@__eternity__:任何严肃的创业者都要慎重选择国内的云服务。 ​​​​

@__eternity__: 这件事就好像你买了一套房子,然后发现卧室和洗手间被开发商装了摄像头一样。刺激不刺激?惊喜不惊喜?

@zhufengme:昨天晚上吐槽的朋友圈,一不留神就被刷屏了。肥鹅的业务现在虽然不大,但签证产品保存的都是用户的所有身家,从银行账户到消费流水,从工资收入到灰色收入,从房产有几套到车子有几部,从有几个孩子到有几个老婆。。。所以你们别嫌我矫情,也别嫌我们慢,技术上保守和洁癖真的是有道理的 [黑线]

朱峰@肥鹅旅行

用阿里云的同学务必关闭其镜像中默认安装的 Snort / gshelld / aliyun-service / aegis 相关的所有进程,特别是前两个,方法是直接删除文件并重启,别问为什么,别问我怎么知道的,我特么更新了一晚上PKI了,所有密钥和服务器证书全换了

朱峰@肥鹅旅行:下周肥鹅所有服务包括邮箱全换到独立服务器,国内的云无法信任

朱峰@肥鹅旅行说下细节,由于我们需要做一个爬虫来抓取各使馆网站获得最新消息和 签证进度,鉴于使馆网站都在国外,所以设定了一个ipsec的隧道连接到日本的服务器做抓取。阿里服务器做提取并通过另外ー条隊道传回公司内网

朱峰@肥鹅旅行:然后我发现在特定时间点,抓取特定内容时,内网服务器报连接重置,而在阿里服务器上模拟是抓的到的,看抓取目标发现页面上有某些你懂得关键词

朱峰@肥鹅旅行:然后问题来了,既然出口服务器,阿里服务器,内网服务器之间都是加密连接,那gfw是如何检测出关键词的呢? 显然这个重置不是墙发出的

朱峰@肥鹅旅行:而唯一的明文传输是在本机端口之间发生的,杀掉上述进程后,抓取恢复,再也没出现连接重置

朱峰@肥鹅旅行: 所以我有理由怀疑阿里在监控客户主机的本机端口流量,并对某些内容发出 REST

朱峰@肥鹅旅行:更进一步,是否获得了我的私钥和整个PKI体系的关键密文?我不清楚,但显然是有能力做到的

朱峰@肥鹅旅行这件事情极为可怕,而且经过日志分析发现这个行为是随机发生的,很 难取证,欢迎大家按我的步骤复现看下,但一定要跑的时间足够久才能发现

朱峰@肥鹅旅行:如果不仅仅是监控而是同时侧录内容呢?用户隐私基本就全被看光光 了,本机端口的流量谁也不会加密,也没法加密啊啊

【更新】阿里云回应:

附:截至发稿前,阿里云官方微博的回复