VPN

翻墙问答:iOS 10 存在问题 升级宜深思熟虑

翻墙问答:iOS系统相关介绍。来源:http://www.rfa.org/cantonese/firewall_features/firewall-pptpios-09162016075657.html视频地址:http://www.rfa.org/cantonese/video?v=1_h1inm9xc问:有不少人都开始考虑买iPhone 7或升级iOS到10,但iOS 10对VPN的支援政策好像大有改变,会影响到部分人现正使用的VPN服务,不知能否简介一下相关的变化?李建军:由iOS 10以及Mac OS X 10.12开始,无论iOS还是OS X,都不会再支援PPTP VPN连接。PPTP的保安问题,一直令人诟病,所以苹果决定不再支援PPTP。由于现时仍然有部分或个人,因不同理由需要继续使用PPTP的VPN,因此,如果你的VPN供应商未有提供L2TP服务,或你家用的无线网络路由器未有作调节,可以使用L2TP服务,那请你暂时不要升级iOS或OS X,请等到你的供应商有提供L2TP服务,或你的路由器的设定经过调整后,才将你的iPhone、iPad或Mac系统配置升级。就算你打算升级iOS 10,根据苹果公司的指引,你仍应在iOS 9或更旧版本移除PPTP的设定,并换上L2TP或IKE的设定,本集翻墙问答,我们有视频示范如何在iOS 9设定VPN,并符iOS 10的要求,欢迎听众浏览本台的网站收看。问:但除了VPN问题,iOS 10尚有其他问题,例如效能变差,或升级后无法重新启动手机等等,好像都不大适合升级?李建军:由于现时iOS 10的升级机制相当不稳定,有可能升级失败后令你的手机或平板电脑无法启动,届时要找苹果的指定维修商帮忙,因此,有不少大型电讯公司已经劝谕用户不要升级作业系统。大家可以观望多一至两个星期,看看iOS 10的反应如何,以及升级时的稳定性问题,再决定是否升级。但可以肯定的是,iOS 10或以后版本一定不会再有PPTP支援,不用预期下一版的iOS 10更新会有任何PPTP支援。问:在即将推出的Chrome浏览器,谷歌开始试验一种叫CECPQ1的新演算法,据称这种演算法,就连未来的量子电脑都难以破解,对一般用户而言,CECPQ1新演算法的出现,会否有任何影响?李建军:在量子电脑时代未来临前,现时多个不同的加密演算法,都是建基于数学上的质因数难题而演算出来,因此,就算中国当局装设了很多运算能力在世界五百强的超级电脑,都未能够大规模破解民间的通讯。因为要解决这些质因数题目,需要极多有强大运算力的电脑,基于资源有限的情况下,一般会优先解决军事或国防机密相关的加密程序。但在量子电脑出现后,现存的运算法很可能被运算力极其强大的量子电脑破解,现有的加密程序,就会变得像2G GSM的加密机制般不堪一击,因此,有必要在量子电脑流行前就要研究出新算式,避免各国政府大规模使用量子电脑解破公民私隐,危害公民权利。CECPQ1由于是第一代针对量子电脑而开发的加密算式,因此,只有极少数的网站支援这个演算法,而且可能有不少保安漏洞,因为这始终是具试验性质的演算方法。而谷歌亦都表明,CECPQ1的研究只会维持两年,一旦出现比CECPQ1更好的演算法,就会立即终止CECPQ1的研究,并不希望CECPQ1成为业内标准。CECPQ1相关的各类应用,可以在现阶段作实验用途,始终这个崭新的演算法,中国当局应暂时未有破解方案,但一旦有黑客公布相关的保安漏洞,就要立即停用,在软件更新后才恢复使用。但相信针对量子电脑而言的加密算式和技术,未来将会陆续有来,因各国政府投放大量投资在量子电脑之上,而这类比现有电脑快上百倍的电脑,在可见的将来会于各国政府普及。翻墙技术博客订阅地址及社交帐号

