软件规范,这是免费且开源的浏览器。除此之外,我也使用开源的firefox浏览器以及在firefox内核上定制tor brower。
有些银行现在还要求IE才能打开,或者还在使用flash插件,我的选择是换银行,放弃那些不安全的电子银行系统——内核层面的不安全,绝不是弄个什么密码键盘之类就可以糊弄过去的。
另一个问题是搜索引擎。
在中文搜索上,最靠谱的搜索引擎大概是无法直接访问的google。百度和bing都不太可靠。
有一些私有聚合搜索引擎可以使用,其搜索结果聚合了各大搜索引擎,而且不附加广告,隐私性更好一些。但大部分这类搜索引擎,比如duckduckgo,都是在国内无法打开的。或者偶然能打开,搜索到的页面也大部分是无法直接打开的。
提供一个目前(这些东西都是见光死)国内开可以访问的聚合搜索引擎:
以及两个无法访问的聚合搜索引擎:
对了,需要强调一点基础知识。
网络安全,可访问性和易用性,是三个不同的概念。
网络安全是为了保护计算机数据不会被外部非授权窥探或窃取,进而引起各种安全问题,比如人生安全,财产安全,或者避免给你的朋友带来安全隐患。
可访问性,指的是如何能够自由地访问互联网。能够访问google,并不代表你的操作系统或浏览器就安全了。功夫网带给中国互联网的最大危害,大概就是让许多人认为,只要我能出去外网,我就是一个安全的用户。这种观念是错误的,因为你使用的vpn,可能就是某个想要监控或窃取你信息的黑客组织提供的,于是越多地访问外网,就会造成越大的安全隐患。
而易用性,则是在使用、配置、部署、成本等方面的考量。易用性太差的技术,比如tor在国内的龟速,使得这些工具无法推广。另一方面,为了安全性和可访问性,有的时候值得花费代价来改变使用习惯。举个例子,我为了学习linux,曾经3年不用windows,坚持使用gentoo——一种从源代码自己编译的linux,从系统到其中的每个软件,都自己从源代码编译出来,自己配置网络和硬件,经过这样艰苦的过程,linux对我来说已经成为一种比较易用的工具。
如果你打算继续使用360浏览器,hao123作为聚合搜索引擎,那么,恭喜你,你可以完全不再考虑计算机安全的问题了。这就像一个人“因信称义”之后,就不用再读雅各书了一样,你也可以不用再读这个系列的文章了。我可以向你保证,你在浏览器里输入的每一个关键字,都在某个黑暗的角落里的某个监控服务器的硬盘上永久保存着。360浏览器甚至会体贴地在你登录购物网站(或者甚至网络银行)时,帮你将用户名和密码填上。
顺便说一下,一旦安装过某些“全家桶”系列,比如百度全家桶,360全家桶,最好的做法就是彻底重装整个系统。甚至可以考虑立刻将计算机捐献给希望工程,买一台新的机器来用。就像有人请您喝茶,以后您应当更换工作手机以及手机号码,是一个道理。这是为了自己和朋友们负责。
好吧,其实我们讨论的大部分情况都是改变使用习惯和软件选择的问题,网络安全主要不是一门高技术,而是用户心理学问题——大部分人都不会付出努力改变自己的安全习惯,等到想要改变的时候,大概都是到了迫不得已的地步。祷告吧,人为朋友改变自己的浏览器,人的爱心没有比这个大的。为义人而换一种搜索引擎,是少有的;为仁人而卸载“全家桶”,或有敢做的。唯有基督在我们还使用360浏览器的时候就为我们死了,神的爱就在此向我们显明了。
版权所有:Eddy Zhang 博客:https://eddyemma.com
简明网络安全(4)|signal的前世今生
阅读本文大约需要: 7 分钟
按:计算机安全是个高技术活儿。就像欧阳老师说的那样,“无他唯手熟尔”。我从1998年之后就几乎不再写代码,只是做些空谈或项目管理、团队整合、客户忽悠、竞争对手震慑之类的工作,从技术细节上早已落后于时代。 有些朋友留言问我技术问题,比如windows 7升级到win10之后是否安全,或者推荐一款杀毒软件。我已经说过我不用任何杀毒软件,只依靠微软缺省的defender。杀毒软件带给人虚假的安全感,远不如坚持不访问各种稀奇古怪的网站,不下载安装各种一无所知的破解软件,不好奇地点击来历不明的邮件上诱人的链接为好。(参见简明网络安全(2)|操作系统与软件)。 另外,我没有时间代替大家去研究一个具体的技术问题。这些文章只是介绍我所理解和遵循的原则,并介绍我自己使用的一些软件和配置。如果大家觉得我的回答没有什么实质帮助,大概你是真的“问道于盲”了。
今天早晨,Signal被封锁了。圈内一片混乱,很多人失联。先讨论基本原则:任何*用户基数*超过某条未知红线的境外社交服务,均会“自动”失效。这事跟别的因素关系不大。 大概是无法挽救了——一个通讯软件,失去用户之后,将会不可避免地衰落下去。
多年之前,signal刚刚出现不久,国内的某些用户甚至连名字都不愿意分享,仿佛只要公开说出这六个字母,就会惹动天听——YHWH就是这样出来的,不过这一次是S。
我对此有些不以为然。大家好不容易有一个可以安全使用的工具,却似乎像是专门保留给那些教会或宣教机构的高层使用(至少要经过按立或接受差派的人才够资格使用),岂不是又需要一次宗教改革了……
而且,安全是一个集体项目,如果你身边的人都在用微信传播最高指示,那位使用S发布最高指示的人大概是第一个被揪出来斗争的。
所以,我们不断地说服大家使用signal,甚至在注册“释经讲道工作坊”这种人畜无害的事情上,都要大家先注册signal。隐私权或者扩展的计算机信息安全,属于基本人权吧。
既然,经过几年的努力,用户渐渐多了起来。大家的使用习惯上也慢慢有所改变,潜在的无法计算的安全益处,已经让很多教会受益。
我觉得今后一段时间内已经很难再出现这样一个得到如此大规模用户共识的加密通讯软件了。
没办法。如果你随时有vpn挂着,就用telegram吧。vpn总是会有的,唯一的问题在于,一个人愿意付出多大代价。
但signal失效的问题,并不仅仅是在金钱上的代价,而是大大提高了系统和软件的使用难度,于是许多技术上不那么有把握的人就很快失去坚持下去的信心了,转而使用不太安全的方式来通讯。
从这个意义上讲,培养使用signal的习惯,与迫使大部分人无法使用signal,几乎可以说是现代文明之下的属灵争战。
很多人会这样想象:我心中光风霁月,坦坦荡荡,没有一丝恶意。所以,我不需要保密与信息安全,谁要看去就让他看吧。毕竟,要提高安全级别,一方面不知所措,心中惶惑,一方面还要改变使用习惯,甚至付出一点经济上的代价。有的时候传道人微薄的收入,实在是支撑不起这样的负担。
这样的情况我当然同情。但隐私之于自己,看你怎么看待了。我是不会因为自己心中光风霁月,坦坦荡荡,就在互联网的大街上裸奔的。至于采用不安全的通讯方式,或许影响到与我通讯的朋友的安全,我更加耿耿于怀。
解决的方式也很简单。采用安全的电子邮件通讯,几乎是无法被破解和封锁的。除了没有及时通讯的时效,其他没毛病。
但及时通讯实际上是一个很耗费时间的事情。我的使用习惯是,一旦需要5轮以上的对话才能解决的问题,我都会立刻拨通语音通话,尽快将需要沟通的事情说完。而在信息的保持和沟通明晰上,邮件群甚至可能比signal群更有效,更不容易引起轻浮无益的争吵。
关于signal的发散性思维,还可以说两点。
Photo by Travis Saylor on Pexels.com
第一,伊朗是今年一月封锁signal的。所以,signal已经发布了一个简单的代理服务器(simple tls proxy),只要有足够多的人愿意部署(这是需要付出代价的事情),那么至少使用android手机的用户还是可以继续使用signal来维持通讯。不过我疑心这种需要协作和奉献,大规模部署分布式代理服务器网络的事情,技术上虽然简单(参见https://signal.org/blog/help-iran-reconnect/),但惯于享受免费成果的不少人(参见正版太贵了!基督徒可以买盗版书吗?下面的留言),大概是难得建立其这样的网络的。所以,这一条可以不论,只是聊胜于无而已。
第二,海外诸君,应当俯就国内朋友的通讯手段——在安全性上,二者所冒的风险是不对等的。最简单安全的方法,当然也是通过邮件通讯。如果是一对一的沟通,可以考虑使用共享一个邮件账号的草稿箱来交换信息,因为数据在草稿箱里没有实际发送出去,所以,这种方式是最安全的。在一个安全的邮箱服务上,通过在一封共同修改的草稿上留言,可以充分交流信息,又不至于让数据暴露在网络上,不失为一种安全的替代方案。当然,前提是采用真正安全的邮箱,而不是163,QQ之类的邮箱,或者gmail这类可以读取邮件内容,定向投送广告的数字极权资本家的邮件服务。
关于邮件的问题,特别是采用IMAP+TLS协议的邮件客户端,可以无需vpn就访问和交换诸如gmail等邮件的问题,将放在明天再详细讨论。正是因为IMAP的这个特征,使得电子邮件才是最可靠、稳定、安全、易用、难以阻断的通讯方式。
出品:[email protected];eddyemma.com
简明网络安全(5)|电子邮件才是王道
阅读本文大约需要: 7 分钟
按:1. 直播玩了两天就挂了。朝飞说是因为单位时间内关键词说得太多。神学翻译,自然是充斥着神学词汇。唉,随他去吧。 \2. 所以,接下来我要认真工作了。至于计算机安全的问题,我无法提供咨询意见。所有的内容都是按照我的经验随意介绍,若有人因此而出现安全问题,参见前面第1段。
电子邮件是最重要的沟通工具。正式的商业沟通,一般都会采用电子邮件。这个业务太过于重要,所以很难完全将所有电子邮件端口,比如465或993端口,关闭掉。
