Shadowsocks for视窗版客户端(v3.3.6)

  • Refine system proxy mode switching logic, merge ‘Switch to PAC’ and ‘Switch to Global’ into ‘Switch system proxy mode’.
  • Don’t store LogViewer window size in config file, now you can sync config between devices with different resolutions.
  • Add tag support for SS url
  • Add pre-release channel in update checker
  • Bug fixes and improvements

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 848896 Bytes
  • MD5: F18A5A0959FF7412D6DA7C8D561F02DE
  • SHA1: 02221FBEDB581D0A2908E3DB5F47F6CD1E188531

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/3.3.6

Lantern 3.52版

蓝灯(Lantern)最新版本下载

蓝灯最新版本下载地址请点这里

最新版本是3.4.x

Windows 版本(要求XP SP3以上) 备用地址

安卓版(要求4.1以上) 备用地址 Google Play下载 请勿使用UC浏览器点击下载,会被替换成假的有广告的版本

其他系统下载

请大家收藏本页面,方便日后下载新版。

蓝灯官方论坛

论坛帖子页面请点这里进入,或者点击左上方的Issues进入。

你可以在右上角“sign up” 注册账号。 通过邮件验证后,请点击 https://github.com/getlantern/forum 回到论坛。

在论坛内,可用右上角使用“New issue” 发新帖,或者在帖内使用“Comment”回复。

版规

本论坛可进行关于蓝灯(Lantern)翻墙软件的讨论。提问前,请先阅读蓝灯精华帖。因为版面有限,请不要重复发帖,也请不要在开新帖发表邀请码。邀请码请发表到汇总贴或其他论坛。 禁止广告帖,包括非官方的讨论群。禁止刷版,人身攻击等恶劣行为。 关于蓝灯的问题,请上传日志。

原文:https://github.com/getlantern/forum#蓝灯lantern最新版本下载

翻墙问答:手机流媒体程式操作简单

翻墙问答:手机流媒体程式操作简单(粤语部)

视频:http://www.rfa.org/cantonese/video?v=1_tv79ywfj

问:本台一直以来,都有手机应用程式,但最近推出了流媒体程式,那流媒体版的应用程式,与RFA应用程式本身,又有什么分别?

李建军:RFA流媒体与RFA应用程式的分别在于,RFA流媒体只有一个很简单的功用,就是播放本台的节目,不提供其他文字等方面的功能,这个比较适合纯粹要收听本台节目,而不浏览网上内容的听众。而相对而言,RFA流媒体的操作方法亦简单很多,只要你懂得使用手机来听音乐和MP3,都很容易掌握RFA流媒体的使用方法。而且可以选择收听电话版本,透过流媒体程式,一次过掌握。如果你的Android手机比较旧,你大可以透过安装这个流媒体程式,将旧的Android或iOS手机,变成一部网络收音机使用,收听本台节目。

问:那如何安装和使用流媒体程式?

李建军:最简单的安装方法,就是用手机的App Store或Google Play Store下载,只要打RFA三个字,就能够找到流媒体程式。

但要注意的是,如果你的iOS App Store所用的Apple ID是中国的话,会找不到我们的流媒体应用程式,所以你必须先翻墙,以及将Apple ID设在中国以外地区,例如香港或日本,才能够顺利下载。

由于谷歌被中国当局封锁,要用Google Play Store肯定要翻墙,如果你的Android手机是无Google Play Store,很大机会这些在中国当局压力下移除了Google Play Store的手机,都会涉及私隐问题,我个人建议你用有正规Google Play Store的手机。因为有正规Google Play Store的手机,除了能够安装我的流媒体程式,亦相对比较少私隐问题需要注意和考虑。

在这集翻墙问答,我准备了视频片段,示范如何在iOS的App Store下载并启用流媒体程式,欢迎听众浏览本台网站收看。

问:有研究显示,WeChat在海外使用时所受的审查,有可能比在中国使用更厉害,为何会出现这个现象,要避免受到这种做法影响,又有什么方法呢?

李建军:虽然我个人不鼓励听众使用WeChat,但基于中国现有的网络生态,我个人理解有需要用到WeChat。腾讯公司之所以对中国注册用户在海外的发言审查更严,因为WeChat可能发现不少人翻墙使用WeChat,当翻墙使用WeChat时,就会视为海外发言。因此腾讯公司故意收紧中国注册用户的海外发言审查,藉此阻止WeChat用户透过海外IP来回避关键字审查的意图。

如果你要谈一些敏感的事,翻墙后使用Whatsapp以及Telegram更好,因为Whatsapp和Telegram有比较好的加密,不像腾讯WeChat几乎没有加密可言,因此才被国际特赦组织评为最不安全的实时通讯软件。但如果你想透过WeChat向你中国的朋友传递一些信息,可以考虑在香港等视为海外的地区注册WeChat户口,再翻墙使用WeChat,那在腾讯主机的角度,只要你不绑定中国的手机,那你只是一个海外的用户,那腾讯全程就会用一个适用于海外用户的较宽松审查方式。由于香港的手机预付咭,买的时候不用作任何登记,可以考虑绑定一个香港预付咭号码。

只不过,有可能在一定特定时候,中国当局会不准许海外户口的使用者贴文或发布讯息。以往八九六四纪念期间,香港微博的用户不断将维园悼念晚会相关内容在微博上发布,造成相当多香港用户的户口暂时被冻结,以及不容许香港注册的用户在微博上发布信息。相信类似海内外分家的做法,会在WeChat上使用,以免WeChat成为海外支持民主的人发中国用户宣传民主自由理念的平台。

原文:http://www.rfa.org/cantonese/firewall_features/streanubg-12022016080442.html?encoding=simplified

【翻墙问答】部分垃圾电话过滤程式对用户私隐构成风险

【翻墙问答】部分垃圾电话过滤程式对用户私隐构成风险(粤语部制图)

 

视频:http://www.rfa.org/cantonese/video?v=1_kdxymevt

问:不少人为了过滤推销电话或其他垃圾电话,都会用特定的过滤程式,拦截这些垃圾来电,但香港传媒发现这些过滤程式是有私隐疑虑,甚至有可能令自己的电话会落入中国企业手上,对自己的朋友构成危险,请问情况如何?

李建军:根据香港调查报导机构Factwire的调查,有中资背景的Whatscall以及CM Security、以色列的Sync.me以及瑞典的Truecaller,都可以透过个别人士电话,反查到当事人身份,这是相当有力证据显示,这些软件都有蒐集用户的电话簿资料,并储存在中央主机。

当然,由于资料泄漏的缘故,无论Whatscall、CM Security、Sync.me和Truecaller都要立即停用,只不过,Whatscall和CM Security,由于大股东是猎豹移动,而猎豹移动的大股东是金山软件。因此,如果你的手机电话簿内容,落入Whatscall或CM Security手中,很大机会落入金山软件手中,这有可能危害到听众其他朋友的安全,因此,不论Whatscall和CM Security作出何等承诺都好,都应即停用相关软件。

问:美国保安专家发现,当地出售的Android廉价手机,都会将资讯不断送到四部中国主机,造成相当大的保安疑虑。请问这次美国保安专家所发现的保安问题是什么?听众可以怎样做,避免买到会泄漏私隐的Android手机?

李建军:出问题的手机软件,大部分都是上海广升科技所提供,广升科技在手机作业系统加入元件,会将资讯传到广升科技四部主机,传送的资讯,包括短信全文、电话簿资料等等,构成的私隐泄漏相当恐怖。由于广升科技的元件,是以系统元件身份在手机或其他Android作业系统器材上执行,所以用户是没有办法阻止相关软件继续将资讯送到广升的主机,亦只有专业人士可以侦测和阻止广升的软件运作。

要避免买到使用广升作业系统的主机,除了要拒绝买华为和中兴通讯的手机外,现时只能选择具自主软件研发能力的手机品牌,例如三星、LG、索尼等大公司。三星、LG和索尼等公司,为了配合他们自身的生态圈以及其他硬件,一般不会将作业系统开发部分外判予其他公司,特别是中国的公司,比较容易避免用到广升科技的软件。而那些无品牌的廉价手机,无论在那一个国家买的,由于要减省开发成本,很可能用上广升科技的软件。对用户而言,这是非常灾难性的情况。

除了大品牌手机,以保安为卖点的手机,像Blackberry以Android作业系统为本手机,亦不会使用广升科技的软件,因为这类保安为卖点的手机,不少都要经过美国或欧洲政府部门的保安审查,如果出现广升科技的间谍软件,根本不可能经过政府的保安审查,更不可能争夺西方国家的政府合约。

问:Mac一直都很难使用无界浏览,不过,透过无界浏览的Firefox插件,Mac都可以使用无界浏览翻墙,这又如何做?

李建军:透过无界浏览Firefox插件,只要安装了插件,很简单按一下插件开关,就可以连接无界浏览的主机翻墙,实现了利用Mac来透过无界翻墙。但要注意的是,最好先用其他浏览器翻墙下载插入,才去安装,直接在Firefox上是安装不了。

这次翻墙问答,我预备了视频,示范如何在Firefox安装无界浏览的插件,欢迎各位听众浏览本台网站收看。除了Mac,Windows和Linux的Firefox,都适合于同一个安装手法和使用方法,这跨平台翻墙方法,是颇为方便要穿梭不同平台的用家的。

原文:http://www.rfa.org/cantonese/firewall_features/whatscall-11242016111041.html?encoding=simplified

三款網路翻牆工具–freenet, lantern, psiphon


這一年多來,偶而幫Open Technology Fund 放在transifex.com上的公開專案進行正體中文化的翻譯。如果我沒理解錯誤(知道正確資訊又剛好有看到這篇文章者煩請指正),OTF有部份資金來自Radio Free Asia,而RFA這個由美國官方資助的公共媒體的確有不少來自美國政府部門的經費支援。不過我要說的是OTF所支持與投入的數位科技專案,多是以協助在資訊封閉不自由的地區、社會、國家如何透過數位技術科技的開發和應用,打斷資訊的隴斷控制。於此同時OTF另一關注的重點則是如何保護人民在使用工具獲取資訊時,不會受到權力者(主要是政府部門)的監控干擾。

来源: http://self.jxtsai.info/2016/06/freenet-lantern-psiphon.html
剛好這兩個議題算是我個人比較有興趣的,所以也用了一些時間在相關軟體的中文化與介紹上。而今天要一口氣介紹的三款網路翻牆工具,我都有幸(嗯其實是沒有人和我搶)參與了其正體中文化的進行,當然其中也不少是借力於先行完成的簡體中文稿的基礎。
簡單說明,所謂翻牆工具是為了對付網路的審查與封鎖。因此不能不先了解到底何謂「網路審查與封鎖」?網民們或多或少知道中國GFW的威力以及其對許多境外跨國網站的封鎖政策,我就不多說。自詡為進入民主待深化、人權保障雛備,甚致有人覺得言論太過自由的今日台灣,是否仍然存有網路審查與封鎖的現象呢?答案是:當然有!!!。只是在中國執行「「網路審查與封鎖」」的權力者其無法相應的監督和制衡,而在台灣稍慶幸言論資訊被審查而遭移除的原因與手段多少有點法律正當性的依據,例如以未成年者身心發展健康為由,在校園內的公共電腦透過關鍵字設定而無法連到色情網站、臉書接受用戶檢舉認同女性身體上空照片有色情暗示而移除該貼文或暫時停止張貼者使用、毀謗侮辱他人或內容侵犯著作權遭當事人向網管反應在未經法院審理之前內容已被移除…….

