楼主:
Akaz (Akaz)
2015-06-08 15:25:38为免部分板友因这次事件对KCV/航海日志等的proxy产生恐慌
小弟决定发文略微解释一下这些proxy的原理
如有错误还请斧正
hinet的proxy, 或者说transparent proxy (透明proxy), 大概是这样的:
(因为有混淆, 所以把VPN拿掉了)
╭─╮ ╭─╮ ╭─╮
│本├──┤P├───────┤远│
│ │ │R│ →要资料 │ │
│机│ │O│ │ │
│ │ │X│ 给资料← │ │
│端│ │Y├───────┤端│
╰┬╯ ╰┬╯ ╰─╯
│ │ ↓存进快取
│ ╭──┴──╮
╰─┤CACHE│
╰─────╯
↑从快取给资料
挂proxy的时候本机端会透过proxy去要资料,
而proxy就把这些资料先存进快取里面,
每当有使用同一个proxy的使用者要求某页面的时候,
如果快取里面已经有一样的页面就从快取里面拿,
所以读取页面的速度会提升;
但是proxy这边并不知道它所经手的资讯是不是隐私资讯,
所以全部的东西都会被存进cache, 造成登到他人帐号的问题.
即使先登入游戏再开proxy, 只要有F5一样有可能被cache,
因此这样的方法并不安全.
另一方面, KCV/航海日志等则是这样:
╭───────────╮
│╭─╮ ╭─╮ ╭─╮│ ╭─╮
││本├─┤P├─┤V├┼──────┤远│
││ │ │R│ │ ││ →要资料 │ │
││机│ │O│ │P││ │ │
││ │ │X│ │ ││ 给资料← │ │
││端├─┤Y├─┤N├┼──────┤端│
│╰─╯ ╰─╯ ╰─╯│ ╰─╯
╰───────────╯
资料的传输是先经过本机(localhost)上的proxy解完封包之后,
移除掉转发的封包header之后送出去,
封包的样子和没有这层proxy完全相同, 也不会有被cache暂存的问题,
其实就和一般情况下的网络浏览一样.
只要确保proxy只对本机开放(参照近期的KCV修正)就不会有任何安全性疑虑.
希望对大家有帮助 (′‧ω‧‵)
作者:
kira925 (1 2 3 4 疾风炭)
2015-06-08 15:26:00你第一个图应该是错的 那样应该会被DMM挡掉Client - Proxy - VPN - DMM应该才是连的上的情况改Cookie的路径应该会是 Client - Proxy - DMM?
作者: Riorley (璃欧莉) 2015-06-08 15:34:00
确定KCV没事我总算能放心玩了~
作者:
sopare (手帕)
2015-06-08 15:36:00改饼干的话不用VPN就能连到DMM
第一张应该是本机->VPN加密->proxy->VPN主机解密->DMMVPN有问题会是在VPN server那头
用softEther 的VPN连然后用原始码那个短时间网址OK吗?
作者: LegendEpic (N.Twin) 2015-06-08 16:04:00
那样看架VPN的人有没有恶意了 不过基本上盗舰娘没意义
第一张图没什么错吧(? 至于KCV的状况也跟第一张一样
恩,我有看到先登入DMM再连VPN感觉是比较安全?
KCV转掉proxy应该是fiddler那层 最后走IE还是有proxy
作者: LegendEpic (N.Twin) 2015-06-08 16:12:00
基本上输入帐密的页面是走https 所以那页用VPN没问题
不过都已经烤饼干 应该就不用在那边考虑VPN的使用了?
作者: LegendEpic (N.Twin) 2015-06-08 16:13:00
在取得舰娘的token那边 不要假手他人是最好的
作者: LegendEpic (N.Twin) 2015-06-08 16:19:00
最佳做法还是烤Cookie 直连进舰娘游戏的页面最安全取得直连连结后再挂Proxy来加速自己租那已经是付费阶段的安全作法虽说租一台日本IP的VPS只要一个月10镁
我意思是VPN提供的没错XD,不过走VPN其实也没办法再挂Hinet的PROXY
楼主:
Akaz (Akaz)
2015-06-08 16:24:00其实可以挂 Windows我是不知道 OSX我刚才有实验过
这样不会被Hinet判定说你不是中华电信用户不给你用吗
hinet proxy有验证你是否为中华IP的部份吗(?至于第二张图我自己后面有推 跟你描述的差不多只是一般人改proxy也不是改fiddler的proxy为了简化模型你可以考虑不提到他(X
作者: pths313 (萌夯猎人) 2015-06-08 16:55:00
这事件还真的上新闻了 苹果好会抄...
作者:
tomalex (托马列克斯)
2015-06-08 16:58:00C洽刚转贴
作者:
tomalex (托马列克斯)
2015-06-08 17:01:00下面刚转贴(′・ω・‵)
作者:
kira925 (1 2 3 4 疾风炭)
2015-06-08 17:50:00hinet proxy应该没有验 因为以前还用拨接的时代就可以换
作者:
hmci0112 (å¹¹ä½ å¤§é€ )
2015-06-08 18:12:00那vpn的原理呢 大大可以讲解一下吗 ><
作者: LegendEpic (N.Twin) 2015-06-08 18:37:00
VPN讲起来很麻烦 简化就是你连线VPN后 所有通讯传输都要经过VPN Server 他只帮你抓资料 不会把你的资料变成快取 所以不会有第二人拿到同样资料的疑虑再简单说一点就是 VPN你连线后就是用他的网络环境风险前面就提过了 大概就这么一回事
虽然proxy会抓取存放的资料,没想到会发生这种问题...
作者:
Kenqr (function(){})()
2015-06-08 20:21:00网页里可以设定这个页面能不能被快取,所以这次的事件有可能是DMM方没做好快取的设定,另一种可能是hinet偷吃步硬是要快取。
作者:
sigurose (胜利玫瑰。)
2015-06-12 15:56:00Proxy的特性本来就是会纪录URL,否则就无法达到‘快取’的效果了,所以很多加密网页还会特意阻挡Proxy。除非Server为了预防Replay而再加入其他验证,例如禁止多重IP连线之类的。