在手机上,我使用最简单的MS outlook客户端来收发所有邮件——除了两个专用的app,分别用来单独处理翻译业务和加密通讯邮件。无论这些邮件服务本身的网站是否能打开,都不会影响outlook通过IMAP/SMTP+TLS收发邮件。因为世界上所有的邮件服务器自己连成一个邮局网络,相互之间都在中转和暂存邮件,所以没有什么障碍,总是能顺利受到各种邮件的——只要支持采用465或993端口收发邮件即可。
我常用的电子邮件有9个,其中7个邮箱使用outlook在手机上收发邮件。但在pc端,我只使用web客户端,而不要下载邮件到本地。
我是gmail最早的用户之一。当gmail还需要邀请码,处于内测阶段时,我就开始使用gmail了。6个字母的gmail账号,现在是很少看到的。当然,如果腾讯不是那么流氓,我的QQ账号应该也是6位数的……
我曾经重度依赖gmail服务,甚至大家去北京谷歌献花之后,仍然在使用gmail。但近年来,我已经基本上放弃gmail邮件服务了,因为我不再信任数字集权的资本家。使用email服务的原则很简单:免费的服务是最昂贵的,因为服务免费,意味着你的隐私和数据就是服务提供商销售的商品或投放广告的场域。
事实上,gmail会读取用户的邮件,以便有针对性的投放广告,所以在隐私和数据安全上并没有什么保障。而且保不准什么时候谷歌就将信息泄露给美帝了,从这个意义上讲,gmail并没有什么好处。
我用了大约一年的时间,才将各种电子邮件分流到不同的服务上:翻译业务采用kuawentrans.com,加密邮件采用protonmail,私人邮件采用自建服务器上的eddyemma.com,学校的邮件采用ciu.edu,等等。
这也是一个需要付出代价的过程,因为每一次收到邮件,都要回复朋友,请按照业务类型,以后使用别的邮箱来通讯。好在gmail有自动回复功能,所以即使在我放弃gmail之后很久,大家仍然能找到我的新邮件地址。
我不使用任何服务器在国内的邮件服务,包括新浪、163、QQ等一切类似邮箱;也不常使用大公司的邮箱,比如谷歌gmail,苹果icloud,或者雅虎yahoo!,以及hotmail。特别是hotmail和icloud,因为他们的服务器也在国内,比如在云上贵州或云上杭州。
最安全的几种邮件服务,需要服务器在欧洲,受到欧盟隐私保护法的保护。美国的邮件服务也不安全,有关部门常常可以根据法律提出取证申请。可以随意搜索一下“secure email”,大概会找到几种真正安全的邮件服务,但若不付钱(免费的安全服务,本身就自相矛盾——免费怎么会安全,安全怎么会免费。或者说,Freedom is always not free……),这些邮箱提供的空间很小,比如protonmail就只有500M,或者tutanota提供1G的免费空间,功能也会有些限制。但若付费,价格通常会在几美元一个月,一般不会超过一杯星巴克超大杯的价格。
但与更高的安全性相比,空间小实在不是什么大问题。163这样的邮箱让用户养成一个不好的习惯,什么邮件(包括垃圾邮件)都保存着,一辈子不删除。这样不太好,邮件应当定期清理,把已经过时的邮件删掉,不再联系的联络人删掉,需要下载备份的附件就转移到自己的加密硬盘上(通常一辈子也用不着)——读一下《简朴生活真谛》这本书,你会有新的感悟。
对我来说,500M的邮件空间绰绰有余。但我是protonmail最早的注册用户之一,所以我的免费空间是1G。但也只用了几十兆而已,大部分邮件都是阅后即焚,不然用这样的安全邮箱简直是暴殄(音‘舔’)天物。
总结起来,邮件服务的选择:
- 大公司的免费服务都不太安全,无论古今中外什么公司,概无例外。
- 如果用户较多,可以采用自建邮件服务器或付费的企业版protonmail之类。
- 慢慢改变邮件使用习惯,保护好自己的隐私。
推荐几个免费功能尚可的安全邮箱:protonmail, tutanota,或者采用signal协议的criptext。如果考虑付费服务,hushmail或者countermail也可以考虑,但付费的邮件服务价格都不低,有时候我觉得自己建一个服务器还便宜一点,但需要专业知识才行,所以网络管理员的费用会比较高,安全性上大概也不如专业邮件服务那么先进。
有些网站,比如protonmail,可能无法直接打开。如果要注册protonmail,可以先在手机上下载protonmail的app,然后直接通过app注册。至少今天测试起来还行。criptext也能这样注册。tutanota在我的重庆电信wifi上似乎打不开服务器,无法通过手机app注册。
最安全的大规模通讯方式,无疑是邮件列表。只要将用户加入列表,就可以简单地群发信息,比起要求打卡确认的聊天室来说,是更可靠而便捷的通讯方式。在加密聊天软件不太可靠的情况下,转为使用安全的电子邮件列表,也许是一种好的替代方案。当然,这也需要付出代价,调整使用习惯,并培训用户。
如果每个人都使用protonmail等安全邮箱,彼此之间甚至可以采用端对端加密邮件。即使是继续使用gmail,也可以通过flowcrypt来加密,以防止谷歌读取邮件的内容。
对了,顺便说一下,打算报名参加我的“释经工作坊”的朋友们,作为一种培训,请注册criptext的邮箱,给我发邮件:[email protected],这个邮件服务就是电子邮件版的signal,协议和加密方式都一样,而且信息完全端对端传输,不会在中间服务器上保存。注册方式很简单,在手机或pc上下载criptext的客户端,注册一个账号即可。只有统一使用一个邮件服务,才能最大程度地利用邮件加密功能。如果没有其他用处,就算是我们的释经讲道工作坊专用邮件服务吧。
对于没有了signal的朋友来说,这样的改变未必不是一件好事。
出品:[email protected];eddyemma.com
简明网络安全(6)|使用vpn的11个理由即其他
阅读本文大约需要: 7 分钟
“When information is cheap, attention becomes expensive.” 信息廉价时,注意力却变得越发昂贵。
― James Gleick, The Information: A History, a Theory, a Flood
google是世界上最大的软件服务提供商之一,其丰富而先进的软件服务是许多网站的基础。国外的许多网站常常嵌入了若干看起来人畜无害的google服务,比如地图,js前端库,流量分析服务,甚至字体渲染,大部分时候都没有什么问题。但这种情况却导致,即使ciu.edu这样的网站,在访问的时候也会出现服务劣化的问题,因为其中有一部分依赖于google的服务是无法访问的。
可以说,功夫网对中国互联网最大的损害,就在于屏蔽了这些优秀的软件服务,导致流氓软件横行。同时,给许多人造成一个错觉,能够访问外网,就意味着安全。
再次说明,我们讨论的是安全问题,不是能否访问油管的问题。可访问性和安全性是两个虽然有关系但却截然不同的概念,一个人能秒开1024p的油管,并不表示他在安全地使用计算机。
从这个意义上讲,vpn是最重要的软件工具之一,可以说每个人都必备。
亚太地区大约有30%的用户(35%)的年轻用户常规性地使用vpn,即使欧盟和北美,也有将近20%的用户使用vpn。具体的分析可以参见下面的网页:
十大使用vpn的理由是:
- Unlocking geoblocked entertainment content 解锁ip限制的娱乐内容
- Accessing networks and sites restricted by government 访问被封的网站
- Safety when using public and shared WiFi networks 使用公共或共享wifi是的安全考量
- Surfing sites frowned upon at work 上班时间上网闲逛
- Accessing blocked sites at school 访问学校禁止的网站
- Using torrents, such as The Pirate Bay 下载盗版电影
- Hiding online behavior from the government, ISP, or employer 隐藏在线行为
- Safe communication among journalists and sources 敏感信息的安全通讯
- Engaging in subversive political activity 反抗
- Reaching local sites while traveling internationally 国际旅行需要
- 在国内还要加上一个:保证大部分合法网站的基本服务
在这十个理由之中,只有前两个和最后一个算是可访问性的需要,其他都是隐私和安全需要。
怎么说呢?我不提供任何vpn,也不提供任何vpn的配置、安装等服务咨询。所以大家不用问我技术问题。我只讲我对网络安全的认识,特别是我不使用的vpn类型。
\1. 不是所有vpn都安全。世界排名前一百位的vpn被控制在29家母公司之中,许多公司都注册在隐私保护不太严谨的地区。
Almost a third (30%) of the world’s top VPN providers are secretly owned by six Chinese companies, according to a study by privacy and security research firm VPNpro.