許多政府、公司、學校與公共網路使用區都透過一些軟體來阻止使用者連上某一些網站或網路服務。這樣稱之為網路過濾或是封鎖,也被視為網路審查的一種。內容過濾來自不同的形式.有時整個網站都被封鎖有的只是包含某些關鍵字的內容被過濾.某個國家或許會封鎖了整個臉書網站,有些則是封鎖臉書上部份的社群小組或是含有某些字眼的網頁內容。不管其內容是如何被過濾封鎖,你只有透過一些對付工具才能取得資訊. 對付因應的工具往往透過分散你的網路或透過其它電腦的繞行交通,以躲避執行審查的機器。現有許多對付網路審查的工具,有些提供多出來的安全層帶供你使用。這樣的工具最適合受到威脅的用戶。

(摘自Security First umbrella_app:網路初學者介紹篇communications the internet beginner )
繼續根據umbrella_app網路初學者介紹篇的整理,一般而言要突破網路封鎖所採的方式可歸類至少有三種方式:
1)網站差異:試圖找另一個替代的網域名或網址.以推特為例, 你可以造訪它的行動網址http://m.twitter.com 來取代http://twitter.com. 審查者封鎖網站或網頁往往依照被禁止的黑名單資料,所以不在名單上的網址或許可以躲過一劫,因為他們並不知道某一個特定網站有其它不同的網域名稱,尤其是因為遭封鎖而註冊了其它的網域名.
2)網頁代理器 (例如 https://proxy.org/)是最簡單對付審的方式之一.它是由網站讓用戶可以近用其它遭到封鎖的網址. 使用網頁代理,你只需在其網頁上的輸入框打上被過濾的網址,代理器就會在網頁上呈現出你要求的內容。網頁代理器是一個快速近用封鎖網站的好方法,但是它也有一些缺點:a)它住往無法提供安全保密,如果你的網路行為受到監控的威脅,這就不是一個好的選項。b)有時這個工具也無法提供你要求的正確網頁內容,許多網頁代理無法承載複雜的網站,像是有影音內容的網站。c)如其名稱所示網頁代理由能提供網站服務,你無法利用它來使用即時通訊或是電子郵件程式。d)最後,網頁代理本身也給使用者帶來一些風險,因為代理器會全程記錄你的瀏網行為。有一些代理服務使用了加密功能可以提供多一層的安全防護以及躲避過濾。雖然它的連線有加密但是服務提供者仍然保有你的網路資料,這意謂著它並不是匿名。不管如何,這總是稍比一般性的網頁代理更為安全.最簡單形式的加密網頁代理是透過使”https”開頭的網址,它的網站會使用加密通訊。
3)虛擬私人網路 (VPN)會在你的電腦與其它電腦之間進行加密與傳送。這個電腦可以商用或是非營利,或是由你的公司或是一個信賴者所架設的VPN 服務。代理伺服器只有網頁交通功能,但是VPN可以加密和保護通訊內容。主要的差異就在 VPN伺服器可以加密資料,而代理器則不能。VPN也可以讓你方使使用更多網路資源,例如透過它讀取網頁、電子郵件、即時通訊、網路電話等種種服務。不要使用不信任的VPN:VPN透過本機上的加密保護你的使用記錄,但是VPN提供者仍然可以保留你訪問過的網站活動記錄甚致將其提供給第三方以直接窺探你的瀏覧歷史。依照你受威脅模式的程度,政府很可能監聽或是取得你的 VPN 記錄,這將是很大的風險。
當然可以用來突破網路審查(這裏指的是網站被封鎖無法連上的情況,而非內容被移附)工具應該不少,因透過中文化工作,有機會稍接觸的三種翻牆連網工具簡介:
1) Freenet:中文稱「自由網」,根據其官網上的介紹,「它是一個分散式、非中心化的資訊儲存與存取的系統。系統的目標是要在Internet上可以自由地傳遞各類資訊,而不會受到任何控制。要達到這個目標,就是提供匿名的方式來置放資訊到Freenet上,並且透過Freenet來存取其他Internet資訊。」我個人感覺這個是三個軟體中最複雜神祕的一套,其作用不只是在突破網站封鎖,還得把自己的電腦變成自由網中的一個節點,並劃出自己部份硬碟與流量來做為儲存分享交換「檔案」的空間。有技客利用它來連上DarkNet、Deep Web(暗黑網絡、隱形網絡或深層網絡。泛指一些不能由傳統搜尋器找到的網站,須通過動態請求或由特定的瀏覧器才可找到)
2) Lantern: 中文被譯成「藍燈」。它似乎也有應用到點對點之間的技術,軟體會自動檢測一個網站是否被封鎖。對那些被封鎖的網站,Lantern 通過自有的服務器或者未封鎖地區的用戶運行的 Lantern 來提供訪問。如果網站沒有被封鎖,Lantern 選擇靠邊站。這樣瀏覽器就會直接訪問網站,而速度不受影響。
3) Psiphon: 中文被譯成心「賽風」,是一個以VPN-為基礎的工具但也混合利用了SSH, HTTP Proxy等技術,以代理使用者所有的網路交流,不只限於網頁瀏覧。使用安裝請參考之前umbrella app 工具指南介紹
作了一張簡表來比較這三種軟體的特色。也許因為相對地幸運活在今日台灣,所以沒怎麼能親身比較它們各自的優缺點在哪裏,只能先以官網開發者提供的基本資料作介紹。

原文:http://www.chinagfw.org/2016/11/freenet-lantern-psiphon.html#more

Shadowsocks不完全指南

什么是 ShadowSocks (影梭)

ShadowSocks 是由@clowwindy所开发的一个开源 Socks5 代理。如其官网所言 ,它是 “A secure socks5 proxy, designed to protect your Internet traffic” (一个安全的 Socks5 代理)。其作用,亦如该项目主页的 wiki中文版) 中所说,“A fast tunnel proxy that helps you bypass firewalls” (一个可穿透防火墙的快速代理)。

不过,在中国,由于GFW的存在,更多的网友用它来进行科学上网。2014 年底的一项调查显示(图一),“最受欢迎的翻墙方案前五名是: fqrouter 、goagent、shadowsocks、自由门、VPN;最坚挺的翻墙方案前五名是:shadowsocks、fqrouter、自由门、VPN、路由器翻墙”。对比2013年的调查结果,可以看到,Shadowsocks的流行度正日益上升,而其稳定性也获得了广泛的认可。

ShadowSocks 的原理

这里推荐“写给非专业人士看的 Shadowsocks 简介”,讲的非常清楚。为防止有同学无法访问该文章,这里摘抄出来:

long long ago…

在很久很久以前,我们访问各种网站都是简单而直接的,用户的请求通过互联网发送到服务提供方,服务提供方直接将信息反馈给用户whats-shadowsocks-01

when evil comes

然后有一天,GFW 就出现了,他像一个收过路费的强盗一样夹在了在用户和服务之间,每当用户需要获取信息,都经过了 GFW,GFW将它不喜欢的内容统统过滤掉,于是客户当触发 GFW 的过滤规则的时候,就会收到 Connection Reset 这样的响应内容,而无法接收到正常的内容
whats-shadowsocks-02

ssh tunnel

聪明的人们想到了利用境外服务器代理的方法来绕过 GFW 的过滤,其中包含了各种HTTP代理服务、Socks服务、VPN服务… 其中以 ssh tunnel 的方法比较有代表性

1) 首先用户和境外服务器基于 ssh 建立起一条加密的通道
2-3) 用户通过建立起的隧道进行代理,通过 ssh server 向真实的服务发起请求
4-5) 服务通过 ssh server,再通过创建好的隧道返回给用户
whats-shadowsocks-03

由于 ssh 本身就是基于 RSA 加密技术,所以 GFW 无法从数据传输的过程中的加密数据内容进行关键词分析,避免了被重置链接的问题,但由于创建隧道和数据传输的过程中,ssh 本身的特征是明显的,所以 GFW 一度通过分析连接的特征进行干扰,导致 ssh
存在被定向进行干扰的问题

shadowsocks

于是 clowwindy 同学分享并开源了他的解决方案

简单理解的话,shadowsocks 是将原来 ssh 创建的 Socks5 协议拆开成 server 端和 client 端,所以下面这个原理图基本上和利用 ssh tunnel 大致类似

1、6) 客户端发出的请求基于 Socks5 协议跟 ss-local 端进行通讯,由于这个 ss-local 一般是本机或路由器或局域网的其他机器,不经过 GFW,所以解决了上面被 GFW 通过特征分析进行干扰的问题
2、5) ss-local 和 ss-server 两端通过多种可选的加密方法进行通讯,经过 GFW 的时候是常规的TCP包,没有明显的特征码而且 GFW 也无法对通讯数据进行解密
3、4) ss-server 将收到的加密数据进行解密,还原原来的请求,再发送到用户需要访问的服务,获取响应原路返回
whats-shadowsocks-04