阅读更多

翻墙|Kino网络加速器 The Kino VPN—又一款免费好用的科学上网软件工具

又是周末好时光,上周没有好好的发博客,本周末就来一波福利:分享一款新鲜出炉的免费好用的科学上网工具——Kino网络加速器 The Kino VPN。来源:http://www.liu16.com/post/TheKinoVPN.html(未查找到软件一手信息,请谨慎使用)这个周末福利是不是很不错呢!首先说明一下,这款科学上网软件是某网友制作的,分享给我测试了一下,我觉得还不错,线路非常多,可选择性强,跟我之前分享的:PJM-Free VPN、sqsxfree等科学上网软件有得一拼!下面来看一下Kino网络加速器软件界面:一打开Kino网络加速器就需要授权登陆,这个授权码呢,本来需要加群到群共享里看的,这里就先放出来(觉得好用可以加群获取最新版Kino VPN),授权码是:kino8888 。输入正确的授权码就可以打开主界面了:大家最关心的其实就是可以用来科学上网,打开谷歌搜索、facebook、youtube、推特等常用国外网站的香港线路、日本线路、韩国线路、台湾线路、美国线路了!博主亲自测试了一下,线路非常多,总有一个适合你!虽然有的连接不上或者连接上之后不能访问网站,其实就是线路问题,换一个就可以了!总体来说,可用来科学上网的线路非常多,速度也不错,关键是好免费,值得使用!软件公告:The Kino VPN 2016/7/17 最新更新了线路测试区,线路可能会有不稳定连接不上等原因,为筛选出优质线路若感觉有哪条线路不错的,劳驾及时在群里反馈,以方便更多人使用.2016/7/17 新版本1.1即将开工,若大家对现版本有什么意见,欢迎反馈通过QQ群反馈. 2016/7/16 台湾2016/7/14的全为服务器禁Ping,但均可连接.Kino网络加速器 The Kino VPN下载地址:http://pan.baidu.com/s/1jINLCzW 密码: e1jk 解压密码:liu16.com 觉得好用记得来评价哦!提示:有部分杀毒软件报毒,可能是加壳原因,介意勿用!翻墙技术博客订阅地址及社交帐号

阅读更多

GFW Blog|使用 Youtube-DL 离线下载 YouTube 视频并且 VPS 上在线观看

在一些特殊的条件需求下,一些人可能需要vps离线下载视频,或者在不科学上网的情况下在线观看。有人给我推荐了Youtube-dl,的确很强大,这篇文章只是简单介绍一下Youtube-dl的基础功能和如何在自己的VPS上面在线观看。来源:http://www.dou-bi.com/dbrj-1/这里还有一些视频介绍:https://www.youtube.com/results?search_query=Youtube-DL如果你只是想要简单的下载youtube视频到本地,请看这个:教你如何从YouTube上下载视频安装步骤安装很简单,Youtube-dl支持Windows,Linux,OS X,etc等系统,这次主要介绍Linux系统。以下代码不一定是最新的,最新的请去 官方下载中心 查看。Linux系统安装:以下三种下载安装方式选择一个就行了。sudo curl -L https://yt-dl.org/downloads/2016.07.13/youtube-dl -o /usr/local/bin/youtube-dlsudo chmod a+rx /usr/local/bin/youtube-dl如果你的vps没有安装 curl ,可以使用 wget 来下载。sudo wget https://yt-dl.org/downloads/2016.07.13/youtube-dl -O /usr/local/bin/youtube-dlsudo chmod a+rx /usr/local/bin/youtube-dl当然你也可以用pip来安装,如果你没有pip就先安装pip, apt-get install python-pip -ysudo pip install –upgrade youtube_dlOS X系统安装:sudo wget https://yt-dl.org/downloads/2016.07.13/youtube-dl.sig -O youtube-dl.siggpg –verify youtube-dl.sig /usr/local/bin/youtube-dlrm youtube-dl.sigWindows系统安装:直接官方下载一个exe文件就行了。Windows exe但是,要运行这个程序还需要安装微软的运行库。Microsoft Visual C++ 2010 Redistributable Package (x86)基础功能介绍Youtube-dl的官网是:http://rg3.github.io/youtube-dl/Github项目地址是:https://github.com/rg3/youtube-dl在这里都能看到最新最全的youtube-dl信息。