The study shows that the top 97 VPNs are run by just 23 parent companies, many of which are based in countries with lax privacy laws.https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms
所以,我不使用应用商店里随便下载的免费vpn。可访问性上的便利抵不上安全性上的担忧,特别是大多数人以为有了vpn就可以随意隐性,这是不对的。还是那句话,免费的服务,意味着你成为了商品——而免费的vpn,会让你成为什么样的商品,画面简直美得不敢想象。
\2. 我也不使用“机场”。机场的用户太多,服务太不稳定,携款跑路的情况也不少,而且用实名的支付宝或微信支付买1年的机场使用费,这算是匿名呢还是裸奔?
\3. 我不用协议不开源的vpn。这是密码学的常识——不要使用加密算法不公开的加密服务。我在10多年前为重庆福彩中心研究“时时彩”开奖算法,就谨慎地避开了单独使用国密的坑。
介绍一下我国的密码标准:
国密即国家密码局认定的国产密码算法。主要有SM1,SM2,SM3,SM4。密钥长度和分组长度均为128位。
SM1 为对称加密。其加密强度与AES相当。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。 采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。
所以,我也不使用flag系的工具集——免费+不公开算法,算是几条都犯了。
3.5 尽量选择zero log的vpn。有些vpn会记录用户的登录ip,访问的网站,打开的网页以及详细的访问时间、停留时间等日志。这样的vpn,如果正好又是对你的数据感兴趣的公司或政府控制,那么也谈不上安全。所以,在选择vpn之前,一定要读一下用户许可协议,并查询一下其他人对这家公司的评价。至于来历不明的机场,呵呵,只能自求多福……
\4. 还是那句话,安全和自由的代价都很昂贵,不付代价的想法本身就代表了不安全。
好的vpn,大概一个月费用是几个美元,从性能上讲,需要考虑带宽和稳定性两个指标。从目前的情况来看,即使最稳定的vpn,其速度也不超过1M/秒,稳定性大约在90%。但这样的vpn在安全性上比较可靠——对于我来说,这是第一位的考量。
如果你只是想上点油管或什么的,不太在意安全性,可以不用读下去了,随便用什么都行。
我不提供任何品牌建议,因为这种服务说不定第二天就不通了,还是不提供咨询意见比较好,免得被怪罪。
\5. 技术上没有障碍的人,比如你若是每年14万的计算机专业毕业生,可以考虑用开源的vpn协议自己建一个私有的vpn。技术上的教程很多,跟着做就行了。不知道怎么做的,说了也白说,还是安心考虑其他安全措施比较好。但这种方案也要花钱购买vps服务器,从价格上看,与最好的商用vpn差别不大。
eddyemma.com上有我过去写的一些文章,信息已经过时了很久吧。但有些内容还是可以参考。
许多话都不好多说。但总之一句话,希望每个注重安全和隐私的人,都有高速、稳定、安全可靠的vpn,并能随时以正确的方式加以使用。
但安全也是一种限制,就像唐僧在金箍棒画的圈子里站着,不要大发慈悲出去挽救白骨精一样。节制和谨慎按照规范操作,是保证安全的基本要素,不然再好的工具都是没用的,反而增加了虚假的安全感,让你暴露更多的关键数据。
出品:[email protected];eddyemma.com
简明网络安全(7)|手把手教你阅读TOS
阅读本文大约需要: 15 分钟
流氓不可怕,就怕流氓有文化。——袍哥张
2019年的篇文章,《虚拟服务提供商——安全、选择和各种考虑》,里面也提到signal的往事。现在已经人是物非。
另一篇提到vps的文章,听起来很福音的样子:《在各种坏消息和假消息充斥的时代传讲好消息》。
自从signal被封,有些大型的signal聊天群算是彻底失联。所以,大家都在寻找替代性的安全聊天工具。这个中间有些常识性的问题,比如怎样理解TOS的问题。虽然和技术关系不大,但和安全的关系还是有一些。
举个简单的例子,说明如何从一个软件的网站公开信息,比如TOS上,判断一个聊天软件是否安全。
有朋友询问“Sugram 畅聊版”是否安全。就以这个我从未听说过的软件为例,说明我的判断过程。
- 看看这个软件的介绍:
Sugram 畅聊版是一款为用户提供安全即时通讯服务的工具。
\1. 畅聊:提供文本、语音、图片、视频、名片和位置等聊天方式。 \2. 安全加密:五层端到端加密、全方位算法保障与安全防范。 \3. 保护隐私:云端不保存通讯记录,服务器全球部署保证接入的速度和安全,同时提供阅后即焚和截屏提醒等保护用户隐私。 \4. 简洁体验:专注即时通信,提供稳定的核心基础功能。
看起来是一个安全的加密聊天软件。关于这个介绍里的问题,待会儿再说。
\2. 试着打开公司的网站。我使用brave浏览器(见简明网络安全(3)|浏览器安全),直接报告我说,这家公司的网站没有使用https认证:https://www.sugramapp.com/
因为我安装了https-only插件,Brave和firefox都直接拒绝让我打开sugramapp.com的网站,而是报告说不安全链接。
如果不是为了举例,到这里就结束了——一家开发加密聊天软件的公司,居然不使用https?这算是低级失误吧。
\3. 用不那么苛求安全的edge浏览器打开公司网站。网站显示,开发商名叫“ 武汉珺苍琴网络科技有限公司”,有备案号,留了一个google邮箱。所以,应该是一家武汉的公司,但没有自己的公司邮箱。
\4. 检查网站上的TOS——term of service,或者说服务条款。这是一个很重要的工作,你得看看一个加密聊天服务,到底如何承诺保护你的数据。
这家公司只提供了英文版的TOS,但也没关系,拉出来看看。下面的内容超长,所以我在每个大标题上提示一句,读者若不愿意细看,就看提示就好了。
Information Collection and Use 信息收集和使用(这是要看的重点)
We collect several different types of information for various purposes to provide and improve our Service to you.