Shadowsocks 的优劣

优势

  • 支持远程 DNS 解析,防止 DNS 污染。由于 socks5 代理支持远程 DNS 解析,因此不用另外再去找国外的 DNS 服务器,DNS查询直接递给远程代理服务器,然后通过墙外 DNS 服务器查询得到结果再传回客户端。从而 DNS 污染鞭长莫及。
  • 安全。所有数据流量全部经过加密,加密算法可选并支持自定义算法。另外,远程 DNS 解析也使得本地的 ISP 无法通过 DNS 查询获取你所访问的网站。
  • 隐蔽。 OPENVPN 和 VPNgate 都是死在了特征检测上,通常来说基于证书的身份认证过程和密钥交换过程都会带来独特的协议指纹( OPENVPN 有着一套复杂完善的身份认证机制,估计 GFW 就是识别出了这一机制的协议指纹从而成功干掉 OPENVPN 的),从而使得他们在 handshake 阶段就被 GFW 识别出来并阻断了;但 ShadowSocks 直接放弃了服务器端身份认证,也抛弃了密钥协商过程( TLS 连接就是在 handshake 阶段协商出随机密钥的),而是采取事先在服务器端设置好固定密钥的方式来应对加密连接的(设置shadowsocks客户端和服务器端的时候要填写同一个密码,这就是事先设置好的用于加密和解密的密钥)。这样做就大大减少了协议特征,再加上一般的 ShadowSocks 服务器端都是个人租用的专用服务器,流量很小,从而很难被 GFW 发现和封杀。
  • 速度相对较快。由于其隐蔽性,只会有很少的数据包会被 GFW 丢弃,从而保证了连接速度。
  • 连接稳定。同样由于其隐蔽性,较小的丢包率带来的是稳定的连接。
  • 智能切换。 传统的 VPN 方式,在切换网络时非常不方便, 比如连上国外的 VPN 之后会发现访问国内的网站速度严重下降。 ShadowSocks 支持 PAC 列表,根据 PAC 中的规则,有针对性地选用恰当的网络访问方式,兼顾了访问速度与访问效率。移动客户端还支持针对不同应用设置单独代理。
  • 去中心化。服务器端搭建方便快捷,每个人都可以自己动手搭建属于自己的服务器端。部分人以免费或者收费方式共享自己的服务器,即使不想动手搭建的也有很多的免费账号或购买渠道可以选择。
  • 代码开源。不像某些蜜罐式的翻墙工具,开源的代码保证了无后门,从而为上网的隐私性与安全性提供保障。
  • 客户端配置简单。配置时只需要填写 IP /域名、端口号,密码,然后选择加密方式即可。
  • 客户端绿色小巧。Windows版本的客户端只有200多k,而且免安装,解压即可使用。
  • 省电。在移动端上使用,电量管理中几乎看不到它的身影。
  • 支持开机启动,断网无影响,无需手动重连,方便网络不稳定或者3G&Wi-Fi频繁切换的小伙伴。
  • 跨平台。支持主流系统包括 Windows, Linux, Mac, Android, IOS,都有对应的客户端支持。

劣势

若自己搭建 ShadowSocks 服务,需要一定的

  • 技术成本。因为大部分服务端是基于运行 Linux 的 VPS(虚拟主机)搭建,因此需要学会使用 putty 等远程管理工具的使用方法,并掌握一定的Linux基本命令行操作。
  • 金钱成本。租用国外的服务器,需要价格不菲的费用。

若使用免费 ShadowSocks 账号,可能有一定的

  • 时间精力成本。很多免费账号由于使用者众多,人均流量很小,导致网速慢,不稳定,需要不断寻找新的替代,且很多免费账号会定时更新密码,或者是有流量限制,或者是需要定时签到等等,这些都需要花费时间和精力去一一满足需求才能短暂使用。
  • 安全成本。有一些人会将自己的 ShadowSocks 节点免费分享出来,这些人是非常值得肯定和称赞的!但是其中有一小部分人别有居心,例如在 ShadowSocks 的服务器端监听网络流量,进行中间人攻击等,这类钓鱼服务器会严重损害用户的个人信息安全。

若购买收费的 ShadowSocks 账号, 需要一定的

  • 金钱成本 由于很多 ShadowSocks 卖家都是以盈利为目的,需要花费一定的费用。

那么,自己想要有一个影梭账号的话,到底是选用哪种比较好呢?可以看到网上很多卖 ShadowSocks 账号的,有的价格很便宜,比自己搭服务器划算多了,是不是直接购买一个账号比较好呢?

在这里我建议大家自己搭服务器,或者找几个人一起租个服务器比较划算。不推荐购买商业出售的 ShadowSocks。
商业的出售 ShadowSocks 账号的行为绝大部分都是耍流氓。试着算一下,作为一个 ShadowSocks 出售者,他们的成本是服务器的租用费用,而收入是购买 ShadowSocks 账号人数 × 每人花费的 ShadowSocks 账号购买价格。
我们假设,一台服务器的租用成本,是 10 美元一个月,那么如果要想不亏本,且做到低价,假设现在卖给十个人,那么至少每个人每月要 1 美元。但是,服务器的带宽是有限的,假设是 100M 的带宽,那么平均分下来人均带宽只有 10M,而服务器的流量一般也是有限的,如果一共是 1000 M 的流量,那么每人每月只分到 100M 。如果超出流量,服务器的租用费用会增加,就好像我们手机流量超出后,额外的流量需要交钱一样。因此,购买的流量一般都会受限制。
从上面的例子可以看到,服务器资源是大家共享的,使用的人越多,人均分到的资源就越少。但是, ShadowSocks 的卖家需要赚钱,那么怎么办呢?当然是最小化成本,并最大化收入了。也就是说,尽量租用少量廉价的服务器,然后将它以尽可能高的价格卖给尽可能多的消费者。因此,对于 ShadowSocks 的商家而言,超售(即一台服务器原本最多10个人用的,可能最后卖了100个人)的现象非常严重,消费者最终所能享受到的流量和连接速度显然对不起自己的花费。
不如自己租个服务器,不仅能有一个稳定放心的服务器,还能顺便学习些 Linux 的相关知识。
如果嫌麻烦,可以找那种大家一起租一个服务器的,相对而言,至少有一点可以保证,就是不会有各种奇奇怪怪的限制,比如不能发邮件,不能看视频,不能下载特定的某些资源等等。而且最大的一个好处是,租用的人数一般较少,最重要的是这种一般不用担心超售,各方面性能配置等有保证。

ShadowSocks 配置

服务器端配置

服务器的选择

首先是选择一款合适的国外主机作为服务器,一般而言,用来作 ShadowSocks 的服务器的话,并不需要一台独立的国外主机,只需要选择一款虚拟主机(Virtual Private Server,简称 VPS)即可满足需要。这里推荐几家较常用的VPS。

隶属于美国IT7旗下的VPS服务品牌,VPS采用OpenVZ架构,主要针对低端VPS市场。目前拥有洛杉矶、凤凰城、佛罗里达、荷兰4个数据中心。

具体节点的选择,可以在浏览器中输入以下IP进行实际测试(测试地址由www.banwagong.com提供):
美国洛杉矶 US West Coast-Los Angeles:104.224.162.217
美国佛罗里达 US West Coast-Florida:104.224.141.127
欧洲 荷兰 EU-Netherlands:104.224.145.203
美国 凤凰城 US, Arizona :45.62.112.117
一般而言,中国用户使用洛杉矶和凤凰城的机房会有较好的网络体验。

具体套餐如下:

OpenVZ架构 1GB内存 20GB硬盘 2TB流量/月 18.99美元/年(折合人民币9.5元/月)
(低成本大流量首选)
https://bandwagonhost.com/aff.php?aff=3420&pid=28
(温馨小提示:此款VPS的年付选项在Billing Cycle的下拉菜单里)

OpenVZ架构 512MB内存 10GB硬盘 1TB流量/月 11.99美元/年
(强力推荐,性价比非常高)
https://bandwagonhost.com/aff.php?aff=3420&pid=27
(温馨小提示:此款VPS的年付选项在Billing Cycle的下拉菜单里)

OpenVZ架构 512MB内存 5GB硬盘 500GB流量/月 9.99美元/年
https://bandwagonhost.com/aff.php?aff=3420&pid=22
(温馨小提示:此款VPS的年付选项在Billing Cycle的下拉菜单里)

OpenVZ架构 128MB内存 3GB硬盘 300GB流量/月 5.99美元/年
https://bandwagonhost.com/aff.php?aff=3420&pid=21

OpenVZ架构 96MB内存 2GB硬盘 200GB流量/月 4.99美元/年
https://bandwagonhost.com/aff.php?aff=3420&pid=20

OpenVZ架构 64MB内存 1.5GB硬盘 100GB流量/月 3.99美元/年
(内存太小,有小伙伴反映在搭建过程中会报错,慎用)
https://bandwagonhost.com/aff.php?aff=3420&pid=19

注:搬瓦工域名在部分地区被墙,可能需要翻墙访问,但在上面购买的VPS不受影响。搬瓦工从15年6月26日起支持支付宝付款。

DigitalOcean是一家位于美国的云主机服务商,总部位于纽约,成立于2012年,VPS 核心架构采用KVM架构。由于价格低廉,高性能配置、灵活布置的优势,近些年来发展迅猛。

该公司拥有多个数据中心,分布在:New York( Equinix 和 Telx 机房), San Francisco ( Telx ), Singapore ( Equinix ), Amsterdam ( TelecityGroup ), Germany ( Frankfurt ). 其私有数据网络供应商是Level3, NTT, nLayer, Tinet, Cogent, 和Telia。具体节点的选择,可以先在其官方测速界面测试网速后再决定对应的节点。官方提供的测速节点如下:
纽约:节点一IPv4),节点二IPv4),节点三IPv4, IPv6);
阿姆斯特丹:节点一IPv4),节点二IPv4IPv6),节点三IPv4IPv6);
旧金山:节点一IPv4IPv6);
新加坡:节点一IPv4IPv6);
伦敦:节点一IPv4IPv6);
法兰克福:节点一IPv4IPv6);
一般而言,建议非电信用户可以采用新加坡节点,速度非常给力。电信用户不建议采用此VPS,速度比较一般,更推荐 VultrLinode 的日本机房。

推荐套餐:
KVM架构    512MB内存  20GB硬盘    1TB流量/月   5美元/月
https://www.digitalocean.com/?refcode=2b378c125009
(通过此链接注册后立即获赠10美元,相当于免费赠送两个月时长)
这是其最便宜的套餐了,不过用作个人的 ShadowSocks 服务器已经绰绰有余,没有必要再去购买更高配置的套餐。支持 Paypal 付款。

