如何在Tor Browser中永久撤销对证书的信任?

最近某证书签发谷歌搞MITM应该都知道了吧…所以对于某些证书还是禁用的好..但是Tor Browser不同于其他的浏览器,即使撤销信任了第二次重启也会出来,研究了下发现了一个彻底撤销的方法..

所需工具:一个Hex编辑器..这里用HxD作为工具..

Image 2

在Tor浏览器中找到Browser\nssckbi.dll 这个文件是NSS Builtin Trusted Root CAs信任的CA列表..

Image 10

将此文件拖入HxD中..并使用Ctrl+R 打开替换对话框…

Image 12

使用关键字CNNIC ROOT,替换为任意其他内容

注意:字节数必须符合..如CNNIC 共5个字节 CNNIC ROOT 共10个字节(加上空格)

被用做替换的也必须符合,这里我用 SBNIC FUCK 作为替换的内容..

Image 13

之后点击全部替换..

Image 14

替换之后点击软盘图标进行存盘..

Image 15

之后打开Tor Browser的证书管理器..发现CNNIC ROOT已经变成SBNIC FUCK了..并且不被自动信任了..

Image 16

访问 https:www.cnnic.cn 已经被撤销信任…

Image 17

我们继续对”China Internet Network Information Center”进行操作..

Image 18

来把Internet改成Ethernet (毕竟我大天朝本来就是Ethernet)

 

Image 19

两个证书都已被撤销…CNNIC猝.

Image 20

视频教程 (YouTube 需翻墙):

 

原文:https://xiaolan.me/how-to-remove-certs-from-torbrowser.html

SSL/TLS的原理以及互联网究竟是如何工作的(8) ——奇妙的传输层!

我:都一个多月没来这里了呢,这次去拜访一下谁呢……

TCP&UDP:啊,幽灵来了啊!你都很久没来了啊,最近很忙是吗?

我:最近事情是比较多……你们两位是?

TCP:我是传输层的TCP(Transmission Control Protocol,传输控制协议)!旁观这位是同样大名鼎鼎的UDP(User Datagram Protocol,用户数据报协议),你应该都听说过吧?

我:那是自然。你是面向连接的协议,而UDP是无连接的协议;你是可靠的,而UDP是不可靠的;你们的上层协议就是那些应用层协议,你们是应用程序进程和操作系统之间的桥梁……

TCP:不错啊,幽灵,我记得一开始你来这里的时候还什么都不知道呢,结果闹了不少笑话。看来真是“士别三日,应当刮目相看”呢(笑)。不过……你知道为什么吗?
我:什么为什么?

TCP:我是说,你知道为什么我要通过三路握手建立连接呢?为什么我和UDP是应用程序进程和操作系统之间的桥梁呢?为什么我释放连接的时候也要进行三路握手呢(不过也可以通过RST直接单方面释放连接)?

我:……这还真不知道。

TCP:那我还是从头开始说吧。传输层的定位在网络层和应用层之间。网络层及以下层都是对用户隐藏的(用户无法直接与之交互),而且独立于应用程序进程工作;而应用层则是直接面对用户的,应用层协议都是配合对应的具体应用程序进程进行工作的,例如HTTP协议配合浏览器进程,XMPP协议配合IRC(Internet Relay Chat)进程,SMTP配合邮件客户端进程。工作在传输层的软件或硬件被称作transport entity(传输实体),负责实现进程间通信。

而我所在的传输层,一方面不受具体应用程序的制约,另一方面又能和用户直接交互外加对用户屏蔽下层工作细节,从而实现远程进程之间的端到端通信。要做到这一切,就必须处在应用程序进程和操作系统之间。

对了,说到进程之间的端到端通信,这里要引入一个重要概念:SAP(Service Access Point,服务访问点)。要在两个远程进程间建立连接,就必须要设置SAP。传输层的SAP是端口,被称作TSAP(Transport Service Access Point,传输服务访问点);而网络层的SAP是IP地址,被称作NSAP(Network Service Access Point,网络服务访问点)。IP地址只能定位到主机,加上端口之后才能定位到进程,进而实现端到端通信。

然后呢,网络编程中的一个重要人物就要出场了!

