Re: [闲聊]这是哪位可怜乡民??

楼主: Akaz (Akaz)   2015-06-08 15:25:38
为免部分板友因这次事件对KCV/航海日志等的proxy产生恐慌
小弟决定发文略微解释一下这些proxy的原理
如有错误还请斧正
hinet的proxy, 或者说transparent proxy (透明proxy), 大概是这样的:
(因为有混淆, 所以把VPN拿掉了)
╭─╮ ╭─╮ ╭─╮
│本├──┤P├───────┤远│
│ │ │R│ →要资料 │ │
│机│ │O│ │ │
│ │ │X│ 给资料← │ │
│端│ │Y├───────┤端│
╰┬╯ ╰┬╯ ╰─╯
│ │ ↓存进快取
│ ╭──┴──╮
╰─┤CACHE│
╰─────╯
↑从快取给资料
挂proxy的时候本机端会透过proxy去要资料,
而proxy就把这些资料先存进快取里面,
每当有使用同一个proxy的使用者要求某页面的时候,
如果快取里面已经有一样的页面就从快取里面拿,
所以读取页面的速度会提升;
但是proxy这边并不知道它所经手的资讯是不是隐私资讯,
所以全部的东西都会被存进cache, 造成登到他人帐号的问题.
即使先登入游戏再开proxy, 只要有F5一样有可能被cache,
因此这样的方法并不安全.
另一方面, KCV/航海日志等则是这样:
╭───────────╮
│╭─╮ ╭─╮ ╭─╮│ ╭─╮
││本├─┤P├─┤V├┼──────┤远│
││ │ │R│ │ ││ →要资料 │ │
││机│ │O│ │P││ │ │
││ │ │X│ │ ││ 给资料← │ │
││端├─┤Y├─┤N├┼──────┤端│
│╰─╯ ╰─╯ ╰─╯│ ╰─╯
╰───────────╯
资料的传输是先经过本机(localhost)上的proxy解完封包之后,
移除掉转发的封包header之后送出去,
封包的样子和没有这层proxy完全相同, 也不会有被cache暂存的问题,
其实就和一般情况下的网络浏览一样.
只要确保proxy只对本机开放(参照近期的KCV修正)就不会有任何安全性疑虑.
希望对大家有帮助 (′‧ω‧‵)
作者: kira925 (1 2 3 4 疾风炭)   2015-06-08 15:26:00
你第一个图应该是错的 那样应该会被DMM挡掉Client - Proxy - VPN - DMM应该才是连的上的情况改Cookie的路径应该会是 Client - Proxy - DMM?
作者: Riorley (璃欧莉)   2015-06-08 15:34:00
确定KCV没事我总算能放心玩了~
作者: sopare (手帕)   2015-06-08 15:36:00
改饼干的话不用VPN就能连到DMM
作者: ftx12329 (极地熊)   2015-06-08 15:43:00
第一张应该是本机->VPN加密->proxy->VPN主机解密->DMMVPN有问题会是在VPN server那头
作者: a25172366 (Ei)   2015-06-08 15:54:00
用softEther 的VPN连然后用原始码那个短时间网址OK吗?
作者: LegendEpic (N.Twin)   2015-06-08 16:04:00
那样看架VPN的人有没有恶意了 不过基本上盗舰娘没意义
作者: juicefish (果汁鱼)   2015-06-08 16:05:00
第一张图没什么错吧(? 至于KCV的状况也跟第一张一样
作者: a25172366 (Ei)   2015-06-08 16:10:00
恩,我有看到先登入DMM再连VPN感觉是比较安全?
作者: juicefish (果汁鱼)   2015-06-08 16:11:00
KCV转掉proxy应该是fiddler那层 最后走IE还是有proxy
作者: LegendEpic (N.Twin)   2015-06-08 16:12:00
基本上输入帐密的页面是走https 所以那页用VPN没问题
作者: juicefish (果汁鱼)   2015-06-08 16:12:00
不过都已经烤饼干 应该就不用在那边考虑VPN的使用了?
作者: LegendEpic (N.Twin)   2015-06-08 16:13:00
在取得舰娘的token那边 不要假手他人是最好的
作者: a25172366 (Ei)   2015-06-08 16:15:00
了解,因为是电脑白痴不懂XD 感谢
作者: LegendEpic (N.Twin)   2015-06-08 16:19:00
最佳做法还是烤Cookie 直连进舰娘游戏的页面最安全取得直连连结后再挂Proxy来加速自己租那已经是付费阶段的安全作法虽说租一台日本IP的VPS只要一个月10镁
作者: ftx12329 (极地熊)   2015-06-08 16:24:00
我意思是VPN提供的没错XD,不过走VPN其实也没办法再挂Hinet的PROXY
楼主: Akaz (Akaz)   2015-06-08 16:24:00
其实可以挂 Windows我是不知道 OSX我刚才有实验过
作者: ftx12329 (极地熊)   2015-06-08 16:29:00
这样不会被Hinet判定说你不是中华电信用户不给你用吗
作者: juicefish (果汁鱼)   2015-06-08 16:49:00
hinet proxy有验证你是否为中华IP的部份吗(?至于第二张图我自己后面有推 跟你描述的差不多只是一般人改proxy也不是改fiddler的proxy为了简化模型你可以考虑不提到他(X
作者: pths313 (萌夯猎人)   2015-06-08 16:55:00
这事件还真的上新闻了 苹果好会抄...
作者: vincent0728 (Vincent)   2015-06-08 16:56:00
竟然上新闻了...
作者: charlietk3 (阿洛小花)   2015-06-08 16:57:00
哪篇压?
作者: tomalex (托马列克斯)   2015-06-08 16:58:00
C洽刚转贴
作者: organ63521 (期望越大=失望越大)   2015-06-08 17:01:00
有新闻连结吗?
作者: tomalex (托马列克斯)   2015-06-08 17:01:00
下面刚转贴(′・ω・‵)
作者: kira925 (1 2 3 4 疾风炭)   2015-06-08 17:50:00
hinet proxy应该没有验 因为以前还用拨接的时代就可以换
作者: Becuzlove (阿呜阿呜阿呜呜~)   2015-06-08 18:06:00
大推!!! 可是我还是看不懂XD
作者: hmci0112 (幹你大造)   2015-06-08 18:12:00
那vpn的原理呢 大大可以讲解一下吗 ><
作者: LegendEpic (N.Twin)   2015-06-08 18:37:00
VPN讲起来很麻烦 简化就是你连线VPN后 所有通讯传输都要经过VPN Server 他只帮你抓资料 不会把你的资料变成快取 所以不会有第二人拿到同样资料的疑虑再简单说一点就是 VPN你连线后就是用他的网络环境风险前面就提过了 大概就这么一回事
作者: livedead (虱森炎出)   2015-06-08 19:38:00
感谢解说
作者: jiko5566 (云落炩)   2015-06-08 20:13:00
虽然proxy会抓取存放的资料,没想到会发生这种问题...
作者: Kenqr (function(){})()   2015-06-08 20:21:00
网页里可以设定这个页面能不能被快取,所以这次的事件有可能是DMM方没做好快取的设定,另一种可能是hinet偷吃步硬是要快取。
作者: sigurose (胜利玫瑰。)   2015-06-12 15:56:00
Proxy的特性本来就是会纪录URL,否则就无法达到‘快取’的效果了,所以很多加密网页还会特意阻挡Proxy。除非Server为了预防Replay而再加入其他验证,例如禁止多重IP连线之类的。

Links booklink

Contact Us: admin [ a t ] ucptt.com