Vultr 是一家成立于2014年的VPS提供商。根据域名所有者资料,母公司是2005年成立于新泽西州的 ClanServers Hosting LLC 公司,他们家的游戏服务器托管在全球6个国家的14个数据中心,选择非常多。 Vultr 家的服务器采用的 E3 的 CPU ,清一色的 Intel 的 SSD 硬盘,VPS采用KVM架构。 Vultr 的计费按照使用计费(自行选择配置、可以按月或按小时计费),用多少算多少,可以随时取消,另外可以自己上传镜像安装需要的操作系统也是一大亮点。现在已经成为 Digital Ocean 的有力竞争对手。

Vultr的服务器托管在全球14个数据中心,即时开通使用。大陆访问日本机房速度不错,延迟低、带宽足。以下官方测速地址:

机房位置
主机名称(做PING测试)
各机房数据包下载测试

(Asia) Tokyo, Japan / Vultr日本机房
hnd-jp-ping.vultr.com
100Mb 1000Mb

(AU) Sydney, Australia /  Vultr澳大利亚机房
syd-au-ping.vultr.com
100Mb 1000Mb

(EU) Frankfurt, DE /  Vultr德国机房
fra-de-ping.vultr.com
100Mb 1000Mb

(EU) Amsterdam, NL / Vultr荷兰机房
ams-nl-ping.vultr.com
100Mb 1000Mb

Seattle, Washington  / Vultr西雅图机房
wa-us-ping.vultr.com
100Mb 1000Mb

(EU) London, UK / Vultr伦敦
lon-gb-ping.vultr.com
100Mb 1000Mb

(EU) Paris, France / Vultr法国巴黎机房
par-fr-ping.vultr.com
100Mb 1000Mb

Silicon Valley, California / Vultr硅谷机房
sjo-ca-us-ping.vultr.com
100Mb 1000Mb

Los Angeles, California / Vultr洛杉矶机房
lax-ca-us-ping.vultr.com
100Mb 1000Mb

Chicago, Illinois / Vultr芝加哥机房
il-us-ping.vultr.com
100Mb 1000Mb

Dallas, Texas / Vultr达拉斯机房
tx-us-ping.vultr.com
100Mb 1000Mb

New York / New Jersey / Vultr纽约机房
nj-us-ping.vultr.com
100Mb 1000Mb

Atlanta, Georgia / Vultr亚特兰大机房
ga-us-ping.vultr.com
100Mb 1000Mb

Miami, Florida / Vultr迈阿密机房
fl-us-ping.vultr.com
100Mb 1000Mb

推荐套餐:
KVM架构    768MB内存  15GB硬盘   1TB流量/月    5美元/月
这是官网最低配的套餐,但是用来作为 ShadowSocks 的服务器,已是足够满足要求。直接进入官网选择该套餐即可购买。

VPS 服务商中的大哥,高富帅般的存在。价格相对较高,但是性能,稳定性等各方面也非常给力。 VPS 采用 Xen 架构,不过最近的周年庆开始升级到 KVM 架构,VPS 性能进一步提升。推荐给对连接速度和网络延迟有极致追求的用户。

有多个节点,各节点及官方测速地址如下:

Facility
Hostname
Test Download

US East
speedtest.newark.linode.com
100MB-newark.bin

US South
speedtest.atlanta.linode.com
100MB-atlanta.bin

US Central
speedtest.dallas.linode.com
100MB-dallas.bin

US West
speedtest.fremont.linode.com
100MB-fremont.bin

London
speedtest.london.linode.com
100MB-london.bin

Singapore
speedtest.singapore.linode.com
100MB-singapore.bin

Tokyo
speedtest.tokyo.linode.com
100MB-tokyo.bin

日本 Tokyo 机房和 US West 的Fremont 机房对中国用户有较好的网络体验。

推荐套餐:

Xen架构     1GB内存  24GB硬盘   2TB流量/月     10美元/月
这是 Linode 的最低套餐,足够满足 ShadowSocks 的使用需要。
需要的点击此链接进行注册:
https://www.linode.com/?r=9cd5c5fd231d0996451da1dbcfb79cf19d82624b
注册时在 Promotion Code 处填入 LINODE10 ,Referral Code 处填入 9cd5c5fd231d0996451da1dbcfb79cf19d82624b ,注册后可获赠10美元。

Linode只能使用信用卡支付,官方会随机手工抽查,被抽查到的话需要上传信用卡正反面照片以及可能还需要身份证正反面照片,只要材料真实齐全,审核速度很快,一般一个小时之内就可以全部搞定。账户成功激活以后,就可以安心使用了。

总结一下:

价格方面,Linode 最高,Vultr 和 Digital Ocean 紧随其后,但是也和 Linode 差不多,搬瓦工价格相比前面的三家要低很多。

价格的差距主要是由于虚拟化的架构区别。前面三家都是采用的 Xen 或者 KVM 架构,而搬瓦工则是 OpenVZ 架构。OpenVZ为不完全虚拟化技术,每个VPS账户共享母机内核,易受同一母机下其他VPS的影响,几乎不能单独修改内核。Xen和KVM为完全虚拟化技术,各VPS之间互相独立,基本互不影响,而且可以任意修改内核。

这三种架构对我们搭建shadowsocks服务器来讲最直观的区别就是,Xen和KVM可通过系统内核修改来优化服务器,大幅度提升shadowsocks的连接速度,尤其体现在晚高峰的时候。

对连接速度和稳定性尤其是网络延迟有极高要求的首选 Linode(只有最快,没有更快),有较高要求的推荐 Vultr (电信用户)或者 DigitalOcean (移动或网通用户)(一分价钱一分货),对于普通用户来讲,搬瓦工就可以(性价比高)。

服务器操作系统选择

在选择服务器操作系统时,推荐选用 CentOS 6 (x86 或者 x64 均可)操作系统。当然,如果服务器端想选用Debian / Ubuntu 系统,或者是Windows系统,也是支持安装 Shadowsocks 的。下文的安装配置过程均以 CentOS 6  为例。

开始安装
通用安装方法

注意:操作系统为 CentOS 6,安装的 Shadowsocks 为 Shadowsocks-Python 原版。

选择好对应的 VPS 并成功在上面部署操作系统后,可以在管理面板或者邮箱收到登录的端口号和密码。下载一个 putty ,打开 putty ,输入服务器IP,端口号,点击open即可开始连接。
putty1

在 login as 后面输入管理员账户 root ,password 填写你在 VPS 管理面板或者邮箱中收到的密码。(注意,密码是不显示在窗口中的)输入完成后按回车即可成功登陆。(注:putty中支持复制粘贴操作,在putty命令行中按下鼠标右键即可粘贴当前系统剪贴板中内容,左键选择需要的内容即复制这些选中的内容到系统剪贴板)putty2

然后在命令行中输入putty3

yum install python-setuptools && easy_install pip

过程中有遇到问是否安装的,一律输入 y 后回车。putty4

显示完成后,再输入putty5

pip install shadowsocks

等待安装完成,显示 “Successfully installed shadowsocks-2.6.10″。意味着Shadowsocks已经成功安装。putty6

接着,创建一个Shadowsocks配置文件。在 putty 中输入以下命令:putty7

vi /etc/shadowsocks.json
 然后复制这样一段putty8
{
    "server":"your_server_ip",
    "server_port":8388,
    "local_address": "127.0.0.1",
    "local_port":1080,
    "password":"auooo.com",
    "timeout":300,
    "method":"aes-256-cfb",
    "fast_open": false
}

各个参数说明如下:

Explanation of the fields:

名称
说明

server
填入你的服务器 IP ,即当前操作的 VPS 的 IP 地址,必须修改

server_port
服务器端口,可以根据实际需要修改,或者保持默认

local_address
本地监听地址,建议保持默认

local_port
本地端口,这个参数一般保持默认即可

password
用来加密的密码,可以根据实际需要修改

timeout
单位秒,一般保持默认即可

method
默认的是”aes-256-cfb”,一般保持默认即可

fast_open
使用TCP_FASTOPEN, 参数选项true / false,一般保持默认即可

workers
worker的数量, 在 Unix/Linux 上有效,一般不用加此项

注意:这里是json配置文件,每个参数配置完后都有一个逗号,但是最后一个参数后面是不加逗号的。

修改完成后,按 Esc 键,然后输入putty9

:wq

按下回车,保存退出。

最后,启动 Shadowsocks,在命令行中输入以下命令:
putty10

ssserver -c /etc/shadowsocks.json -d start

即可启动 ShadowSocks 服务
putty11

如果要关闭 Shadowsocks 服务,在命令行中输入以下命令:putty12

ssserver -c /etc/shadowsocks.json -d stop

即可关闭 Shadowsocks 服务putty13

特别番:搬瓦工的一键安装法

作为低端 VPS ,大家购买搬瓦工用得最多的就是拿来科学上网了。搬瓦工可能自己也发现了这个问题,为了满足广大消费者的需求,因时制宜地推出了一键翻墙的安装选项(在此之前还推出了 OpenVPN 的一键安装,当然 VPN 现在已经是被 GFW 摧残得几乎不能用了,不过仍旧可以看出来这家公司还是很接地气的嘛:-D。就在今天——15年6月26日——竟然还支持支付宝支付了,你敢信?!一天之内很多套餐断货了……)。不多说,看一下如何使用一键安装大法吧。

  1. 创建了VPS之后,登录搬瓦工的 Client Area,在 Service – My Service 中选择自己的 VPS ,点击 KiwiVM Control Panel 进入 web 控制台。bwg1
  2. 由于 Shadowsocks 一键安装包只支持 CentOS 6 ,因此务必确保VPS是centOS 6 操作系统,如果不是,需要点击控制面板中的 Install New OS 重新安装。bwg2a
  3. 点击面板左侧目录 KiwiVM Extras 下的 Shadowsocks Server,点击 Install Shadowsocks Server,后天会自动进行安装。bwg3
  4. 大概几十秒就会自动安装完成,可以看到提示已经安装成功。然后点击 Go back 按钮返回。 bwg4
  5. 这时候你看到了神马?是的,就是所有你需要填写的 Shadowsocks 客户端信息(IP,端口号,密码和加密方式),搬瓦工已经以图文的方式给你表示出来了,包括提供了 Windows 客户端版本的下载。而且在该页面还能自定义需要的加密方式,切换端口,或者生产新的密码。也能自主控制服务器的启动和停止,如果不想用了,在最后还有一个一键卸载的选项。然后就不用说了,happy地去使用吧。如果英文不好,或者是需要除了Windows客户端版本之外的其他平台客户端,那么请继续看本文下面的内容,客户端配置部分。bwg5