Youtube-dl支持八百多家视频网站,具体列表可以看这里:http://rg3.github.io/youtube-dl/supportedsites.html ,优酷、爱奇艺等国内视频网站也是支持的。下载视频以下教程均以 这个youtube视频链接为例 https://www.youtube.com/watch?v=jK5coaM2X9g最基础的下载视频的方法很简单,直接 youtube-dl URLyoutube-dl https://www.youtube.com/watch?v=jK5coaM2X9g这样就会自动选择一个最好的视频格式和清晰度下载到 当前的文件夹 了。如果想把这个视频的所有格式都下载下来怎么办?下载全部格式youtube-dl –all-formats https://www.youtube.com/watch?v=jK5coaM2X9g–all-formats :添加这个参数之后,所有存在的格式全部下载;但是你又不想全部下载,想挑选指定视频的格式和清晰度怎么办?列出视频的所有格式/清晰度–list-formats/-F:这是一个列清单参数,执行后并不会下载视频,但能知道这个目标视频都有哪些格式存在,这样就可以有选择的下载啦!youtube-dl –list-formats https://www.youtube.com/watch?v=jK5coaM2X9g然后就会看到一大片的视频格式,如果你要下载其中一个,请看前面第一列的编号ID。下载指定格式视频-f + 编号:通过上一步获取到了所有视频格式的列表,第一列就是编号对应着不同的格式,例如我想下载22号那个mp4格式分辨率为1280*720的视频,则按下面的命令就可以轻松指定下载视频哦;youtube-dl -f 22 https://www.youtube.com/watch?v=jK5coaM2X9g离线下载/后台下载我发现Toutube-dl不带有后台下载的功能,或者说我没找到命令,不过没事,可以试用 screen 来实现。首先如果你没有安装 screen 的话请先安装。Debian/Ubuntu系统安装:apt-get updateapt-get install screenCentos系统安装:yum updateyum install screen然后用 -S 创建一个活动,这时候你就进入了这个活动中,你就可以去下载视频了,这时候即使关闭ssh也不会断开下载。screen -S video如果你不小心关闭ssh或者想要重新查看 video活动,可以用 -r 来重新进入这个活动screen -r videoVPS中在线播放这个其实很简单,HTML5本身就可以去播放指定格式的视频,所以我们只需要搭建一个nginx或者apache,把视频下载到默认虚拟主机的文件夹里,就可以在线观看了。示例:逗比云 在线播放需要注意的是,HTML5支持在线播放的格式有限,建议下载 mp4 和 Webm 格式的,免得HTML5无法在线播放。我们这里以apache为例,先安装apache。Debian/Ubuntu系统安装:apt-get install apache2 -yCentos系统安装:yum install httpd -y然后去 /var/www 目录下载视频。cd /var/www下载好了之后用 ls -a 查看当前目录下的文件,找到你的视频文件名称,比如:233.mp4然后打开网页: http://你的VPS_IP/233.mp4就可以在线观看了。当然这样看视频也会有一些不方便,不能方便的选视频。你可以试试我的逗比云的程序 :自用的逗比云 目录列表程序 Directory Lister 兼容中文版可以列出虚拟主机目录下的文件列表。当然,我这个程序是php的,所以还需要安装php,如果你不会可以直接去lnmp.rog 安装lnmp一键包,因为不需要用到数据库,所以你可以 lnmp mysql stop 把Mysql数据库关掉。当然你也可以直接使用 apache/nginx 自带的列表功能,开启方法很简单,只要删掉/var/www目录下的index.html文件,这时候访问你的 http://vps_IP/ 就可以看到一个简陋的列表了。rm -rf /var/www/index.html如果你安装的是nginx (通过apt-get install -y 、 yum install nginx -y 安装的才是),那默认的虚拟主机文件夹是 /usr/share/nginx/www rm -rf /usr/share/nginx/www/index.html如果你安装的是上面我说的 lnmp.rog 中的lnmp一键包,那默认虚拟主机文件夹就是 /home/wwwroot/defaultrm -rf /home/wwwroot/default/index.html就暂时先介绍这么多,稍后慢慢补充。翻墙技术博客订阅地址及社交帐号