Types of Data Collected (信息收集)
Personal Data (个人信息:这个软件要收集个体识别信息,比如电子邮件,电话号码,并用cookies来跟踪用户的使用情况,甚至可能收集其他方面的使用情况。总之,在这个说明上,并未说明这些数据的具体内容。)
While using our Service, we may ask you to provide us with certain personally identifiable information that can be used to contact or identify you (“Personal Data”). Personally identifiable information may include, but is not limited to:
- Email address
- Phone number
- Cookies and Usage Data
Usage Data (自动采集你所有的身份数据,包括手机号,手机型号,唯一序列号,ip地址,操作系统,浏览器类型等等。)
When you access the Service with a mobile device, we may collect certain information automatically, including, but not limited to, the type of mobile device you use, your mobile device unique ID, the IP address of your mobile device, your mobile operating system, the type of mobile Internet browser you use, unique device identifiers and other diagnostic data (“Usage Data”). 数据收集得十分全面。
Tracking & Cookies Data
We use cookies and similar tracking technologies to track the activity on our Service and we hold certain information.
Cookies are files with a small amount of data which may include an anonymous unique identifier. Cookies are sent to your browser from a website and stored on your device. Other tracking technologies are also used such as beacons, tags and scripts to collect and track information and to improve and analyse our Service. (这里说明,也许还会使用——几乎肯定会使用——其他技术来分析和跟踪用户。)
You can instruct your browser to refuse all cookies or to indicate when a cookie is being sent. However, if you do not accept cookies, you may not be able to use some portions of our Service.
Examples of Cookies we use: (这里并不是说明,而是举例。)
- Session Cookies. We use Session Cookies to operate our Service.
- Preference Cookies. We use Preference Cookies to remember your preferences and various settings.
- Security Cookies. We use Security Cookies for security purposes.
Use of Data 这是对数据的使用,下面的说明几乎没有任何具体的地方。或者说,可以任意、无限地使用你的数据。
Sushine Tech Ltd. uses the collected data for various purposes:
- To provide and maintain our Service
- To notify you about changes to our Service
- To allow you to participate in interactive features of our Service when you choose to do so
- To provide customer support
- To gather analysis or valuable information so that we can improve our Service
- To monitor the usage of our Service
- To detect, prevent and address technical issues
Legal Basis for Processing Personal Data under the General Data Protection Regulation (GDPR)
If you are from the European Economic Area (EEA), Sushine Tech Ltd. legal basis for collecting and using the personal information described in this Privacy Policy depends on the Personal Data we collect and the specific context in which we collect it.
Sushine Tech Ltd. may process your Personal Data because:
- We need to perform a contract with you
- You have given us permission to do so
- The processing is in our legitimate interests and it is not overridden by your rights
- For payment processing purposes
- To comply with the law
Retention of Data (您的数据将会被保留下来……)
Sushine Tech Ltd. will retain your Personal Data only for as long as is necessary for the purposes set out in this Privacy Policy. We will retain and use your Personal Data to the extent necessary to comply with our legal obligations (for example, if we are required to retain your data to comply with applicable laws), resolve disputes and enforce our legal agreements and policies.
Sushine Tech Ltd. will also retain Usage Data for internal analysis purposes. Usage Data is generally retained for a shorter period of time, except when this data is used to strengthen the security or to improve the functionality of our Service, or we are legally obligated to retain this data for longer periods.
Transfer of Data (我加红了一个地名,Macao,这可不是五虎上将之一的马超,而是澳门。所以,世界各地的数据都将汇聚澳门,也就是说,会脱离美国或欧美的隐私保护法管辖。)
Your information, including Personal Data, may be transferred to – and maintained on – computers located outside of your state, province, country or other governmental jurisdiction where the data protection laws may differ from those of your jurisdiction.
If you are located outside Macao and choose to provide information to us, please note that we transfer the data, including Personal Data, to Macao and process it there.
Your consent to this Privacy Policy followed by your submission of such information represents your agreement to that transfer.
Sushine Tech Ltd. will take all the steps reasonably necessary to ensure that your data is treated securely and in accordance with this Privacy Policy and no transfer of your Personal Data will take place to an organisation or a country unless there are adequate controls in place including the security of your data and other personal information.
Disclosure of Data (数据披露:当然,根据澳门的法律或你懂的……)
Business Transaction
If Sushine Tech Ltd. is involved in a merger, acquisition or asset sale, your Personal Data may be transferred. We will provide notice before your Personal Data is transferred and becomes subject to a different Privacy Policy.
Disclosure for Law Enforcement
Under certain circumstances, Sushine Tech Ltd. may be required to disclose your Personal Data if required to do so by law or in response to valid requests by public authorities (e.g. a court or a government agency).
Legal Requirements
Sushine Tech Ltd. may disclose your Personal Data in the good faith belief that such action is necessary to:
- To comply with a legal obligation
- To protect and defend the rights or property of Sushine Tech Ltd.
- To prevent or investigate possible wrongdoing in connection with the Service
- To protect the personal safety of users of the Service or the public
- To protect against legal liability
Security of Data (下面这段话的意思是:数据可能不安全,你不可以告我)
The security of your data is important to us but remember that no method of transmission over the Internet or method of electronic storage is 100% secure. While we strive to use commercially acceptable means to protect your Personal Data, we cannot guarantee its absolute security.
Our Policy on “Do Not Track” Signals under the California Online Protection Act (CalOPPA) (我们不支持”别跟踪我“标签,说了也白说,继续跟踪你)
We do not support Do Not Track (“DNT”). Do Not Track is a preference you can set in your web browser to inform websites that you do not want to be tracked.
You can enable or disable Do Not Track by visiting the Preferences or Settings page of your web browser.
Your Data Protection Rights under the General Data Protection Regulation (GDPR) (欧盟之内,可以找我们删除数据。但有点麻烦)
If you are a resident of the European Economic Area (EEA), you have certain data protection rights. Sushine Tech Ltd. aims to take reasonable steps to allow you to correct, amend, delete or limit the use of your Personal Data.
If you wish to be informed about what Personal Data we hold about you and if you want it to be removed from our systems, please contact us.
In certain circumstances, you have the following data protection rights:
- The right to access, update or delete the information we have on you. Whenever made possible, you can access, update or request deletion of your Personal Data directly within your account settings section. If you are unable to perform these actions yourself, please contact us to assist you.
- The right of rectification. You have the right to have your information rectified if that information is inaccurate or incomplete.
- The right to object. You have the right to object to our processing of your Personal Data.
- The right of restriction. You have the right to request that we restrict the processing of your personal information.
- The right to data portability. You have the right to be provided with a copy of the information we have on you in a structured, machine-readable and commonly used format.
- The right to withdraw consent. You also have the right to withdraw your consent at any time where Sushine Tech Ltd. relied on your consent to process your personal information.
Please note that we may ask you to verify your identity before responding to such requests.
You have the right to complain to a Data Protection Authority about our collection and use of your Personal Data. For more information, please contact your local data protection authority in the European Economic Area (EEA).
Service Providers (下面的话大概说,我们和商业伙伴共享数据)
We may employ third party companies and individuals to facilitate our Service (“Service Providers”), provide the Service on our behalf, perform Service-related services or assist us in analysing how our Service is used.
These third parties have access to your Personal Data only to perform these tasks on our behalf and are obligated not to disclose or use it for any other purpose.
Payments
We may provide paid products and/or services within the Service. In that case, we use third-party services for payment processing (e.g. payment processors).
We will not store or collect your payment card details. That information is provided directly to our third-party payment processors whose use of your personal information is governed by their Privacy Policy. These payment processors adhere to the standards set by PCI-DSS as managed by the PCI Security Standards Council, which is a joint effort of brands like Visa, MasterCard, American Express and Discover. PCI-DSS requirements help ensure the secure handling of payment information.