客户端配置

Windows

注:该部分教程基于 Windows 平台的 ShadowSocks 2.3.1 版本制作。由于每过一段时间会发布新版本,因时间精力有限,只更新客户端的下载和新增功能部分,功能介绍部分暂时无法及时更新。

下载地址:

官方下载地址发布页:https://github.com/shadowsocks/shadowsocks-windows/releases

2.5.6 版本(2015.8.20):
下载地址:官网下载网盘下载
(由于版本已经统一,不再有不同环境的版本,若不能正常运行请安装 .net 4.0)
增加 portble 模式(便携模式),如果要用该模式,在使用时创建一个 shadowsocks_portable_mode.txt。(Add portable mode. Create shadowsocks_portable_mode.txt to use it)
支持服务器重排(Support server reorder)。
注:也许该版本将成为最后一个版本。由于突然的作者被请喝茶,2015年8月22日上午10点左右源代码库已经被作者删除。相关事件图片:
821182128221
具体过程,2015年8月20日晚上,作者 clowwindy 在 GitHub 上把他所维护的几个 shadowsocks 实现的代码仓库内的 Issue 面板全部关闭,所有帮助信息全部删除,所有的描述都改成了 Something happened. 同样在20日下午 6:30 左右, v2ex 的 shadowsocks 节点访问被跳转到,无法正常访问。在早上,clowwindy 在 shadowsocks-windows 的 #305 号issue(也是Pull Request)下回答:“I was invited for some tea yesterday. I won’t be able to continue developing this project”.然后声明他将不能再对此项目进行维护。目前此仓库内的所有 clowwindy 的评论都已经被删除,包括这一条。同时,他本人的 Twitter 开启了保护状态,只有先前关注的能看见他的最新状态更新。8月22日上午10点左右,仓库内的代码被删除。

Ps:转自作者博客

原文:https://we233.cn/archives/31.html

土豆丝(Potatso)iOS 平台上一款强大的 广告拦截+翻墙工具

Potatso 是 iOS 平台上一款强大的网络工具,支持通过 Shadowsocks, ShadowsocksR 等自定义代理翻墙。

来源:https://manual.potatso.com/overview.html
苹果商店下载:https://itunes.apple.com/us/app/tu-dou-si-potatso-qiang-da/id1070901416
官方网站:http://potatso.com/
论坛:http://forum.potatso.com/
文档:https://manual.potatso.com/overview.html
作者:https://twitter.com/icodesign_me
官方推特:https://twitter.com/potatsoapp
GitHub:https://github.com/shadowsocks/Potatso
Telegram群组:https://telegram.me/joinchat/BT0c4z49OGNZXwl9VsO0uQ

简介

Potatso 是 iOS 平台上一款强大的网络工具,利用 iOS 9 开始提供的全新网络 API 开发,支持任何网络环境下自定义代理、自定义规则、查看网络请求等功能。无论您是开发者,还是普通用户,Potatso 都能为您提供更便捷畅快的网络环境。

功能

简洁、易用、强大、安全是Potatso 最基本的功能特点。

Potatso 目前支持以下功能:

  • 系统全局代理(Wi-Fi, 4G 等任何网络环境)
  • 支持 Shadowsocks, ShadowsocksR 等自定义代理
  • 支持根据网络请求自定义规则(直连,代理,拒绝等操作)
  • 内置云集规则,简化使用
  • 支持配置文件、二维码导入代理和规则

使用教程:

  1. Potatso配合Shadowsocks让iOS翻墙教程
  2. Potatso使用教程/规则分享,优雅开启SS代理
  3. IOS上Surge最佳替代品,高颜值的Potatso教程

原文:http://www.chinagfw.org/2016/11/potatsoios.html

让人耳目一新的 Surge Mac 2.0

Surge Mac 2.0 的变化不仅来自功能迭代上的不断完善,在功能和定位上也有了比较大的变化,将作为一个独立产品单独发售。1.0 当初是作为 Surge iOS 用户的一种福利提供的,从而让用户在 iOS 和 Mac 两个平台上有趋于一致的使用体验,基于配置文件的共享来实现顺畅的网络访问。2.0 的演进不再只是解决网络访问的基础问题,新增的 Surge Dashboard 控制台不仅能直观查看网络访问,还可以方便的控制网络访问。

Surge Mac 2.0 参数的配置和编辑基本都可以在 UI 界面中完成,比起 1.0 的文本编辑模式直观了很多。不过从效率上说,技术流可能还是更喜欢配置文件的文本编辑模式。初次使用建议先下载 surge.conf 范例配置,然后到 Dashboard 的界面中进行参数的调整。

Surge Mac 2.0 安装后,使用步骤可以分为 5 步:

  1. Set as System Proxy,设置系统的代理;
  2. Change Configuration Folder,改变配置的存储文件夹;
  3. 建议设置存储配置的文件夹为 iCloud Drive;
  4. 通过 Finder 定位到 iCloud Drive 的文件夹,下载复制范例配置到其中,用文本编辑器打开配置,修改其中的代理服务器部分;
  5. 由 Surge Mac 的下拉菜单中切换配置。

如果配置文件没有问题,加载好配置文件后,Surge Mac 就可以开始工作了,后期针对参数的细节调整可以在 Surge Dashboard 中完成,由菜单中选择 Dashboard,点击 Surge Dashboard 的工具栏上选择齿轮 ⚙ 图标。

General 部分和配置文件中的 [General] 的部分是对应的,HTTPS Decryption 对应的是配置文件中的 [MITM]部分,URL Rewrite 部分对应的是[URL Rewrite]部分。

UI 界面上调整完参数后保存(工具栏上的磁盘图标),将会保存到你指定的存储位置。需要注意的是,Dashboard 中保存配置后只会保留行后的注释。

Surge Mac 2.0 最大的变化是新增加的 Surge Dashboard,在这个界面上可以直观的查看网络的访问情况,点击具体的条目进一步查看其具体请求的数据,在条目或应用上右键通过菜单项添加规则或者退出应用。

默认打开 Dashboard 时加载的是本地应用(Local Clients)的访问和请求页面,局域网的其他计算机或者虚拟机如果也是通过 Surge Mac 代理上网,会显示在 Remote Clients 下方。

除了可以查看本机的网络访问情况,Surge Mac 还能查看处在同一个局域网环境下的其他 Surge 的访问情况,或是 USB 数据线连接的 iOS 设备上 Surge 的访问情况。要实现远程的访问,必要条件是:

  • 远端设备上安装有 Surge 并处于运行状态;
  • 远端设备 Surge 的配置文件中包含 external-controller-access 的具体定义;
  • 知道远端设备的局域网 IP 和及其配置文件中定义的密码、端口。

通过菜单项选择「File — New Dashboard」(⌘N)新建 Dashboard 窗口,如果选择局域网 IP 的方式连接,需要被访问设备的 IP 地址,例如,iPhone 在 Wi-Fi 网络中获取的 IP (设置-无线局域网,点 ⓘ 查看 iPhone 的 IP 地址)。USB 连接方式比局域网连接更简单,只需要输入 external-controller-access 中定义的端口号和 @ 符号前定义的密码。

在 Dashboard 访问记录上右键可以直接添加规则,同样的方式在 Proxy 面板中也能很方便的编辑现有的规则,具体的参数其实和配置文件中的项目都是对应的,习惯用那种方式来调整取决于个人的习惯。


具体参数含义可以访问 zhHans.conf.ini 进行查看。

Surge Mac 2 还增加了 MitM(即 Man-in-the-middle attack 简称 MitM,用于解密 HTTPS 的流量)的支持 ,通过 Dashboard 的「参数配置」界面能方便的创建 MitM 证书或者安装由 iOS 端创建的证书。

  • Generate New Certificate,创建证书
  • Import Certificate from PKCS#12 File,由 PKCS 文件导入证书
  • Install This Certificate to System,安装配置文件中包含的证书到系统

如果 iOS 版的 Surge 和 Mac 版是通过 iCloud Drive 共享配置,配置好 MitM 的配置文件同步到 Surge for iOS 后还需要多走一步,将证书安装到 iOS 的系统中。

打开 Surge for iOS 的 Config 页面,选择 Edit Configuration,滑动到配置页面底部,点击 HTTPS Decryption 进入 HTTPS 的配置页面。

因为配置文件中已经包含 Mac 上配置好的证书的 base64 编码内容,所以界面上你能看到 Surge MitM 的证书,只不过这里还不被系统信任(Not Trusted by System),点击 Install CA to System,按照向导安装描述文件到系统就可以了。

描述文件安装后,只要 Surge Mac 上的证书不变更,Surge iOS 上以后不用重新配置。Surge Mac 或者 Surge iOS 只要一方创建好 MitM 证书另一方直接安装证书 (Install This Certificate to System) 即可,如果重复创建先前的证书会作废。

Surge Mac 2.0 试用下载:Download Trial,以及价格体系说明。

原文:https://medium.com/@scomper/%E8%AE%A9%E4%BA%BA%E8%80%B3%E7%9B%AE%E4%B8%80%E6%96%B0%E7%9A%84-surge-mac-2-0-bb7cf735b1b8#.gv1xs43vc

翻墙问答:Whatsapp二步认证如何设定

视频:http://www.rfa.org/cantonese/video?v=1_giiwfp57

问:最近Whatsapp推出了二步认证功能,其实Whatsapp是与手机号码连在一起,不用输入任何密码,为何Whatsapp要推出二步认证?二步认证是为了什么?

李建军:相信不少人都有遗失手机的经验,有时候,手机本身并不值钱,但手机内的Whatsapp通讯纪录,很可能才是匪徒的目标。而Whatsapp推出二步认证的目标,与LINE、Telegram等推出二步认证的目标有些不同,Whatsapp二步认证的目标,主要防止不法之徒,透过偷SIM卡,或复制SIM卡,甚至改动你的电话的SIM卡安排,然后藉在另一部手机启动目标的Whatsapp户口,而偷取备份的对话纪录。

问:那Whatsapp二步认证功能,是怎样做?