Socket:现在是我的专场!我叫socket(套接字),专门负责进程之间的远程通信,程序员们最熟悉我了(笑)。不管是建立连接还是维持连接还是释放连接,都需要我出马才行啊:服务器通过LISTEN开始被动监听,准备建立连接;客户端发出CONNECT命令,主动要求建立连接;服务器接收到命令之后就ACCEPT,连接建立了!然后呢,客户端发送RECEIVE命令,要求收到指定的数据;服务器收到之后就SENT,把指定数据发送出去;最后,服务器和客户端都发送CLOSE命令,释放连接。

这些命令都是通过socket实现的,而且所有的socket都引用了前面提到的SAP以访问对应的进程。

我:快头晕了……

TCP:别急,下面就开始说有意思的事了。你有没有想过,三路握手其实很麻烦啊?为什么不能直接就建立连接呢?比如说直接发送连接建立请求和数据过去,然后马上就处理好了,干嘛还要对方确认再正式建立连接呢?

我:是为了保证可靠吧……具体我也不清楚

TCP:并不是为了保证可靠。可靠的含义是:1,先发送的先到达;2,出现丢包和损坏等数据没被正常送到的情况时,保证重传。

第一点是通过建立虚电路实现的,一个连接只有一条路由路径;而要实现第二点也很简单,一方传输数据和连接请求过去之后要求对方发送确认信息即可。

可是,还有一个很严重的问题没有解决:假设一个客户端给服务器发送了带着数据的连接请求,但是却因为网络拥塞而超时了;那么此时客户端会重新发送之前的请求,这次没有超时,成功建立了连接。

问题在于,一段时间之后最开始的那个请求也到达了,结果就是服务器没法识别出这是雷同请求,然后又建立连接了!

我:这会造成什么严重后果吗?

TCP:会造成极为严重的后果!想象一下这样一个场景:客户端向银行服务器发送请求,要求向一个账户转入一万美元;结果发生了前面所说的状况,那么最终结果就是转入了两万美元,但客户端却一无所知!

我:这听起来真够糟糕的。不过,可以给每个连接都加上独一无二的序列号啊?

TCP:听起来不错,问题在于……服务器出于性能上的考虑,并不会专门建立一个序列号数据库来记住那些连接的不同序列号的。

我:(汗)那就只能先不发送数据,只发送连接建立请求,然后服务器发送确认信息,客户端再发送数据;这样一来,后来雷同请求来了之后,服务器端就会先问客户端是不是真的想要建立连接,然后客户端就会发现异常从而拒绝了。

TCP:没错,就是这样!这一过程就是我的三路握手(three-way handshake)!当然实现的时候就没这么简单了,但基本思路就是这样的!

我:哈哈,被我猜对了啊!

TCP:接下来该说说怎样释放连接了。如果对方主机长时间无响应或者断网了抑或是出现了其他异常状况,另一方就会直接发送RST包单方面释放连接。

但是在正常情况下,当通信完成时,我并不会单方面释放连接的。

我:为什么呢?

TCP:想象一下,一个客户端发送了最后一个请求,然后服务器响应之后就单方面释放连接了,可是响应数据包丢失了。那么,客户端就会请求重传,但此时服务器已经释放了连接,不会再理会客户端了。

我:那么这数据就永远丢失了!

TCP:是啊。不过呢,释放连接比建立连接要难弄的多了。我先说一个故事吧:有一个山谷,山谷里驻扎着一只三人军队,叫A队;两边的山顶上分别驻扎着B队的两个分队,每个分队各两人。B队想要消灭A队,但是如果分队单独行动,那么一定会输的。

我:那就想办法同时行动啊。

TCP:这是自然。问题在于,B队的两个分队要想取得联系,只能派斥候(斥候没有战斗力,不算分队成员)走过山谷去通知对方。而斥候是有可能被抓的,也就是说不保证消息能送到。在无法确定对方是否收到消息的情况下,不管哪个分队都不会行动的。

我:那么,在分队1的斥候到达分队2把消息带来之后,分队2再派斥候把确认消息带过去就行了啊?

TCP:真的吗?带确认消息的斥候也是有可能被抓的!如果说斥候被抓了,那还不是没法确定对方是否收到消息?