阅读更多

功夫网与翻墙|Vpn Gate 可能是唯一不带有目的的免费VPN

VPN Gate 学术实验项目希望向志愿者提供 VPN 服务器。官方网站:http://www.vpngate.net/如何连接:http://www.vpngate.net/cn/howto.aspx 服务器列表:http://www.vpngate.net/cn/常见问题:http://www.vpngate.net/cn/about_faq.aspx 论坛:http://forum.vpngate.net/viewforum.php?f=3VPN Gate 综述VPN Gate 学术实验项目是一个在线服务,由日本国立筑波大学研究生院为学术研究目的运营。本研究的目的是推广 “全球分布式公共 VPN 中继服务器” 的知识。VPN Gate 公共 VPN 中继服务器在 VPN Gate 学术项目网站上有一个公共 VPN 中继服务器列表。互联网上的任何人都可以建立 VPN 连接至任一列表上的 VPN 服务器。无需用户注册。VPN Gate 公共 VPN 中继服务器的特点VPN Gate 包括许多由世界各地的志愿者所提供的 VPN 服务器。您可以提供自己的电脑作为一个 VPN 服务器加入到这个实验中。Windows, Mac, iPhone, iPad 和安卓都可以连接到 VPN Gate 服务器。支持 SSL-VPN (SoftEther VPN) 协议, L2TP/IPsec 协议, OpenVPN 协议和 Microsoft SSTP 协议。接受匿名连接。无需用户注册。每个 VPN 服务器的 IP 地址是不固定的。 IP 地址可能会不定期改变。每天 VPN 服务器会有增加和减少。因此,所有 VPN 服务器不处于特定 IP 地址范围。当一个 VPN 客户端连接到 VPN 服务器时, VPN 客户端可以通过那台 VPN 服务器访问互联网。您可以隐藏你的客户端的 IP 地址。当您使用一个在物理上位于海外国家的 VPN 服务器,您的任何通信都被认为,好像是从该国发起的。然后你就可以通过使用 VPN Gate 访问网站了,这通常是无法从您所在的国家访问的。本研究想要解决的问题开始 VPN Gate 实验的动力是解决以下现存问题。存在的问题 1: 政府的防火墙有时未通过,一些海外网站变得遥不可及。某些国家的防火墙由于 “未知故障” 导致通信失败。例如,你在某一国家旅行,并尝试访问 YouTube, Twitter, Facebook 等网站,但却失败了。然而,你却可以访问到其他的海外网站,如雅虎等。 存在的问题 2: 通过跟踪一个服务器访问日志的 IP 地址,可以确定一个人的隐私信息。如果您访问网站或发送电子邮件,你的源 IP 地址将被记录在目标 Web 服务器上,或在包含有电子邮件内容的包头里。一个 IP 地址不仅仅是个人信息。然而, IP 地址可以被用来跟踪在各个网站产生活动的个人。这种跟踪技术常被用于垃圾邮件或强制广告中。此外,通过法律的强制执行程序,一个 IP 地址可以被用来确定谁是发起相关通信的人。警察、检察官或律师可以使用其特权要求互联网服务供应商主持的 IP 地址分配的日志文件。在平常的时候,这样的 IP 地址分配日志通常由互联网服务供应商附上。然而,一旦有人获得日志,他可以调查谁发送了电子邮件、或谁发布到网站上一条消息。此外,在互联网上,一个人在特定时间被分配了一个特定 IP 地址的人将被视为与在同一时间从此 IP 地址发起的任何非法通信有责任。最近在日本,执法者的可耻事件做为严重的问题被批评,执法人员错误地逮捕了从来没有在他的电脑上进行非法事情的无辜互联网用户,而是电脑感染了木马,被真正的犯人远程控制。真正的犯人让无辜的互联网用户的计算机发送敲诈邮件给一些公司,无辜的人被执法人员不公正地逮捕。无辜的人最终被释放,但这是在日本近代历史上最糟糕的诬告事件之一。因此,当你访问互联网时,最好有一个方法来暂时隐藏你的真实 IP 地址。如果你的真实 IP 地址被隐藏,没有广告目的的 IP 地址的追踪将是不成功的。IP 地址可追溯性的风险将会降低。如果隐藏你的真实 IP 地址连接到互联网时,即使你的电脑感染了木马或恶意软件,错误逮捕的风险将永远不会给你。存在的问题 3: 公共 Wi-Fi 存在数据包被窃听的风险大多数公共 Wi-Fi 可以被人窃听。您的明文通信是不安全的。有线网络也有被窃听的风险。ARP 电子欺骗攻击者可以获取你的数据包。此外,网络管理员或提供公共 Wi-Fi 的咖啡馆或机场的设施业主可以随时窃听您的通信。即使你在家使用互联网,也有风险,您的 ISP 或电信公司的雇员可能窃听,在线路上偷看您的明文数据包。(事实上,有一个犯罪事件,日本电报电话公司的雇员,在电信大楼进行了窃听。所以,我们永远不能信任 ISP 或电信公司的员工)。当在互联网上使用 HTTP、POP3 或 IMAP 纯文本通信时,你无法避免窃听。SSL (HTTPS) 对窃听是安全的,但是大多数网站使用的是 HTTP。HTTP 数据包传输的是纯文本格式。最好的是存在这样的方法,对所有到互联网服务器的通信进行自动加密。在这种情况下,没有人可以在本地网络或本地电信大楼偷看你的数据包的内容。VPN 可以加密和转播你的通信如果你在使用互联网时使用 VPN ,可以解决上述这三个问题。解决方案 1: VPN 可以绕过防火墙。由于某些政府防火墙发生的 “未知故障” ,一些海外网站从防火墙后面无法访问,你可以通过海外的 VPN 服务器访问这些网站。海外 VPN 服务器将会把你的通信转到目标 Web 服务器。