李建军:由于Whatsapp二步认证目标,主要是防止你的通话纪录被非法复制,因此,在平日使用Whatsapp时,你不会察觉二步认证的存在,只有你在更换手机的时候,才会询问六位数字的二步认证密码。而Whatsapp的二步认证功能,由于并不常用,所以不会像Gmail或Skype等的二步认证程序这么多花样和复杂。这次翻墙问答,我准备了视频,示范如何在Whatsapp上设定二步认证,欢迎听众浏览本站网站收看。

亦由于Whatsapp二步认证并非常用功能,忘记六位数字的二步认证密码是殊不为奇的事,因此,Whatsapp建议你提供一个电邮地址。而我们亦建议你提供这个电邮地址,但避免使用中国的电邮服务供应商,以免当局利用相关电邮突破二步认证的保护。使用Gmail或GMX,是比较安全的做法。

问:如果我无法记起二步认证码,是否代表用不了Whatsapp?

李建军: 你就算忘了二步认证码,也不代表你用不了Whatsapp,但由于二步认证码主要目的,是防止用户的个人私隐被盗窃,因此如果你忘了二步认证码,又无法提供电邮收密码的话,你会无法再确认Whatsapp户口七天,在七天后,你可以跳过二步认证码来再确认户口,但七天期间未看的信息会全数删除。如果三十天内仍然未确认成功,Whatsapp会整个户口删除,不会保留任何对话纪录。

问:那Whatsapp的二步认证,是否不支援苹果或部分Android手机的指纹认证功能?

李建军:由于Whatsapp二步认证的设计,并非为了防止其他使用者非法使用你的Whatsapp户口,而是防止不法之徒复制你的通话纪录,因此,你无法要求启动Whatsapp时输入密码或进行指纹认证,如果你需要用指纹认证去保护你Whatsapp上的资料,你应该善用手机的锁机功能。在手机自行关闭荧幕后,用家必须输入密码或以指纹认证方式启动手机,Whatsapp上并无任何额外保安功能去防止其他用家非法接触户口。

问:以往Mac机都被指缺乏指纹认证功能,而受不少用户埋怨,甚至有人因此仍要用Windows的笔记簿电脑,但新款MacBook部分机型,会提供类似iPhone的指纹认证功能,又如何?

李建军:以往Mac并不支援指纹认证,但新款有Touch Bar功能的Macbook Pro,将会内置与iPhone一样的指纹认证功能,将指纹放在Touch Bar上,才能够登入自己的Mac机,以及相关的户口。对于关注自己笔记簿电脑保安的人,除了使用有指纹认证支援的Windows笔记簿电脑,亦可以考虑使用有Touch Bar的Macbook Pro。

虽然现时有人成功将iPad与Mac电脑连接,达致与Touch Bar一样的效果,但由于有关功能涉及苹果的开发者户口功能,因此,在现阶段,这功能并不适合一般用户使用,只适合少部分具程式开发能力的资深用户作测试之用。但不排除,日后可以透过iPhone或iPad,而为Macbook或其他Mac电脑添加指纹认证功能。

原文:http://www.rfa.org/cantonese/firewall_features/whatsapp2step-11182016083728.html?encoding=simplified

翻墙问答:如何替Gmail加密

视频:http://www.rfa.org/cantonese/video?v=1_bdbbdvm0

问:相信不少听众,都会使用家用路由器的遥控管理功能,以便在家中妥善管理各类网络设置。但有保安专家发现,D-Link有部分家用路由器,由于设计上的缺陷,遥控管理部分并不安全,建议用家关闭遥控管理功能,以免黑客入侵,请问是怎样一回事?

李建军:由于D-Link的家用路由器,HNAP协定的设计出现漏洞,只要在遥控登入部分输入超长的字串,就很容易能够攻破路由器的保安系统,接著就可以为所欲为。而相关缺陷,并非可以由D-Link更新软件可以解决,因此,发现相关漏洞的网络保安公司,建议用家关闭路由器的遥控系统,以免黑客入侵家中网络系统。

如果你真的需要在家中使用遥控管理功能,很可能只能选购其他牌子的路由器以策安全,因D-Link以往不只一次在HNAP设计上出现漏洞,而引发保安问题。而现时D-Link亦未有公布方案,解决由HNAP漏洞所引发的保安问题。因此,选用其他牌子的路由器,变成了唯一解决问题的方案。

问:不少人都有用Web of Trust的浏览器插件,去防止浏览一些内有保安问题的网站,只不过,德国电视台踢爆Web of Trust插件本身其实都有问题。Mozilla基金会更加将Web of Trust插件,由插件商店中移除。Web of Trust的插件出现什么问题?又会否鼓励听众日后安装更新版的Web of Trust插件?

李建军:Web of Trust插件,被德国电视台发现,不单会追踪个别网民行踪,而且会将搜集得来的资料,售予商业机构,甚至政府部门,Web of Trust一日未交代清楚所搜集的资料最终行踪前,这插件不单不会保障用家的网络安全,相反,更可能令用家的安全受到影响,大家想像一下Web of Trust将资料售予中国政府,都足以构成重大麻烦。

因此,纵使Web of Trust稍后推出新版的插件,都不建议重新安装。事实上,只要你用Chrome或Mozilla等开放源码的浏览器,本身都有足够保护,防止你浏览一些有严重保安问题的网站,并不需要Web of Trust之类的软件。而相信,日后使用者会对商业机构推出的插件提高警觉,毕竟天下间并没有免费午餐,除了出售使用者私隐,或出售软件订阅费用,商业软件公司很难长期向用户提供软件,并维持开发成本。开放源码插件,反而会对用户私隐比较有保障。

问:除了GMX,透过Gmail都可以利用PGP来进行电邮加密,但应该怎样做,因为Gmail好像没有支援相关做法。

李建军:如果你有在Firefox或Chrome安装了Mailvelope插件,其实你可以用同一插件,在Gmail上用自行产生的PGP金钥,以及对邮件进行加密,只不过你撰写电邮时,程序略有不同,包括需要在相关Gmail网页上先激活Mailvelope插件,以及撰写电邮时,需要多按一两个按键,在另一视窗上撰写电邮,确保你的电邮,经过了PGP加密。

如果你曾经照翻墙问答的教导,使用GMX的加密网上电邮,就已经在浏览器安装了Mailvelope插件,而不需要再安装浏览器插件。而Mailvelope插件暂时只支援Firefox和Chrome,因此,Safari、IE和Edge用家,是没有办法透过浏览器版的Gmail来拆阅和加密Gmail,而Android和IOS用家,需要将金钥移到支援PGP的软件,才可以替自己的Gmail加密,以及拆阅已加密电邮。

这次翻墙问答,我准备了视频,示范由在Firefox上,产生Gmail所需的PGP金钥,以及如何加密,以及拆阅经加密的Gmail信件,欢迎听众浏览本台的网站收看。

原文:http://www.rfa.org/cantonese/firewall_features/mailvelope-11112016083440.html?encoding=simplified

翻墙问答:如何安装COW 软件(视频)

视频:http://www.rfa.org/cantonese/video?v=1_qvek53ke

问:一直以来,Mac都被指少翻墙软件可用,选择远少于Windows平台,但最近有志愿者开发了COW软件,请问能否介绍一下?

李建军:COW软件是一个免费的Mac、Linux和Windows都适用的HTTP代理主机服务器,但这个服务比较特别在于,需要用家对Linux或UNIX指令有一定认识,才能够安装,暂时并未有图像用户介面版本的。

由于使用指令来安装软件对不少Mac用家而言这做法较为新鲜,这次翻墙问答,我们准备了视频,示范如何在Mac的终端机视窗输入指令,就可以完成COW的安装,欢迎各位听众浏览本台网站,留意收看有关示范。

原文:http://www.rfa.org/cantonese/firewall_features/applicance2-11042016085753.html?encoding=simplified

翻墙问答:当心家中连接互联网电器的各类保安漏洞

问:物联网的兴起,令越来越多连接互联网的电器设备,有可能变成黑客发动DDoS的工具。最近有保安专家发现,可以接驳互联网的飞利浦LED灯胆,有可能有保安漏洞,成为黑客发动DDoS攻击,甚至破坏电网运作攻击的工具,请问能否介绍一下?

李建军:在今年较早时间,加拿大一队保安专家,发现飞利浦Hue系列,可供电脑等设备遥控的LED灯胆系统有保安漏洞,黑客可以藉漏洞控制成千上万同样连接互联网的灯胆,因而损害电网运作。保安专家发现漏洞后,立即通知飞利浦公司,而飞利浦公司亦暗中发出保安修补工具,只要用户更新软件到最新版,应不受这个保安漏洞的影响。

但由于物联网的设备结构相对简单,黑客要成功找出其保安漏洞亦相对容易,因此,现时防止黑客入侵,已不单只在电脑或智能手机等设备,只包括LED灯、闭路电视等相对简单,但同样可以由网络控制的设备。而且由物联网带来的保安挑战,随时比电脑或智能手机更大,因为物联网设备的技术限制实际上比电脑以至智能手机都来得多。而用户要防止自己屋企的电器,变成了黑客攻击别人或自己的踏脚石,家中各类连接互联网电器的软件,都要及时更新,以策安全。

问:刚才谈及物联网保安问题,最近有人发现惠普公司LaserJet 1320镭射打印机,有可能成为黑客窃取智能手机保安资料的工具,那又是怎样一回事?对于一般用户,又可以如何提防自己公司或家居的镭射打印机,变成了黑客入侵自己或他人系统工具?

李建军:近年,有一种使用ARM中央处理器晶片的廉价Linux电脑草莓Pi,以价廉物美,体积小,而且耗电低闻名,在深圳很容易买得到,深受不少电脑用家的喜爱,用作自建打印机伺服器,或档案伺服器。

只不过,近年有不法分子,将这种小型电脑改装,暗藏在惠普LaserJet 1320或类近机体较大的镭射打印机内,再加上小型无线电发射仪器,就可以藉发出木马短信,窃取打印机附近手机的个人资料。而要查出自己的打印机是否被人加了料,只能靠定期拆开打印机内部,或当发现有人收到不明来历短信时,立即检查打印机才能发现。而不法之徒,往往在修理他人打印机时,暗暗将窃取资讯设备装入打印机中,因为对正常用户而言,他们不会想到打印机会暗藏小电脑,而小电脑可以功能强大至发出钓鱼短信或信息,藉此窃取个人资料。因此,若然打印机出问题,应找原厂维修,坊间不知名的维修公司,要看看他们东主的背景,以及收机时,必须作出适当检查,以防不法之徒加料。

原文:http://www.rfa.org/cantonese/firewall_features/applicance1-11042016084423.html?encoding=simplified

【翻墙问答】本台翻墙网站示范使用谷歌Allo信息软件(视频)

视频:http://www.rfa.org/cantonese/video?v=1_me4q7iad

问:最近不少人浏览美国或新加坡网站,或翻墙时,都出现速度缓慢,甚至无法进入网站的现象。而出现这个现象,又与杭州雄迈公司所生产同代工一系列旧款视像监察镜头有关。到底发生了什么事?