我:那就再派斥候把确认消息收到的确认消息传回去(这话说起来怎么这么绕口)……
TCP:还是不行啊!确认消息的确认消息还是有可能送不到啊。最关键的一点在于,最后一个斥候是否到达是无法被确认的;那么送出最后一个斥候的分队就会犹豫对方是不是收到了确认信息,会不会同时攻击A队。一旦这么犹豫了,分队就不会参加攻击行动,那么也就无法战胜A队了。

现在,试着把斥候换成计算机网络中的不可靠通信信道,把攻击命令换成连接释放命令吧。

我:这么说实际上根本就做不到一起释放连接了?

TCP:不,实际情况反倒好办很多:还是拿前面的例子,在完成最后一次数据传递后,客户端发送FIN包,服务器端接收到之后发送FIN+ACK包,同时释放连接;客户端接收到ACK包或者长时间接收不到响应,都会释放连接。

我:相当于不管不顾了。不过既然本来就是个无解的问题,那也只能这么办了。
TCP:啊,这次扯了太多了,对不起,UDP你只能下次再出场了。

UDP:好吧,T!C!P!

科普文链接集合:
https://plus.google.com/+GhostAssassin/posts/a8aKzvZLsuV

原文:https://plus.google.com/+GhostAssassin/posts/WQkk6sHQPoo

关于最新翻墙软件和教程的更新通知

前段时间我整理了最新的翻墙软件和教程,并且在google drive上公开分享了。最近几天又进行了一下更新,更新内容如下:

1,增加了“轰走天朝流氓证书”文件夹,里面放有一键轰走各平台天朝流氓证书的脚本和为什么要轰走流氓证书的说明;

2,增加了mac os和linux平台下的shadowsocks客户端和使用教程(在shadowsocks客户端文件夹里);

3,增加了最新的hosts和goagent IP(在hosts文件夹里);

4,上传了最新的Tor Browser 4.0.5,并增加了如何去除Tor Browser中的天朝证书的教程(在Tor系列文件夹里);

5,上传了最新版的VPNgate,增加了稳定性,强烈建议更新(在VPN文件夹里);

6,上传了your freedom的android版和android下的VPN使用教程(在移动端里的android文件夹里);

7,上传了ios版的shadowsocks客户端,ios下的VPN使用教程和ios利用无界分享翻墙的教程;

8,上传了goagent的使用技巧(在GAE翻墙文件夹里);

9,上传了最新版的Chrome一键翻墙包和畅游无限浏览器,更新自由门到最新的7.53版(在一键翻墙文件夹里);

10,上传了翻墙画报和最新更新的免费翻墙账号网站大集合(在翻墙教程文件夹里)

11,上传了myentunnel SSH客户端和myen和BVssh的使用教程(在SSH客户端文件夹里);

下载链接
https://drive.google.com/open?id=0BwUXn4-xokBPfldhS0I2ajdMQlQtejVQendCamc5a1pRUUxQZG5ETUUyYVVJMkJGZ1AtQ0k&authuser=0
(移动端需要在浏览器中才能正常打开此链接)

原文:http://www.atgfw.org/2015/03/blog-post_28.html

关于最新翻墙软件和教程的更新通知

前段时间我整理了最新的翻墙软件和教程,并且在google drive上公开分享了。最近几天又进行了一下更新,更新内容如下:

1,增加了“轰走天朝流氓证书”文件夹,里面放有一键轰走各平台天朝流氓证书的脚本和为什么要轰走流氓证书的说明;

2,增加了mac os和linux平台下的shadowsocks客户端和使用教程(在shadowsocks客户端文件夹里);

3,增加了最新的hosts和goagent IP(在hosts文件夹里);

4,上传了最新的Tor Browser 4.0.5,并增加了如何去除Tor Browser中的天朝证书的教程(在Tor系列文件夹里);

5,上传了最新版的VPNgate,增加了稳定性,强烈建议更新(在VPN文件夹里);

6,上传了your freedom的android版和android下的VPN使用教程(在移动端里的android文件夹里);

7,上传了ios版的shadowsocks客户端,ios下的VPN使用教程和ios利用无界分享翻墙的教程;

8,上传了goagent的使用技巧(在GAE翻墙文件夹里);

9,上传了最新版的Chrome一键翻墙包和畅游无限浏览器,更新自由门到最新的7.53版(在一键翻墙文件夹里);

10,上传了翻墙画报和最新更新的免费翻墙账号网站大集合(在翻墙教程文件夹里)