解决方案 2: VPN 可以隐藏你的真实 IP 地址。当 VPN 连接建立时,所有的通信的源 IP 地址将被替换为中继 VPN 服务器的 IP 地址。这将对你非常有帮助,因为在那一刻没有人再可以轻松地分析和跟踪你的真实 IP 地址了。目标 Web 服务器或 E-mail 的邮件头列表上的 IP 地址日志将被记录,好像通信是通过中继 VPN 服务器发起的。您可以安全地隐藏你的 IP 地址,并且可以发送匿名帖子或电子邮件到网站或邮件服务器。此外,如果您的计算机感染了由 “真正的罪犯” 发送的木马,真正的罪犯发送一个远程操作,让您的电脑发送非法敲诈邮件给某人,你不再处于被执法者错误逮捕的风险中。解决方案 3: VPN 可以防止在本地网络上的窃听如果你总是使用 VPN ,所有通信都将被自动加密。即使你的邻居在本地网络上是个搭线窃听者,你的数据包也不能被他偷看到。VPN Gate 和现有 VPN 服务之间有什么不同 ?如上所述, VPN 可以解决使用互联网中的几个问题。但是,通常你在远程地点 (海外) 至少需要一台物理的 VPN 服务器,实际利用上述 VPN 的功能。大多数互联网用户都无法在海外拥有自己的 VPN 服务器。对于这样的用户,一些互联网公司提供了现有的、付费的、共享的 VPN 服务。这样的服务需要用户注册,用信用卡付款,将可以为用户创建一个帐户。用户将获得根据合同的具体条款使用共享 VPN 服务器的权利。所以,什么是 VPN Gate 和现有的支付 VPN 服务之间的不同呢 ? 以用户的观点出发,两个似乎是相似的。但是, VPN Gate 与现有的 VPN 服务的差异描述如下。现有共享 VPN 服务的问题现有的 VPN 服务的实施,是供应商公司在数据中心托管的一些 VPN 服务器。在数据中心提供一些共享的 VPN 服务器的这种传统方法有一个问题,即每个 VPN 服务器的 IP 地址都在相同或相似的 IP 地址分配块。因为 IP 地址通常由相同的 ISP 分配。每个 VPN 服务器的 IP 地址是固定的,所以他们很少改变。这种共享的 VPN 服务不容忍对 “政府防火墙的未知故障” 。 “政府防火墙的未知故障” ,通常会出现一系列 IP 地址块变成完全无法从该国境内访问的情况。如果 “未知故障” 发生在包含共享的 VPN 服务器群集的 IP 地址块分配的 IP 地址范围,没有群集的 VPN 服务器将无法从该国访问。事实上,最近有报道说,某天一个现有的共享 VPN 服务器的、特定的群集,从一个特定国家的政府防火墙突然无法访问。现有共享 VPN 服务的另一个问题是: 带宽占用。现有的共享 VPN 服务器物理放置在特定的数据中心。每个用户的所有通信将集中在数据中心的上行线路的互联网传输线上。所有处理的工作量将集中在数据中心托管的一些共享 VPN 物理服务器上。服务提供商认为在集群中增加 VPN 服务器的数量,或增加互联网传输线路的带宽,但这种扩张需要成本。如果成本增加,这种共享的 VPN 服务的费用将会增加。如果节省成本,这种共享的 VPN 服务的速度将下降。大多数共享的 VPN 服务不能向用户提供优等质量。VPN Gate 学术实验的优点正如你可以看到 VPN Gate 公共 VPN 中继服务器的列表,有很多运行在 VPN Gate 公共 VPN 中继服务器。这些 VPN 服务器没有物理地放置在一个特定的数据中心,也没有一个特定的 IP 地址分配块,他们都是由不同 ISP、在物理地点托管的。每个 VPN Gate 公共 VPN 中继服务器是分布式的,并由许多志愿者托管。一名志愿者是拥有一台计算机、保持带宽连接到互联网的人。他是一个同意提供 CPU 时间和带宽、支持 VPN Gate 学术实验的人。你可以成为一名志愿者。志愿者在地理上是分布式的。志愿者的 ISP 也是分布式的。所以每一个 VPN 服务器的 IP 地址是分布式的。分配的 IP 地址没有特点。每天志愿者的数量增加或减少,每个 IP 地址每次都改变。如果政府的防火墙出现 “故障” ,整个 VPN Gate 中继服务器不受影响。如果一些 VPN 服务器无法从你的国家访问,你仍然可以访问其他 VPN 服务器。因为 VPN Gate 服务器由志愿者托管,每个志愿者花费极少量的带宽成本和 CPU 时间在他的 VPN 服务器上, VPN Gate 服务可以被大家免费使用。免费的意思为任何想要使用 VPN Gate 服务的用户无需注册。因此,不同于现有的共享 VPN 服务, VPN Gate 学术实验服务可以无需付费地使用。VPN Gate 网站的镜像服务器一旦一个用户连接 VPN 会话到 VPN Gate 公共 VPN 中继服务器之一,他可以从任何国家获得自由访问互联网。然而,如果 www.vpngate.net 网站 (本网站) 无法从他的国家访问,他不能首先获得 VPN Gate 公共 VPN 中继服务器列表。所以,我们提供了许多镜像站点的 URL ,以帮助在这些国家的用户。如果一个用户能获得访问至少一个镜像网站,他可以浏览 VPN Gate 公共 VPN 中继服务器列表页。如果你是一个国家的公民由于政府防火墙的未知错误,防止从国内互联网访问 www.vpngate.net ,请访问镜像站点列表页面,复制 URL 列表,并将其粘贴到你们国家的 SNS、博客或社区论坛,以帮助你们国家的 VPN 用户。SoftEther VPN Project & VPN Gate Project contact number: +1 (650) 282-4455翻墙技术博客订阅地址及社交帐号