李建军:近日有成千上万的僵尸装置,主要都是杭州雄迈公司的产品,大规模攻击美国主要DNS供应商Dyn,以及新加坡当地其中一间主要互联网供应商星和。当成千上万的视像镜头,被黑客利用预设密码的漏洞,进行DDoS攻击时,就会引发大规模交通瘫痪,因此,杭州雄迈科技主动收回怀疑变成DDoS工具的产品,并且呼吁用户更新在2015年前购买产品的内部软件,堵塞黑客发动DDoS攻击的漏洞。由于出问题的雄迈公司产品,数量相当多,相信短期内,都不会有希望彻底解决问题,直至相关的雄迈公司产品逐步被汰换为止。

问:对于中国听众而言,如果他们发现家中的保安镜头等设备是雄迈公司的设施,那应该怎办?

李建军:如果你的设备,可以不连接互联网的话,请先尽量切断与互联网的连接,当视像镜头不连接互联网时,根本无法参与DDoS攻击,那就不会对其他人的设备造成麻烦。对保安视像镜头,设于内联网下,比设于互联网上来得好。

如果你的设备在2016年生产,那你可以暂时不用采取任何行动,因为受影响的设备,都是2015年前生产的旧款设备。如果你的设备于2015年3月前生产,可以前往雄迈网站更新软件,并更改密码,那就问题不大。

如果你的旧设备是2015年前生产,无法更新运作软件,或无法让用户自定密码的话,你的设备实际上对其他电脑使用者构成困扰,那只能不再让相关设备连接互联网,甚至要整个设备更换,以免相关设备影响办公室或家居其他同网络系统。

问:现时最好的点对点加密程式,除了 Signal软件本身外,Whatsapp同Facebook Messenger都是Facebook公司的产品,但有部分中国听众,可能对Facebook公司在中国问题取态有疑虑,那除了Signal以及Facebook公司的产品,还有什么选择?

李建军:最近谷歌推出了Allo实时信息软件,所使用的点对点加密协议,与Signal以及Whatsapp所用的协议相同,而且可以连系你的Gmail户口,对谷歌用户相对而言比较便利,亦提供了限时模式,在点对点模式下的对话,可以设定于指定时段内毁灭信息。在Allo,点对点加密模式,是被称为无痕模式,而这集翻墙问答,我们准备了视频,示范如何使用Allo,欢迎大家浏览本台网站收看。

问:在Allo上,当使用无痕模式时,如果我所用的表情,收件人并无安装,会否影响在无痕模式下的通讯表现?

李建军:因为当无痕模式的收件人,并无安装特定表情包时,会自动连接谷歌主机,虽然下载表情包时,软件与谷歌之间的连系,仍然是会加密的,但由于中国当局以DNS污染手段阻止民众连接谷歌主机,因此,如果不想影响在无痕模式的运作表现的话,Allo用家最好先作翻墙,以免DNS污染之下,影响Allo无痕模式下的正常运作。

虽然下载表情包会与谷歌主机通讯,但暂时为止未收到报告,指有关安排破坏了点对点通讯的机密性和可靠性。相信,这会是其他即时信息软件的发展方向。

由于下载表情包是一次性动作,因此,在大部分情况下,都不会影响无痕模式下的点对点通讯表现以及效能。、

原文:http://www.rfa.org/cantonese/firewall_features/allo-10282016081504.html?encoding=simplified

【翻墙问答】本台翻墙网站示范使用谷歌Allo信息软件(视频)

视频:http://www.rfa.org/cantonese/video?v=1_me4q7iad

问:最近不少人浏览美国或新加坡网站,或翻墙时,都出现速度缓慢,甚至无法进入网站的现象。而出现这个现象,又与杭州雄迈公司所生产同代工一系列旧款视像监察镜头有关。到底发生了什么事?

李建军:近日有成千上万的僵尸装置,主要都是杭州雄迈公司的产品,大规模攻击美国主要DNS供应商Dyn,以及新加坡当地其中一间主要互联网供应商星和。当成千上万的视像镜头,被黑客利用预设密码的漏洞,进行DDoS攻击时,就会引发大规模交通瘫痪,因此,杭州雄迈科技主动收回怀疑变成DDoS工具的产品,并且呼吁用户更新在2015年前购买产品的内部软件,堵塞黑客发动DDoS攻击的漏洞。由于出问题的雄迈公司产品,数量相当多,相信短期内,都不会有希望彻底解决问题,直至相关的雄迈公司产品逐步被汰换为止。

问:对于中国听众而言,如果他们发现家中的保安镜头等设备是雄迈公司的设施,那应该怎办?

李建军:如果你的设备,可以不连接互联网的话,请先尽量切断与互联网的连接,当视像镜头不连接互联网时,根本无法参与DDoS攻击,那就不会对其他人的设备造成麻烦。对保安视像镜头,设于内联网下,比设于互联网上来得好。

如果你的设备在2016年生产,那你可以暂时不用采取任何行动,因为受影响的设备,都是2015年前生产的旧款设备。如果你的设备于2015年3月前生产,可以前往雄迈网站更新软件,并更改密码,那就问题不大。

如果你的旧设备是2015年前生产,无法更新运作软件,或无法让用户自定密码的话,你的设备实际上对其他电脑使用者构成困扰,那只能不再让相关设备连接互联网,甚至要整个设备更换,以免相关设备影响办公室或家居其他同网络系统。

问:现时最好的点对点加密程式,除了 Signal软件本身外,Whatsapp同Facebook Messenger都是Facebook公司的产品,但有部分中国听众,可能对Facebook公司在中国问题取态有疑虑,那除了Signal以及Facebook公司的产品,还有什么选择?

李建军:最近谷歌推出了Allo实时信息软件,所使用的点对点加密协议,与Signal以及Whatsapp所用的协议相同,而且可以连系你的Gmail户口,对谷歌用户相对而言比较便利,亦提供了限时模式,在点对点模式下的对话,可以设定于指定时段内毁灭信息。在Allo,点对点加密模式,是被称为无痕模式,而这集翻墙问答,我们准备了视频,示范如何使用Allo,欢迎大家浏览本台网站收看。

问:在Allo上,当使用无痕模式时,如果我所用的表情,收件人并无安装,会否影响在无痕模式下的通讯表现?

李建军:因为当无痕模式的收件人,并无安装特定表情包时,会自动连接谷歌主机,虽然下载表情包时,软件与谷歌之间的连系,仍然是会加密的,但由于中国当局以DNS污染手段阻止民众连接谷歌主机,因此,如果不想影响在无痕模式的运作表现的话,Allo用家最好先作翻墙,以免DNS污染之下,影响Allo无痕模式下的正常运作。

虽然下载表情包会与谷歌主机通讯,但暂时为止未收到报告,指有关安排破坏了点对点通讯的机密性和可靠性。相信,这会是其他即时信息软件的发展方向。

由于下载表情包是一次性动作,因此,在大部分情况下,都不会影响无痕模式下的点对点通讯表现以及效能。、

原文:http://www.rfa.org/cantonese/firewall_features/allo-10282016081504.html?encoding=simplified

翻墙问答:Facebook Messenger加密功能如何?(视频)

视频:http://www.rfa.org/cantonese/video?v=1_9ut8seow

问:在Whatsapp推出加密对话功能后,Facebook都开始在Messenger上加入加密对话,以及限时对话功能。请问能否介绍一下Facebook Messenger的加密对话功能?

李建军:Facebook Messenger在最近的更新中,加入秘密对话功能,只要你在Android或iOS手机,安装最新版的Facebook Messenger就可以。虽然Whatsapp和Facebook的加密对话功能,都是建基于同一技术。只不过,由于Facebook Messenger本身设计上的限制,所以Facebook Messenger的加密功能,实际应用时,同Whatsapp始终是有分别的。

首先,Facebook Messenger并不预设启动加密功能,你要与朋友进行加密通讯,只能够另开一个加密通讯渠道,而且你这个加密通讯,只能够在手机上的Facebook Messenger使用,还要只有一部手机,能够使用加密通讯功能。一旦你在其他手机启动加密功能,就会关闭其他手机上的加密功能。

由于网页版本的Facebook并不能够使用加密通讯,亦意味著不能像Whatsapp一样,在桌面电脑透过浏览器或独立应用程式进行加密通讯,一切在Facebook间的加密通讯,都必须透过Android或iOS版本的Facebook Messenger应用软件去进行。亦由于Facebook Messenger的加密模式必须依赖手机应用程式,因此,Facebook Messenger的加密模式,并不能够好像Whatsapp般可以用作传送pdf或微软办公室软件档案之用,只能够用来传送图片、文字以及声音信息等Facebook Messenger手机版支援的档案,亦不能够在加密模式进行语音或视像通讯,并不像Whatsapp可以在加密模式下,进行语音通讯,并对语音通讯进行加密。但注意的是,Facebook Messenger所用的特殊卡通表情,仍然可以在加密模式下使用。

问:那Facebook Messenger的加密功能有这么多限制,那Facebook Messenger和Whatsapp的加密版本,又有什么好处?

李建军:Facebook由于不依赖电话号码或电话网络,如果不信任Whatsapp的认证程序要经过中国国有电讯公司手机网络的话,Facebook提供了可以回避中国电讯网络进行认证,而可以建立秘密通讯途径的方法。另一方面,如果想建立一个不涉及真实电话号码的加密沟通渠道,Facebook Messenger是GMX Mail以外,最可能做到这个目的加密通讯渠道。

另一方面,Whatsapp并不具备类似Telegram的自动毁灭信息功能,但Facebook Messenger可以设定计时器,在计时器指定限时内自动毁灭信息。在这方面,Facebook Messenger比Whatsapp来得优胜。

问:那怎样在Facebook Messenger上启动加密通讯?