11,上传了myentunnel SSH客户端和myen和BVssh的使用教程(在SSH客户端文件夹里);

下载链接
https://drive.google.com/open?id=0BwUXn4-xokBPfldhS0I2ajdMQlQtejVQendCamc5a1pRUUxQZG5ETUUyYVVJMkJGZ1AtQ0k&authuser=0
(移动端需要在浏览器中才能正常打开此链接)

原文:http://www.atgfw.org/2015/03/blog-post_28.html

翻墙问答: CNNIC证书的可信性存有风险 (视频)

问: 之前都介绍过CNNIC发出的数码证书,被用作协助黑客攻击之用。现时有不少浏览器都重新审视CNNIC发出的数码证书的可信性,现时不同浏览器在对待CNNIC数码证书上,有什么分别?

李建军: 由于CNNIC发出的其中一张,供一间埃及为基地的公司所用的数码证书,被滥用作攻击谷歌之用。因此,开放源码的Firefox和Chrome立即采取行动,不再信任CNNIC的相关证书。Firefox更在最新版推出新功能,一旦有机构的数码证书被视为有问题,就会立即透过中央资料库作出检查,并且不再信任怀疑有问题的证书。

至于微软的IE,以及苹果的Safari,就暂时未有特别跟进行动。如果你对CNNIC相关数码证书有疑虑的话,可以暂时改用最新版的Firefox或Chrome以策安全。

 

问: 之前都介绍过,CNNIC的证书是有问题,可能令你登入Gmail或Outlook.com时资讯被窃,那有什么方法,可以彻底解决这方面的问题?

李建军: 真正彻底解决问题的方法,那是完全不信任CNNIC发出任何数码证书,那就不会有攻击个别网站的假证书可以偷取你资料的事件。特别CNNIC是一个官方机构,只要中国当局仍然滥用旗下机构作封锁资讯之用,就会继续有由CNNIC发出的有问题证书。

对于Windows下的IE、Chrome和Safari,以及Mac之下的Chrome和Safari,他们依赖作业系统对证书的管理,因此,要去你所用作业系统的证书管理员,设定不信任CNNIC的证书,由于不同作业系统有不同的设定方法,所以最好参考你使用作业系统的技术文件。

Firefox就有自己独立的证书管理机制,因此,不论你用什么作业系统都好,Firefox上都要另行证定不信任CNNIC证书,达致不会被CNNIC证书所攻击的目标。而这次翻墙问答,我们准备了视频,示范如何在Firefox上改变设定,令Firefox变得不信任所有CNNIC发出的证书,欢迎听众浏览本台的网站收看相关的示范。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-CNNIC-03272015083742.html?encoding=simplified

 

问: 刚才提及改变数码证书设定的方法,都是用在电脑之上,那智能手机、平板电脑,以及电视机顶盒,又可以怎么办?

李建军: 由于iOS以及Android设计的关系,你很难设定你的手机和平板电脑不信任CNNIC证书。现时,针对有可能受CNNIC有问题证书困扰的听众,应尽量使用电脑上的浏览器浏览,而在自己的手机,以及平板电脑,就浏览一些风险相对来得低的内容。

有部分Android手机,容许用户自行决定是否信任CNNIC证书,这次翻墙问答,亦会有视频,示范如何在Android手机设定不信任CNNIC证书,欢迎听众浏览本台的网站收看。但要注意的是,如果你的手机Android作业系统被中国厂商更动过,有可能因暗中传送你私隐资讯的需要,你根本不能不信任CNNIC证书,或就算你设定不信任CNNIC证书,手机仍然自行继续信任CNNIC证书,在海外购买的大海外品牌Android手机,在这方面的安全来比较有保证,至少仍然有机会将CNNIC证书剔除出信任名单之内。

问: 不信任CNNIC的证书有什么不好处?