阅读更多

翻墙?隐私?今天聊聊VPN的那些事儿

三年前斯诺登泄密事件揭露的东西,从安全的角度看对互联网服务提供商来讲并没有太多的帮助,甚至可以说做的有些过火。同时也模糊了反恐政策的概念。而当新闻爆出像NSA的Vulcan数据库或者它的Diffie-Hellman策略时,任何一个网络隐私主义者看过了都会心中发颤。突然间似乎每个人都需要重新评估下某些网上用于保持隐私的工具——VPN。来源:http://www.freebuf.com/articles/network/106346.html参考来源:http://arstechnica.com/security/2016/06/aiming-for-anonymity-ars-assesses-the-state-of-vpns-in-2016/2/传统VPN简介VPN(虚拟专用网络),这款工具通常用于混淆用户的IP地址,或在用户进行WEB浏览时增加一层安全保护。它会把你的流量转到加密且安全的VPN服务器上。不同的人使用VPN的目的也不同,有些人可能是用它来改变自身的IP地址,这样就可以获取一些其他地域的媒体内容,或者能匿名下载一些东西。还有的人希望以此规避广告商的网络追踪,或者防止盗用WIFI后的负面影响,甚至只是为了在他们访问特定网站时隐藏真实的IP地址。然而VPN的质量也是参差不齐的。事实上某些存在问题的VPN会让用户的安全更加脆弱。某些VPN是禁用了torrent下载的,还有些会记录下信息,跟踪上网行为,或者按照当地的法律对数据进行保留。去年我开始尝试整理一份好的VPN列表,虽然网上已有不少类似的VPN清单,但是通常都充斥着附加内容链接,很难确认其准确性。这份VPN比较图表,里面概述了VPN业务流程、日志记录、服务配置和其他特性。但它存在矛盾策略,并误导读者,声明各类的服务是100%有效的。但其实大部分内容是从真实的VPN网站导入的,这就意味着可能会混入一些错误信息。几个月的研究后,笔者的尝试都失败了。所以现在笔者仍然不能推荐一组安全的VPN列表给大家。相反的是,研究结果刷新了笔者对目前VPN的三观。当涉及到日志记录的时候,评估可行性和验证准确性也不是件容易的事,所以,我觉得与其给大家一个简单的列表,还是提供一些指导方针更加靠谱,让大家自己了解在本年度哪些VPN是有效可用的。VPN不是用来匿名的关于VPN的一个常见的误读是:它们会给大家提供匿名功能,即使是针对民族主义者。但是,安全研究员Kenneth White表示:“如果政府对目标进行专门的监测追踪,VPN是不足以做到这一点的。”事实上,VPN声称的会给提供用户匿名性,是“不可行的,不负责的,或者两者兼备的”。DNSleaktest.com的站长Jeremy Campbell在邮件里告诉记者:“为了实现匿名去使用公共VPN是非常愚蠢而危险的,无论服务配置的有多么安全,匿名技术本身并没有在这里实现。VPN服务要求你信任他们,但匿名系统本身是没有这个属性的。”White没有坚持完全放弃VPN,但是他警告说它应该作为一个辅助工具,而不是一个隐私的解决方案,他表示:“相反,像专门的隐私工具如Tor浏览器之类的(里面可能包含了信用良好的VPN),那就是可以使用的。它们不仅实现了匿名化属性,而且浏览器已经进行了大量定制,以实现网络隐私的最大化(比如弱化了cookie、Flash、Java插件等特征)。”Tor分布式网络,会尝试在多个中继传输流量来实现匿名。但其实它也很难进行核实,没有人知道Tor这样是否能够获得百分百成功。Tor浏览器最近受到了美国国防部的瞩目,这只会强化这种担心。某些批评者认为,Tor会让人们更容易依赖过时版本的Firefox,但这些东西都不能保证是万无一失的。Johns Hopkins大学的密码学教授Matthew Green表示:“某些在俄罗斯出口节点的恶意Tor,实际上会偷偷修改二进制文件。所以,如果你不幸在Tor下载文件时碰巧遇到了这些节点,它们可能会将它转换成恶意软件。”尽管Green并没有听说过VPN发生过这样的事,但他指出这样的攻击是存在可能的。与多数VPN不同,Tor和Tor浏览器通常用于高风险的情况,工程师需要迅速修复安全漏洞,这样的方式可能不适用于所有的VPN。用VPN来BT下载安全吗?某些VPN提供商会禁用p2p,如果有必要还会把用户的名字给版权所有者。代表版权所有者的利益的,可能会取消惯犯的账户。希望使用VPN进行torrent下载和流媒体观看的亲们,可以寻找那些特殊的服务提供商(或者不保留日志),但是问题又来了,Campbell表示:“然而,我们并没有办法验证VPN提供商所说的话。大家必须依靠新闻报道和网上论坛的讨论等等,来判断服务提供商的声誉。”看来,必须时刻保持警惕才行。VPN可以“防御”广告追踪?