The payment processors we work with are:
- Apple Store In-App PaymentsTheir Privacy Policy can be viewed at https://www.apple.com/legal/privacy/en-ww/
- Google Play In-App PaymentsTheir Privacy Policy can be viewed at https://www.google.com/policies/privacy/
- WeChatTheir Privacy Policy can be viewed at https://www.wechat.com/en/privacy_policy.html
- AlipayTheir Privacy Policy can be viewed at https://render.alipay.com/p/f/agreementpages/alipayglobalprivacypolicy.html
Links to Other Sites (我们要上广告,但不对广告内容负责)
Our Service may contain links to other sites that are not operated by us. If you click a third party link, you will be directed to that third party’s site. We strongly advise you to review the Privacy Policy of every site you visit.
We have no control over and assume no responsibility for the content, privacy policies or practices of any third party sites or services.
Children’s Privacy
Our Service does not address anyone under the age of 18 (“Children”).
We do not knowingly collect personally identifiable information from anyone under the age of 18. If you are a parent or guardian and you are aware that your Child has provided us with Personal Data, please contact us. If we become aware that we have collected Personal Data from children without verification of parental consent, we take steps to remove that information from our servers.
Changes to This Privacy Policy
We may update our Privacy Policy from time to time. We will notify you of any changes by posting the new Privacy Policy on this page.
We will let you know via email and/or a prominent notice on our Service, prior to the change becoming effective and update the “effective date” at the top of this Privacy Policy.
You are advised to review this Privacy Policy periodically for any changes. Changes to this Privacy Policy are effective when they are posted on this page.
这个软件还有一个用户协议(中文的),其中有这样的条款:
五、服务使用规范
4、您承诺不会利用本服务进行任何违法或不当的活动,包括但不限于下列行为:
4.1 上载、传送或分享含有下列内容之一的信息:
(a) 反对宪法所确定的基本原则的;
(b) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(c) 损害国家荣誉和利益的;
(d) 煽动民族仇恨、民族歧视、破坏民族团结的;
(e) 破坏国家宗教政策,宣扬邪教和封建迷信的;
(f) 散布谣言,扰乱社会秩序,破坏社会稳定的;
(g) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(h) 侮辱或者诽谤他人,侵害他人合法权利的;
(i) 含有虚假、诈骗、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;
(j) 含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;
……
4.11 违反遵守法律法规、社会主义制度、国家利益、公民合法利益、公共秩序、社会道德风尚和信息真实性等“七条底线”要求的行为;
4.12 从事任何违反中国法律、法规、规章、政策及规范性文件的行为。
……
7、您同意并接受我们无须时时监控您上载、传送或分享的资料及信息,但我们有权对您使用服务的情况进行审查、监督并采取相应行动,包括但不限于删除信息、中止或终止服务,及向有关机关报告。
8、您承诺不以任何形式使用本服务侵犯我们的商业利益,或从事任何可能对我们造成损害或不利于我们的行为。
9、您了解并同意,在我们服务提供过程中,我们及其关联公司或其授权单位和个人有权以各种方式投放各种商业性广告或其他任何类型的推广信息,同时,您同意接受以电子邮件或其他方式向您发送的上述广告或推广信息。
……
好了,回头说说应用商店里的软件介绍:
Sugram 畅聊版是一款为用户提供安全即时通讯服务的工具。
\1. 畅聊:提供文本、语音、图片、视频、名片和位置等聊天方式。 \2. 安全加密:五层端到端加密、全方位算法保障与安全防范。 \3. 保护隐私:云端不保存通讯记录,服务器全球部署保证接入的速度和安全,同时提供阅后即焚和截屏提醒等保护用户隐私。 \4. 简洁体验:专注即时通信,提供稳定的核心基础功能。
五层端到端加密?我没听说过这种技术,听起来就像纳米技术鸡蛋或量子技术钢笔一样。到底用了哪五层端到端加密,还可以将你所有的信息全部保存下来?顺便说一句,知道什么叫端到端加密吗?这真是忽悠得厉害。
云端不保存通讯记录?阅后即焚?呵呵,请仔细阅读TOS吧。我不多说了。
网络安全,首先需要软件安全。使用一个忽悠人的流氓软件,当然也是一种有胆有识的尝试。
我从前还评论过另一个安全产品的TOS。那款产品号称基于区块链的安全vpn路由器,一边上网,还能一边挖矿。我看了一下TOS,发现什么信息都会采集——事实上,既然你都被人当作矿工了,高价卖一个路由器(其实是矿机)给你,用你家的电为他挖矿,你还想着区块链安全访问外网,还能匿名和保护隐私,是不是有点太那个了?……但这款产品号称一个硅谷的基督徒企业家开发的,而我的文章发出来不到24小时,就被投诉封掉了。我也不知道是动了谁的奶酪了,只能一笑置之,希望不要有人真的觉得安全可靠,就送给敏感地区的宣教士用去了。
算了,不多说了。一句话,即使signal被封掉了,也不要病急乱投医,至少好好读一读软件的TOS。简明网络安全(5)|电子邮件才是安全的王道,或者简明网络安全(6)|使用虚拟专用网的11个理由以及其他。
出品:[email protected];eddyemma.com
简明网络安全(8)|输入法是最大的漏洞
阅读本文大约需要: 4 分钟
越是常用的软件,越容易引起安全漏洞,同时,要让用户改变使用习惯也越发困难。
在中文用户的软件中,输入法是最大的安全漏洞(没有之一)。
输入法是权限很高的软件,比一般的聊天软件权限更高,细节就不说了。而基本上所有的输入法都是强制联网,据说关了也不行,将所有可执行文件删除了也不行(因为输入法是系统服务,并不在应用层执行)。
同时,输入法又是用户重度依赖的工具,而且很难改换使用习惯。
几年前,著名的McAfee公司分析了某些输入法,发现这些输入法用Http明文传输用户输入的数据:
(https://www.landiannews.com/archives/14132.html)。
也就是说,你在键盘上的每个输入,包括你的删除和修改,你的通讯录和自造词,都会被系统权限相当高的输入法捕获,并(明文)上传云同步。这个事情的安全隐患有多大,可以说,只要你在使用云同步的输入法,就基本上等于网络裸奔了。别的什么电子邮件、浏览器安全,根本就不是事儿了。(当然,您还是应当注意其他方面的安全)。
不相信的朋友可以参考这篇文章:https://zone.abluex.com/archives/105.html
最后一段我引用一下:
三、结语
本文通过对Windows10中文输入法用户词库的文件存储协议格式进行分析,明确了用户词库文件中存储词条信息的初始文件偏移位置,以及单个词条信息存储占用的总长度和对应词条字数、输入频率、实际词条内容的具体存储结构。利用本文的提取方法可有效提取用户在使用安装了Win8、Win10操作系统的台式或平板电脑之后留存下的中文输入痕迹。
侦查人员在对电子设备的电子数据分析过程中,有效提取操作系统内自带输入法的用户词库信息,可得到系统用户的输入痕迹信息,便于掌握计算机用户的行为特征,拓展案件侦查线索的渠道。
作者 | 重庆警察学院 周凯https://zone.abluex.com/archives/105.html
我的输入法基本策略是:
\1. 绝对不装任何国产输入法,特别是不用云同步的输入法和支持语音识别的输入法(千万不要使用语音输入)。微软自带的输入法也不用。
\2. 如果可以,优先选用开源的rime输入法,实在不行,也可以换成谷歌输入法。
\3. 将词库放在veracrypt加密盘上,关机就自动加密。
\4. 绝对不使用输入法提供的云同步。
我知道许多人重度依赖自己的输入法,所以只是说说而已,很难下决心做到。
再想想,凡是免费的,就是最昂贵的。免费的输入法可能需要用世界上最昂贵的隐私来交换。
我有个做神学翻译的朋友,听了我的意见,换了输入法。过了一周就告诉我,抱歉,翻译速度大幅度下降,受不了了,是否可以换回从前的输入法?
当然,我能说什么呢。毕竟,中国人愿意牺牲一点隐私来换取方便——这话是谁说的?