李建军: 因为中国不少公司开始转用CNNIC的证书,一旦你完全不信任CNNIC的证书,可能令你未能登入这些网站。因此,你要保留至少一部电脑或手机,仍然信任CNNIC证书,用以登入这类网站。

对一些不涉及安装特殊插件的网站,可以考虑用上集介绍的微软Remote IE功能,先翻墙再用云端版IE来登入需要CNNIC证书的网站,那就不用令自己的电脑仍然信任CNNIC证书,又能够保持登入使用CNNIC数码证书的网站。

Google 桌面版 Chrome 擴展 Data Saver

Google 早先已在 Android 及 iOS 版 Chrome 中加入「減少數據用量」功能,該功能透過使用 Google 伺服器進行數據壓縮和代理服務。今天,Google 未經宣布的悄悄推出桌面版 Chrome 擴展 ─ Data Saver,使用該擴展的桌面 Chrome 可同手持設備一樣經過 Google 伺服器進行數據壓縮和代理加速 (加密流量和無痕式瀏覽模式下操作不會經過 Google 伺服器)
註: 本擴展需使用版本 Chrome 41 以上工作。

原文:http://www.atgfw.org/2015/03/google-chrome-data-saver.html

Opera并购VPN公司SurfEasy 翻墙上网更加隐私安全

近日,Opera 软体公司宣布并购总部位于加拿大多伦多的 SurfEasy 公司,该公司提供智慧型手机、平板、以及电脑用的虚拟私有网络(VPN)服务,保护用户在线上的隐私与安全。

根据 2015 年 TRUSTe 的最新指数指出,90% 以上的美国上网用户关切自己的网路隐私,并且有86%已采取行动,寻找解决方案与掌控他们自己线上的活动,来保障他们的隐私。而SurfEasy 公司的解决方案可以确保用户在透过公共 Wi-Fi 连线时,保护用户个人隐私与自由存取被封锁的网站,让用户可以在全球各地不受拘束地浏览网路。

针对并购案成立,SurfEasy创办人暨执行长 Chris Houston 表示:「近两年来线上隐私与安全的议题广受瞩目。无论你透过哪一个网络或是装置上网,我们都相当关心线上的资料如何被监控、审查以及甚至被骇取。加入拥有全球3.5亿用户的Opera,我们将可以提供更多简单易用的App给用户,让他们重新掌管自己线上的隐私与自由 」。

Opera 软体公司执行长包礼森(Lars Boilesen)指出:「近年来,愈来愈多的用户开始质疑是否他们可以相信网路,并且积极为他们的手机或是电脑寻找保障安全的解决方案。

Opera用户极为关注自己的隐私与安全,因此SurfEasy的加入相当符合我们的产品发展需求。目前Opera 已朝浏览器之外的领域发展,此一并购是我们未来发展的重要基石,将有助于发展更广泛的产品线」。

安全上网及私隐保护的一个普通方式就是使用 VPN 服务。Opera 收购 SurfEasy 后,应该是打算把其 合到Opera浏览器之。

Opera 将会整合 SurfEasy 的安全浏览服务如VPN服务到其浏览器中,在桌面电脑或者智慧手机、平板等移动装置上都能够享用到。SurfEasy 将会继续提供原本的服务,例如 USB 式 VPN 连接技术和 VPN app 等等。

对于网络存取受到限制的地方例如中国等,这样的 VPN 服务如果整合到 Opera 的话,相信会是个十分实用的功能,对于用家来说也会更为吸引。当然,这服务本身会是免费提供还是需要付费,就要等待进一部的公布了。

一直以来 Opera 都以让大家省下流量与加速上网为己任,不过,很显然他们还想要做得更多。虽说并不是新产品的发布,他们这次选择在自家为电脑与行动装置的产品包括 Opera、Opera Max 与 Opera Coast 外,宣布收购 VPN 服务 SurfEasy 的消息。此举估计将可借助该公司在网络隐私方面的专业,更加强自己的资安实力。该公司的资深产品副总 Nitin Bhandari 表示,这次收购计划不仅是为了加强公司价值,同时也希望借此向消费者展现该公司致力于,提供极好资安与隐私保护工具的决心。

在 SurfEasy 加入 Opera 后,Bhandari 表示他们未来产品目标将放在提供个人信息加密这类的功能之上。目前官方尚未透露 SurfEasy 的技术未来将以怎样的形式出现在现有产品之上,不过根据官方的说法他们已经有了“很具体的计划”,并且已经将相关技术运用在现有产品后端了。总之,在个人隐私越来越被重视的现在,这样的功能是否有更吸引各位选择这样的浏览器产品呢?

原文:http://allinfa.com/opera-purchase-vpn-surfeasy.html