尽管VPN能掩饰你的IP地址,但它不一定能保证你免受间谍广告和追踪的困扰。Campbell表示:“VPN提供的防广告追踪的技术可以忽略不计,因为IP掩盖是一个弱标志。网络广告更倾向于cookies、supercookies和浏览器指纹技术,这些东西VPN是无法进行保护的。”为了防止无处不在的广告跟踪,广告阻断器uBlock、uBlock origin,以及追踪阻断器PrivacyBadger或Disconnect会提供一定程度的保护。禁用JS代码,或者使用Firefox下的NoScript可以消除一些指纹。更高级的用户可以使用虚拟机或者沙箱浏览器。当然,Tor浏览器也能防止产生特定浏览器指纹。VPN让你更危险?用户使用VPN的是为了保护自身网络安全,特别是在处于公共WIFI之下的时候。GoGo被爆出使用了Youtube的伪造证书,这可能会泄露用户的流量,包括用户的Youtube密码。因为VPN建立了用户和VPN商服务器之间的通道,所以用户对于VPN提供商的信任非常重要。毕竟提供商能看到和记录你所有的流量,甚至可以更改你的流量内容。一个VPN的配置不当,黑客就可能直接访问你的本地局域网,这比别人在咖啡店网络下,嗅探你的流量更加可怕。“如果VPN服务供应商不老实的话,你只能自己做祈祷了。你得时刻担心是否会在本地局域网被人黑掉,若是使用了一个粗制滥造的VPN服务,很可能就会把自己推入虎口。”预共享密钥White提供了一个VPN的列表,在网上已有共享密钥发布:GoldenFrog、GFwVPN、VPNReactor、UnblockVPN、IBVPN、Astril、PureVPN、PrivateInternetAccess、TorGuard、IPVanish、NordicVPN、EarthVPN。“如果我知道了你正在使用的VPN预共享密钥,并且我控制了你所在WIFI的热点,那么就可以进行中间人攻击并且解密你的上网行为。也就是说,当黑客拥有这预共享密钥时,您的网络安全系数就降低了。”PPTP的代替品一些VPN还使用了老掉牙的的PPTP VPN协议,这在根本上就是不安全的。更好的选择包括IPSec(有人积极维护)、L2TP/IPSec、IKEv2以及OpenVPN等等。在上述的几个选项中,IPSec可以设置为不需要安装额外的软件,但有人认为这是故意破坏和削弱NSA(美国国家安全局)的力量。OpenVPN比它还要安全,但是搭建手法更加复杂,需要第三方软件的帮助,以及用户进行正确且复杂的配置。根据High-Tech Bridge最近的研究发现,SSL VPN中,有90%会使用不安全的或者过时的加密。而有77%使用了不安全的SSLv3(甚至SSLv2)协议,76%用了不可信的SSL证书(黑客可以更轻易的进行中间人攻击,拦截VPN连接中的流量),更有一大部分用的不安全的RSA密钥长度的签名,以及不安全的SHA-1签名。不管你信不信,其中还有10%存在心脏出血漏洞。数据保留和日志记录一些VPN会根据本国或当地的法律,进行日志信息保存。而且许多VPN服务提供商会记录大量信息,比如在特定的用户来连接时,是从哪里、从什么时候连上的,甚至还有他们做了哪些连接。甚至有些VPN服务提供商,日志量少时会记录下重要日志,比如连接的IP地址和用户名,以及内部路由使用的内部负载均衡和服务器维护。某些VPN服务提供商的日志记录可能会很快销毁,而其他的由于本地的相关法律,处理方式会有所不同。不管怎样日志里保存的信息都是足以破除用户匿名性的。仔细阅读服务条款会帮助你确定服务商日志维护保留的情况,并可以了解他们会如何使用收集到的信息。但是其中的真伪也很难验证。有人认为进行犯罪活动时VPN也会保护用户的身份,但人家美国政府已经与世界上数十个国家签署了司法互助条约了。泄露用户隐私即使用户已经连上了VPN服务器,但某些发出的包可能没有经过VPN通道进行通信,这就泄露了用户的隐私。Campbell表示:“从技术角度来讲,我认为最被低估的漏洞就是VPN软件客户端的网络信息泄露。严重的时候,它可能会危及用户的生命,许多网络安全和隐私社区已经对此漏洞进行了重点关注。”一些VPN服务提供商设置了规则,在用户出篓子之前,能阻止不安全的连接。比如你首次登入某个WIFI热点,或者从一个热点转入另一个的时候。其他服务商还会允许用户自己设置防火墙规则。2015年6月,罗马Sapienza大学和伦敦玛丽女王大学的研究人员测试了14款热门的商业VPN服务,他们发现了其中10个会泄露IP的数据,且都会遭受IPV6 DNS劫持攻击。虽然后期研究人员并没有全面复查他们是否修复了,但是也做了一些特别的测试,并发现情况有所改善。但是可能修复了问题后,还存在其他漏洞。伦敦玛丽女王大学的研究员GarethTyson博士表示:“我给大家的建议是,如果你担心被政府监控,你应该全方面使用Tor。”