坚不可摧的艾城是这样破了的:
艾城和伯特利城没有一人不使用云同步的输入法,撇了敞开的城门,去追赶输入速度……
我做过几次工作坊,提醒大家注意输入法。但这事涉及用户心理学,所以几乎没有任何效果。想想从前我的朋友蒋震老师,可是自己设计和编码输入法的,那时候我们可真自由安全,无忧无虑——他的输入法就叫做“雨辰”输入法,将名字“震”分开了输入。但现在,劝一个人使用开源输入法也有点难度了。一年14万计算机毕业生,不知道学了些什么。
明天休息。周一结束这个系列。写到这里有些意兴阑珊了。如果有人读了这篇文章,成功地下定决心改变输入法,请给我发邮件。RIME的下载地址是:
出品:[email protected];eddyemma.com
简明网络安全(9)|云存储
阅读本文大约需要: 6 分钟
按:
\1. 我现在唯一能做的IT工作是“公司吉祥物”。
\2. 至于计算机安全的问题,我无法提供咨询意见。所有的内容都是按照我的经验随意介绍,若有人参考本系列文章而采取行动,出现安全问题概不负责。
\3. 我一贯的做法,都是按照伟大的数学家Von·诺伊曼博士的助手,伟大的数学家陈省生博士的同事,Paul Halmos博士写在“I Want to Be a Mathemetician”一书中的经验:如果你不想免费审稿,也没有时间免费审稿,就为审稿工作开一个天价,比如150美元一篇,于是就不再有杂志频繁请你审稿了。我一度就是这样做的:计算机咨询是我的工作之一,每小时收费2,000元——大体上和圣经辅导或者法律咨询差不多就可以了。杀毒、重装操作系统或换内存条,或者拆键盘,一次收费5,000元——足够你买一个新PC。所以,我从来没有帮任何人拆过键盘。这样的事情,蓝翔就可以搞定,不需要出动吉祥物。
关于云存储,我用过后(大部分是付费用户)放弃的方案有:
Google, Dropbox, Microsoft, Amazon, EverNote, box。
在这些服务提供无限空间时,我都先后付费给他们,将我的所有数据(主要是孩子们的照片)保存在上面。随着他们一个一个开始提价并提供有限(比如60美元1T的空间)的空间,我就一个一个地放弃,迁移,终于认识到,免费或无限空间,对于任何公司来说都只是暂时吸引用户的幌子而已。至少,硬盘总是需要查电的,也需要用钱买,没有公司会为了用户不断地烧钱。
对了,Yahoo!的那个图片存储服务我也用过。
我没有用过的云存储,包括Baidu,115,腾讯等国内的服务。
对了,我几乎从来不用任何国内的存储服务或软件。
从几年前开始,并不是为了节约钱,我开始使用nextcloud自建服务器。这样做并不便宜,但也不比主流的服务更贵。
按照我的软件使用原则(简明网络安全(2)|操作系统与软件),我几乎只使用评价正面的开源软件。NextCloud也不例外——开源,也相对安全可靠。
我找了一个可靠的服务器提供商,租用了一台独立存储服务器,将我的nextcloud云端存储设在其上。因为空间有富裕,所以我将eddyemma.com的邮件服务器也顺便设在其上,后来无事又建了一个celibre-lib,将所有的电子书都存在服务器上,免得出现《华氏451》这种事故。
关于云存储,实在没什么好说的。一个不二的法则,就是安全和加密的备份与数据同步。
我最不想看到的事情只有两、三件:
- 有一天,百度网盘突然通知我说,“你的某个文件里有敏感词,我们已经帮你清除了文件。” 于是,一个承诺为你数据保密的云存储服务商不仅读取了你的数据,而且还帮助你做了删除的决策。
- 有一天,amazon(或者微软office365或者you name it)告诉我,从下个月开始,本来无限空间的云存储要变更为1T的存储要收5美元/月(或者99.99美元/年),而我已经在上面存储了1.1T的照片和视频,一时不知道怎么安置,连下载到本地都需要2天时间。
- 有一天,有人敲门,拿走了我的手机和计算机硬盘。
我的云存储方案就是按照这三种情况来设计的:独立服务器保存云端数据;自建NextCloud作为网盘;本地采用一块移动硬盘加密,一个大容量存储设备加密。nextcloud数据每天自动备份到另一台独立服务器。
再强调一下安全的原则。安全不是免费的。安全的主要因素在人,在一贯地执行某些简单的安全规范。为了数据的安全,需要付出代价——经费预算和改变操作习惯。这些事情,没有人会为了你操心,只能自己操心。
对于我自己来说,现在的方案已经是针对我的具体需求的最省钱方案了:一台服务器作为云盘、邮件服务器和在线图书馆,一台服务器做独立博客网站和备份服务器,分别部署在不同的国家,采用不同的网络服务和主机服务;在家里也采用两块加密的硬盘来保存本地数据,随时上传手机图片并删除手机上的图片。
这不是“凡尔赛”的炫耀,而是为了安全、加密、冗余备份与可访问性的设计的方案。每个人的具体需要不一样,所以实施方案也不一样。有人会用群晖的NAS,然后用DDNS来穿透内网。这样做对于数据的可访问性和集中性来说自然更好一些,但我还是有云端存储的需求,希望数据在一个物理上的异国他乡,不会因为单点硬盘故障而全部丢失不见。
顺便再说一下,任何配置方案都需要花钱。采用免费的方案,你的数据就成为了服务商的产品。第二,应该将网络安全的投入计算到手机费、宽带费、上网费之中,这些钱都是值得投入的,对于我来说是生活必需品。第三,我只是介绍我自己的方案,是为了满足我的需求而迭代多年的现实配置。我已经不再是所谓IT业内人士,无法提供免费(或者收费)的方案咨询,也没有时间回答太过于具体的问题。
明天讨论密码管理问题。然后就总结一下,结束这个系列——今天已经有名字上写着“……#Linux中国”的朋友来拜访我的公众号,这就让我有点太过于显得班门弄斧了,赶紧结束讨论,回到神学翻译这样的舒适区为妙。
出品:[email protected];eddyemma.com
简明网络安全(10)|密码管理
阅读本文大约需要: 7 分钟
按:1. 一个简明教程,或者介绍我自己网络安全实践的短文,写到第10篇,大概真的该停下来了。我已经迫不及待要想讨论以弗所书1:4-5中的“爱”的翻译问题了。明天就结束这个系列。以后可以使用“Kuawen, LLC”的名义提供网络安全咨询服务,$250一个小时,只聊天不动手。
下面是我2018年写的相同系列之一:“密码管理”。除了lastpass的部分,现在应该还没有过时,但内容略有增加:
很多人的账号被黑,密码币被盗,都是因为密码管理的问题。
一般来说,有三种情况:
\1. 有人为了方便记忆,采用很简单的密码。这些密码早已经在黑客的字典库中,轻易就被破解了。比如,“0000”,“12345678”,“19800101”…… \2. 有人把一个复杂的密码写在纸上,但是过一阵就忘记了。于是重新修改成为简单的密码。然后……同第1步一样,密码被破解了。 \3. 有的人的密码很复杂,但是为了方便记忆,所有网站都是用同一个密码。但是有的网站被黑客攻破,所以密码丢失。于是,对于个人来说,他/她的所有网站都被破解了。
近来,关于密码的设定标准,已经有了新的修改。过去我们认为一个完全随机的长密码是最好的,但是这样的密码无法记忆,所以很难让每个人在每个账户上使用安全密码。有句玩笑说,经过20年的训练,我们已经成功地让每个人都采用人类难以记忆、而计算机很容易猜出的密码!