同样,这可能也是一个不完美的解决方案。虽然Tor浏览器提供匿名、规避审查和反监控追踪,但是它并不像VPN一样迅速。更糟糕的是,某些互联网服务提供商会拒绝Tor。营销宣传许多声称安全的VPN服务提供商,其实缺乏可信度。某些VPN服务提供商声明不会记录日志,接受比特币,浮夸地表示他们是军用、政府、NSA级别的加密。而且,VPN不仅仅会存在安全漏洞的问题,还可能是民族主义者的蜜罐,相反,那些事先声明他们的威胁模型,讲清楚能保护的和不能提供保护VPN服务提供商,可能更值得信任。阅读服务条款有时能给用户一个清晰的认识。比如2015年,免费的以色列VPN Hola被发现将用户带宽出售给Luminati VPN。那些想要隐藏IP地址的用户不知不觉就变成了VPN的出口节点和终点(暴露了自己的IP地址,混入了别人的流量)。直到8chan留言板运营商 Fredrick Brennan说,直到Hola用户在不知不觉中被利用来攻击他的网站后,才更新了自己的FAQ。如何寻找可信的VPN看到上面所有的预防措施和VPN说明了吧,靠它们去找可信的VPN靠谱么?VPN服务提供商表示购者自慎。某家VPN服务提供商是否使用了最新的协议,该公司的背景和声誉如何,服务条款是否容易理解,这些VPN 到底能防护什么和未能照顾到什么,它对于信息披露的细节表达了足够诚实吗?抛开这些因素,Campbell建议大家看看公司的行为,他说这可能会显示出一个服务商是否关心客户的隐私。这三年来,他自己也在寻找一个清晰明确的隐私政策,而不是只有样板政策的公司。Campbell警告道:“在斯诺登泄密事件后,过去几年已有了很多廉价的VPN服务提供商。这些新入行的VPN服务提供商在安全方面做的不是很好。许多情况,他们想把部分服务器的主机业务转为带宽业务,但是他们完全没有安全方面的经验。”作为最后一个预防措施,Campbell也在寻找不通过第三方系统捕获用户敏感数据的VPN,他表示:“任何尊重客户隐私的VPN服务提供商,都不会去触碰与客户交互的系统,比如第三方聊天脚本、支持票务系统、博客评论等等。用户通常会在请求包里提交非常敏感的数据,但是他们并不一定清楚他们的VPN服务提供商是否单独监控了流量系统。”自己动手,丰衣足食根据你的隐私需求,一个满意的预解决方案可能并不存在。如果是这样的话,懂技术的用户可以自己搭建VPN。如果你的方案里更在意速度,你可以在DigitalOcean、Amazon主机、Vultur,、OVH或者其他可靠的主机商的VPS运行Streisand。Streisand是在土耳其推特全面被封杀后推出的,它的目的是为了帮助用户绕过互联网封锁。Streisand的Github页面称:“Streisand可以在服务器上搭建L2TP/IPsec、OpenConnect、OpenSSH、OpenVPN、Shadowsocks、sslh、Stunnel,以及Tor桥,它还会为这些服务生成自定义配置指令。”其缔造者Joshua Lund告诉记者,Streisand的目标之一就是使得安装过程尽可能简单。他设想这个开源服务能够成长为一个“集中式知识存储库”,成为一个自动化升级最佳实践的社区。Lund 在邮件中告诉记者:“Streisand将几个最困难的步骤实现了自动化,大大提升了安全性。比如Streisand配置OpenVPN时会启用TLS认证(又名HMAC防火墙)”,生成了一个自定义组的Diffie-Hellman参数,启用了一个更强大的多密钥校验机制(AES-256/SHA-256替代了原来默认的Blowfish/SHA1)。许多用户在手动配置时,其实会跳过这些选择性的耗时步奏。事实上,大多数商业VPN服务商并不启用这些OpenVPN配置。Streisand还有个好处在于,当自动安全更新和安装过程后,约十分钟就能让用户得到一个全新的服务。相比商业VPN服务商,Streisand也不太可能成为审查、DDoS或者流媒体封锁的目标。像大多数VPN一样,Streisand会不同。在2016年考察这些产品后,我们只得到一条准则:寻找VPN决定于你使用它的第一目的。寻求对自身网络安全进行保护的用户,与那些想隐藏自己真实地址的用户目的是不同的。意识到VPN的局限性和具体的弱点缺陷,至少可以帮助你做出一个更明智的复杂决定。翻墙技术博客订阅地址及社交帐号

阅读更多

CDT/CDS今日重点

【CDT月度视频】十一月之声(2024)——“一路都被撞没了,估计一圈都没了”

【年终专题】“13条生命换不来1条热搜”……2024年度“每日一语”

【年终专题】“中文互联网上的内容每年都以断崖式的速度在锐减”……2024年度404文章

更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间