现在的标准认为,攻击密码的主要方式是计算机暴力破解,所以密码是否随机无关紧要,只要足够长就可以抵御攻击。所以,建议大家使用pass phrase,也就是一句长长的句子来作为密码,好记又安全。
现代专家建议四种设置密码的方式:
- Bruce Schneier’s Method:把一个句子转变为一个密码。比如,根据唐诗“明月松间照,清泉石上流”,将你的密码设为“mysjzqqssl”,但若加上其他方法会更好一些。
- The Electrum Method:用随机的单词组成密码。比如,我曾经用“duck can not fly”作为密码,我能记住,但是别人很难猜到,熵值也足够高,让计算机也很难猜。这种方法近年来有失效的趋势,因为黑客也开始采用以单词为单位的暴力攻击了。
- The PAO Method:讲故事,要有一个人物,一个动作,和一个对象(person-action-object)。所以,找一幅图片,然后根据图片编一个故事,作为你的密码。记住那幅图片即可。
- 肌肉记忆法:设定一个随机密码,不要用大脑记忆,而是在键盘上反复输入n遍,直到你的肌肉记住密码为止。如果群众需要,我可以开发一个训练程序,设定一个时限和正确率,帮助大家训练。
但是最重要的原则是,每个网站的密码一定要不同(!!),所以无论采用怎样的方式,都会带来很大的记忆负担。
比如,我有521个网站设定了密码和用户名以及注册邮箱、电话等信息。另外还有72条安全笔记,比如我的公钥和私钥,家里的路由器配置参数,wifi密码之类。事实上,无论如何,我都不可能把所有密码记住。
所以,我们需要密码管理器。
我不推荐商业产品,只是介绍我现在使用的密码管理器:lastpass。lastpass有免费版的,但我总是使用付费版,一个月2美元,等于我在超市结帐的时候顺手拿了一盒口香糖。(从前我使用lastpass,而且是付费版。但**lastpass上个月改变了用户协议——**还是一样,没有永久免费的服务,没有物美价廉的服务,只有认真付出代价的服务。所以,即使痛苦,即使我的付费版仍然正常工作之中,我也花时间将密码管理器更换了)。
即使免费版,也可以帮助你保存密码、生成强密码、浏览器插件自动填写密码、手机app同步等等功能。如果不放心,也可以将所有密码导出到本地保存,lastpass就变成一个本地密码管理器。
但是,我喜欢将密码保存在云端,这样随时都可以访问所有网站,又有足够的安全性。
只要认真使用,lastpass可以大大提高我们上网的安全性。
我的密码管理器是bitwarden,网站是https://bitwarden.com/。
照例,这是免费、开源、口碑良好的软件工具。(警告:本文不是推荐工具,也和bitwarden没有任何商业关联。若照此采取行动,出现安全问题,我不承担责任。我鼓励大家自行研究和选择适合你的工具集合。)
bitwarden(或者其他密码管理器)带有浏览器插件,可以帮助填写用户名和密码,也可以自动保存某个网站的用户登录信息。另外,它也可以帮助生成任意长度的随机密码,确保每个网站的登录信息都不一样。
bitwarden也有手机app,可以在pc端和手机端同步数据,协同工作。
简单说一下密码管理的原则。
- 你必须记住一个很长的主密码。这个密码用来打开密码管理器。主密码要长——我用了超过30位长度的主密码,确保暴力攻击破解的时间会长于我在世上与主同行的时间(参创 5:22b)。
- 这个密码可以考虑使用一句话,比如电影《风语者》里印第安人说的一句话。使用你不常用的语言,基督徒可以考虑使用亚兰文圣经或拉丁文圣经或七十士译本,找一句喜欢而不常见的经文(不要用诗篇23或约翰3:16),花一个小时背诵下来。我的导师Geoge Murray博士大概会推荐路加福音 17:32——据说,他结婚的时候,同学们送了他一块刻有圣经经文的牌子,上面写的就是这句话。但记住,不要使用中文,换一种语言更好。
- 在手机上安装一个两阶段认证的app——我现在使用的还是lastpass的authenticator,但谷歌,微软什么的也行。在美国的时候,我们可以自己diy一个硬件authenticator来用,但现在我使用google titan作为物理凭证。
- 使用两阶段认证(不要用手机短信作为认证凭证,因为通讯服务商很容易拦截短信上的验证码。使用authenticator或fido2的凭证保护密码管理器。
- 将所有密码都集中管理在密码管理器中(我使用bitwarden),所有生成密码的地方,都使用密码管理器来自动生成随机密码,绝不要记忆任何多余的密码——只有这样才能保证每个网站的密码都不一样。
- 定期改变常用重要网站的密码,比如常用邮箱,聊天工具,银行网站等。
简明的部分就差不多了,其他的不说也吧。明天总结一下,就结束了。TOS一章应该是计划之外。
出品:[email protected];eddyemma.com
简明网络安全(11)|全在良好习惯
阅读本文大约需要: 5 分钟
诗篇 17:14 耶和华啊,求你用手救我脱离世人,脱离那只在今生有福份的世人!你把你的财宝充满他们的肚腹;他们因有儿女就心满意足,将其余的财物留给他们的婴孩。
马太福音 6:21 因为你的财宝在那里,你的心也在那里。
安全是一种习惯。我不相信不付出代价的安全,就像耶稣不相信人的财宝在一个地方,而那人的心却在另一个地方。
这些文章是对个人网络安全的简单介绍:
简明网络安全(5)|电子邮件才是安全的王道 简明网络安全(6)|使用虚拟专用网的11个理由以及其他
实际上,这些内容只是讨论了最基本的安全策略、习惯和工具集合。随着安全要求的提升,还有很多高级话题可以讨论,不过安全始终是一个群体的安全。没有通讯就没有安全的暴露。所以,若不能教育与你通讯的伙伴采取更为安全的策略,单边安全策略不太有效。
但是,即使是这些简单的策略和工具,也可能让你的大多数通讯伙伴觉得不安,甚至会找出各种理由来说服你或指责你,让你不要采用这么**“复杂”**的策略和工具。这是可以理解的事情,需要忍耐,需要long-suffering,慢慢来吧。
即使在疫情封锁最严重的时期,我也从未参加过任何大规模在线的zoom会议,拒绝了好几次要求带领祷告或发言的机会——很简单,我不太信任zoom会议里诸多不了解、没有见过面、没有打过交道、仅仅在网络上偶遇的人,也不能信任他们的安全策略。
安全的问题永远是维持自己比较高的标准(就像你要维持自己的圣洁,而不是总要求其他基督徒圣洁,或者听道是为了自己的应用,不是为了去告诉朋友该如何应用);不要俯就低安全标准的伙伴,而是尽量想办法提升他们的安全性,以便更好的协作。
我从来不在微信公众号上使用“JH”,“JG”,“JDT”,“MS”之类的符号来逃避审查。如果不能正常地写作,就放弃写作好了。这类符号并不增加安全性,只是增加了阅读的困难性,显出一个人心里的担忧和虚弱。只有1984里的大洋国才会每年出一本新话字典(不是新华字典),删除掉若干词汇,以便减少语言的表达能力——从这个意义上讲,“JH”这类去掉韵母的首字母缩写,去掉了太多的可能性,使得语言的表达能力大幅度降低了。纯粹从语言哲学的意义上,我也反对有些所谓“圣经辅导”所提倡的“完全用圣经的术语来描述人的精神状态”之类的论调(参见:词汇量的反动派)。
要提升网络安全性,需要改变习惯——习惯往往是某些大型数字资本主义希望你建立的,比如最近朋友圈里炒得火热的“阿里云盘公测——速度即正义”。
速度完全可能是一种压迫,而不是正义(不然,保罗就不会说“没有义人,一个也没有了”);同时,这号称“永久免费,永不限速”的云盘,不过两年(按照Ali在股市上承受的压力,也许1年)就会改变TOS,开始收费。到那时,花费心思将从前透明给百度的数据再透明一遍给阿里,真的很有趣吗。当然,在初期,阿里多半愿意用一点提速来换取广大网民宝贵的数据控制权和隐私权。
要提升网络安全性,也需要投入资源,不要将自己陷在免费服务的陷阱里。使用免费服务,你的数据和你的隐私就成为别人的商品了,免费和安全是天然冲突的观念。当然,大部分人会理所当然地花钱买手机,但却不会花钱租用服务器,构建自己的云存储或邮件系统,或者接受付费安全咨询。这就像我们不断讨论的“盗版书”问题一样,需要慢慢改变习惯。
网络安全也需要学习,需要不断跟踪最新的实践和技术。终身学习是很难的,我们慢慢就老了。
再强调一遍,不付出代价的安全不是安全——要不就是你付出代价,要不就是神的儿子在十字架上付出代价。
God B-less!
出品:[email protected];eddyemma.com
简明网络安全(12)|一站式解决方案之乌托邦
(存目,无内容)
简明网络安全(13)|内容安全之贫贱不能移
阅读本文大约需要: 5 分钟
昨天忙着翻译和预备讲道,也因为MMC的报名被外星人劫持,没什么心情掺和到热闹的“世界读书日”活动中。唯一在微信朋友圈鼓励大家读书的是这样一段话:算了,世界读书日,还是给大家一个读书的理由:你读书,书不会读你。
配图当然是“我家电视机正在监视所有联网设备”( https://www.v2ex.com/t/772523),而且不仅是你家的设备,还扫描周边的设备和wifi热点。
读书就没这么夸张,你不做笔记,书也不会扫描你。(朋友留言说,电子书除外。)
今年的违规删帖名额怕是早就满了,看来要推动宣教不是一件容易的事情,敏感词太多。
我需要把博客作为主力站点吗?也许有一天微信就永封了吧。至少,eddyemma.com是一个不会被封锁的独立博客,最多不过需要vpn,内容不会丢失。MMC的报名,请移步“https://eddyemma.com/blog/2021/04/24/mmc工作坊报名/”吧。
我不打算为了所谓的过审而自我阉割,能写的东西已经不多,实在发不出来就算了,也没什么大不了的。
留言一则及其回应:
A:看你这么严肃的文章,中间总穿插两个不相关的广告……我感觉不大好,会有影响。。你怎么看
B:我从来不“怎么看”自己写的东西
A:好吧我看到广告的时候思路会被拉开一下。其他还好,有时候广告推荐一些不大好的小说的时候就会有些试探了。你可以看看
B:你是对的。广告分心,以后去掉吧。谢谢
A:感谢主
微信这么个平台,算了,真有严肃到看见广告也会分心的内容,大概也就是被封的命运吧。以后中间不插广告了。
作为一个坚决否认自己是“主内公号”的平台,不过随意发表自己的想法而已。要是这也做不到,多少有些了无趣味。
但内容安全还是需要的。使徒保罗就不小心遗失了写给哥林多教会的一封信的原稿,我相信是被罗马的内容检查官毁掉了。古人不备份,只是将文字刻在石碑上就算永存了。上周去碑林看到地震毁掉的数十万字经刻,不由得一声长叹。
我的内容是这样备份的:
- 所有内容复制到独立租用的eddyemma.com服务器,并将wordpress的数据库备份到另一台独立服务器上。
- 采用updraftPlus插件,每天备份wordpress数据库和配置到google drive上。保留10天的增量备份。
- 如果没事,将文章转到微信上留一份,以人民群众喜闻乐见的方式方便没有vpn的朋友。(最近懒惰,也有直接上微信的,罪过罪过!)
- 从前一度,所有文章还有传到steemit区块链,以及ipfs系统,保证永不会被消失掉。后来steemit被中资收购了,于是就没落了。看来还是需要自己的独立博客比较稳定。
MMC接下来多多使用邮件,请大家一定注册安全邮箱,比如protonmail。
顺便说一下邮箱的安全使用方式:
- zero inbox: 保持零未读邮件。去掉所有不看的订阅。如果需要安全,最好保持收件箱和垃圾箱全空。
- no reply。每次都新写一封邮件,不要用回复功能(或者小心地删除对之前通信的引用)。这样如果对方邮箱被黑(或者密码被拿走),也不会看到你们之前的对话。
- 最好附加PGP签名和公钥,或者大家都用同一个安全邮箱,比如protonmail,这样就自动相互加密了。
以后所有文章首发Eddyemma.com,微信还是作为小号比较好玩。
安全是一种习惯。我不相信不付出代价的安全,就像耶稣不相信人的财宝在一个地方,而那人的心却在另一个地方。
简明网络安全(14)|硬盘加密问题
阅读本文大约需要: 2 分钟
有朋友问到这事,已经是血泪教训了——硬盘、手机、电脑都被拿走过,硬盘再也没回了。
回答几个简单问题,说明我的判断。然后讨论硬盘加密的问题。
Q:手机被拿走一段时间,是否还能安全使用?
A:简单地说,重置,抹去一切数据,设置另一个apple id或三星id,更好手机号,我觉得大多数时候都可以继续使用。许多人没有钱换新,所以舍不得丢弃失而复得的手机。但另一方面,植入高级到清盘都会残留的蠕虫软件,大概也有点成本太高。植入蠕虫的最佳方式是不知不觉地做——我见过这样的做法,比如两人在聊天的时候,乘人不备地植入蠕虫。但因为手机随时可以更换,而植入蠕虫的经济成本较高,我不认为这样的事情会公开地、大范围地做。所以,简单地说,我认为重置系统是安全的。当然,有条件置换一下手机,更好一些。
Q:电脑呢?
A:电脑重写BIOS,格式化硬盘,大概也能继续用。原因同上。
好了,下面讨论硬盘加密的问题。
我使用VeraCrypt对移动硬盘加密。
VeraCrypt的前身叫TrueCrpyt,后者在2014年停止更新之后,VeraCrypt继承了代码库,继续了这个项目。
VeraCrypt满足我的使用原则:开源,有很好的口碑,有独立审计报告,有活跃的用户群体。
我主要使用windows版portable的VeraCrypt,界面大概这样:
支持各种系统加密、磁盘加密和文件加密。唯一的问题在于,千万不要忘记密码,因为这玩意据说连恐怖分子都用,几乎无法破解。我个人的悲剧是曾经忘记了财务数据库的密码,于是丢失了一整年的财务数据以及2天猜测密码的时间、一周的自怨自艾以及两周的对帐工作。
VeryCrypt使用随机数据初始化磁盘,所以未经解密的磁盘和未经格式化的磁盘完全一样,没有任何规律和迹象可循。另外,在加密盘内还能藏一个隐藏加密盘,用于抵赖。
对于移动硬盘来说,应当全盘加密,另外,自己的关键数据是需要加密的。中文维基百科提供了一下基本的使用注意事项,可以阅读。
https://zh.wikipedia.org/wiki/VeraCrypt
出品:[email protected];eddyemma.com
不简明网络安全(15)|Hugo静态网站,https,cloudflare以及其他
阅读本文大约需要: 3 分钟
下午聚会之后回家的路上,Lisa要求听“Peter Pan“的故事……
故事很曲折,我们听到铁钩海盗也希望小女孩Wendy作他们的妈妈,实在忍不住笑了起来。当然,乐极生悲,到了下午某个时间,我的另一个网站就再次无法访问了。
晚上在家里处理这事,检查letscrypt的数字签名,正好朋友发来信息,让我帮忙看看他在公众号“遥望终点”上的”传道书19“是否被封,我也就请他帮忙看看我的网站问题。结果他给出了一个我完全没有注意的盲点:80端口还能继续访问——虽然这没有什么用处。
也就是说,我的网站只是443端口的https被封闭,http协议使用的80端口仍然健在。当然,这没什么用。因为我所以的流量都自动重定向到https。这年头谁会用明文的http协议呢?如果一个网站是默认http的,我的浏览器都会自动报警说不安全,甚至在大量https链接中偷偷藏一个http链接,我的浏览器也会停止服务,并报告说”混合链接“警告。
好在我的网站是静态html为主,所以去掉https的链接,改为http还能继续检查几天,不过看起来访问速度在现代浏览器的挑剔嫌弃之下,比蜗牛也快不了多少。
折腾了半天,实在无法忍受,只能使用终极大招cloudflare了——虽然违背了我的单一静态网站的设计初衷。
这倒是简单,修改dns指向cloudflare的dns服务器,选择cloudflare代理即可。
Cloudflare代理
有些细节我没有调整,暂时先这样用着吧。加上CDN代理之后,似乎全球访问速度有所提高。这也是采用hugo这样的静态网站生成器带来的增益吧。如果采用wordpress,php的动态网页和后台数据库访问,很难有效地做分布式内容分发,至少从经济成本和运维难度上是要上台阶的。
而现在,我就用一个free plan的cloudflare来解决了,据说速度提高了28%。
不过,仍然劝大家尽快采用RSS订阅各种网站(包括但不限于eddyemma.com,kuawentrans.com)为好。没什么理由,以后的人类只会分为两种:已经使用RSS订阅者和将要使用RSS订阅者。
本来想写点别的,但总有各种意外发生呀,解决一个问题又出现一个问题。先放下一切睡觉了。对了,如果第一次打开网页报告超时,那时因为cloudflare没有做好第一次访问的缓存。再来一下就行了。
出品:[email protected];eddyemma.com