李建军:Facebook Messenger的应用程式,并不预设启动加密模式,因此要在Facebook Messenger启动你手机上的加密模式,才会启动加密模式的通讯。

要注意的是,如果你在其他手机启动了加密模式,你一旦你在手上的手机启动加密模式,其他手机上的加密模式就会立即关闭。

之后,你就可以与朋友进行加密通讯,不能够在现在对话中启动加密,而是要另行启动一个加密了的用户对用户通讯,之后你就可以在这个特别的加密通讯对话中,进行基本文字通讯,使用卡通表情,或传送相片。在这一集翻墙问答,我准备了视频,示范如何在iOS版的Facebook Messenger中启动加密模式,并且展开加密模式下的通讯,欢迎听众浏览本台的网站,收看有关视频。

虽然在iOS设备上进行示范,但Android Facebook Messenger的使用方法,与iOS分别是大同小异。

问:Facebook和Whatsapp用的Signal加密协定,除了Signal、Facebook和Whatsapp,还有什么实时信息软件,未来都会采用同一技术?

李建军:谷歌的新实时信息软件Allo,都会采用Signal加密协定,在日后的翻墙问答,我们会介绍谷歌新实时信息软件Allo的功能,所以要继续留意翻墙问答节目。

原文:http://www.rfa.org/cantonese/firewall_features/facebooksecret-10212016082308.html?encoding=simplified

翻墙问答:哪个Webmail可以提供加密服务?(视频)

视频:http://www.rfa.org/cantonese/video?v=1_j2foo5n5

问:一直以来,Webmail最被人诟病的地方,在于提供不到点对点加密的电邮服务,不过,德国有一间公司提供的Webmail服务,却可以提供点对点的加密能力,请问能否介绍一下?

李建军:德国的免费电邮服务供应商GMX,最近推出了新的服务,只要配合安装在Chrome和Firefox上的插件,就可以实现用PGP技术来加密你的电邮,而不用再额外安装任何数码证书。当你设定妥当点对点加密后,任何你和朋友间的电邮,就只有持有PGP证书的人可以拆阅,就连GMX公司本身,都不会知道你的电邮内容。

由于PGP是相当通用的技术,因此,只要你的朋友懂得用PGP,就算并非使用GMX的免费电邮服务,都仍然享受到PGP的好处。

问:PGP是有名难用,在GMX的Webmail系统上设定PGP又会否相当困难?

李建军:GMX利用Chrome和Firefox上运用的开放源码插件,只要安装了插件,就可以轻易在你的浏览器上设定和使用PGP加密邮件功能。在这一集翻墙问答,我预备了视频,示范如何在GMX上设定使用PGP加密电邮,欢迎听众浏览本台的网站收看。

亦由于GMX透过在Chrome和Firefox上的插件,实现PGP加密,因此在Safari和微软浏览器上,将享受不到PGP加密功能,而在手机和平板电脑上,亦不适用GMX的PGP加密电邮服务,这点是听众必须注意的。

问:Webmail最大便利之处在于可以在任何地方上用,那GMX的PGP加密功能,又是否可以在任何电脑或地方上使用?

李建军:由于PGP的加密设计问题,因此,你的GMX PGP私密匙是为你的设备所特别配备,如果你想在其他设备使用你的GMX PGP私密匙,除了相关电脑是使用Chrome或Firefox浏览器外,你更要在产生的私密匙时,将私密匙备份,列印在纸上,并于安全地方保管,在你想于另一设备上用PGP匙时,就输入你的备份好的私密匙,你才能在另一设备上使用GMX相关PGP匙。因此,GMX这个设计,是比较适合使用Windows或Mac手提电脑的用家,因为他们通常会使用固定的电脑和浏览器上网。对于想用网咖或公司电脑来查阅电脑的人,我个人并不建议他们在网咖或公司公用电脑上用GMX的PGP服务,因为一旦你的私密匙落入黑客手中,那你想用点对点加密的原意就白费。

问:如果我仍想在Android或iPhone上用GMX的PGP加密服务,又有没有办法?

李建军:有的,但这并非透过你iPhone的Mail软件,或Android内置的电邮软件,而是必须安装GMX专用的电邮App,新版的GMX电邮App支援PGP加密功能,但你仍然如在其他设备用时一样,必须输入你产生私密匙时所产生的后备私密匙,一如刚才的步骤,将私密匙的代码输入专用的App,才能使用点对点电邮加密功能。

问:较早前,Wosign和Startcom的大股东前往伦敦会见Mozilla的人员,试图说服Mozilla重新接纳WoSign和Startcom的数码证书。但Wosign和Startcom大股东提出新措施后,听众应否重新信任这两间公司的数码证书?

李建军:在Wosign和Startcom大股东在伦敦会见Mozilla的人后,听众更不用去信任这两间公司的数码证书,因为这两间公司的实际大股东是奇虎360,而奇虎360等中国网络保安公司,都与中国当局保持相当紧密的合作。就算Mozilla和苹果愿意重新信任Wosign和Startcom的证书,中国听众都应避之则吉,以免中国当局又利用这些中国资本的数码证书签发机构,发行一些数码证书用作偷取中国听众的资料,一如过往CNNIC的问题一样。

原文:http://www.rfa.org/cantonese/firewall_features/gmx-10142016074538.html?encoding=simplified

【翻墙问答】iPhone或iPad忌用中国公司软件备份(视频)

视频:http://www.rfa.org/cantonese/video?v=1_35ffns2e

问:在上周翻墙问答提到,WoSign的数码证书被Mozilla认为不安全,Mac用家可以自行不承认有关证书,但iOS用家,就没有任何工具拒绝WoSign的证书。而苹果都公布了即将对WoSign证书会采取的行动,能否介绍一下?

李建军:苹果决定跟随Mozilla的做法,不再承认WoSign透过Startcom以及另一间公司发出的中介证书,在Mac,将于十月中推出的保安更新,就会一并将WoSign的证书列入黑名单。而在iOS,就将会在最新的iOS更新中,删除对WoSign证书的信任。换言之,只要iOS用家在十月中及早更新作业系统,就不会再受 WoSign不安全的证书影响。

问:有报导,新iOS 10的浏览器私密浏览功能,有可能泄漏用户利用私密浏览功能期间所浏览的连结纪录。这保安漏洞是怎样一回事?用户有没有什么可以做,预防自己的私隐外泄?

李建军:由iOS 10开始,在私密模式下的浏览器暂存档,以及历史纪录仍然一如往常完全消毁,但有少量的历史纪录会储在一个特定资料库,黑客如果取得你的iPhone或iPad备份,就有可能透过特定工具,分析备份中的资料库档案,而知道你浏览过的东西。

因此,iOS设备的备份,必须妥善保存在适当位置,防止黑客可以偷走你的备份,如果你有用iTunes以外软件,替你的iOS设备备份的话,那你应该删走存于那些非官方软件的备份,并停止再用这类软件备份iOS设备。不少中国听众都有用由中国公司所推出的非官方软件备份iPhone或iPad,这是极之坏的习惯,这有如将大门开给中国黑客甚至政府一样。iTunes在Windows的版本已经相当易用,而且功能强大,并不需要任何非官方软件去辅助备份,不单浪费金钱,而且相当危险。

问:不少听众都希望在iOS设备上用Tor,但现时App Store机制下,甚少开源软件会可以在不用越狱下运作,请问iOS用家,有没有机会不用作越狱的情况下,可以用Tor翻墙上网?

李建军:现时苹果已经容许Tor浏览器上架,而大部分浏览器都是收费,但价钱相当廉宜,大约八元至十五元港币,这是大多数人可以负担得起的价钱。由于透过App Store来安装,不单不用越狱,而且安装相当简单,几乎只要做好网桥的设定,就可以立即翻墙上网,浏览你想看的网站。这次翻墙问答,会在视频示范如何下载和设定iOS版的Tor浏览器,欢迎听众浏览本台的网站收看。

对于中国听众而言,在iOS上使用Tor有三大挑战,一方面,如果你的Apple ID被设定为中国大陆,有机会无法下载Tor浏览器,因此,听众有需要准备一个有言论自由地区的iTunes储值咭,再配合一个香港注册的Apple ID,透过香港户口购买软件。

另一大挑战是你可能找不到网桥,虽然现时iOS的Tor浏览器已经支援obfs4的网桥技术,绝大部分情况下,都不需要自行输入网桥IP,但用户仍然要有心理准备,一旦obfs4失效时,要以手动输入方式,将可以用的网桥IP输入设定之中,以便接驳Tor网络。

而iOS买Tor浏览器时,小心个别以汉语拼音姓名的开发者,虽然苹果会对每一个App的申请严加审批,以免保安上有任何漏洞或后门,但这些开发者背后的公司,往往都持有ICP牌照,令人担心这些开发者会否与中国当局合作,暗中在软件中附加不必要的元件,而最稳妥的做法,就是向西方国家的开发者购买软件,相对上的保障,亦会比较大。

原文:http://www.rfa.org/cantonese/firewall_features/iostor-10072016074329.html?encoding=simplified

翻墙问答:WoSign和Startcom数码证书是否不能信任?(视频)

视频:http://www.rfa.org/cantonese/video?v=1_0sz93z6a

问:Mozilla最近表示,有可能会对中国的WoSign,以及以色列的StartCom所签的数码证书不作承认,一如当年对付CNNIC数码证书的做法。倘若Mozilla决定真的以CNNIC的做法,对付WoSign和Startcom的数码证书,将有什么结果?

李建军:一旦Mozilla决定以处理CNNIC数码证书的方式,处理WoSign和Startcom的数码证书,那在若干日期后发出的Wosign和Startcom数码证书就一概无法在Mozilla上使用,由于Chrome以及Safari都会跟随相关决定,换言之,WoSign和Startcom所发出的数码证书,将会成为废物,必须寻求其他替代的数码证书签署人。

问:为何Mozilla要以对付CNNIC数码证书的方法,对付WoSign和Startcom的数码证书?

李建军:首先,WoSign在处理SHA-1证书上不老实,现时主流浏览器,都不再承认在特定日期后签发的SHA-1证书,因为SHA-1的安全度不足,应予被淘汰,由安全得多的SHA-256所取代。但WoSign竟然将新发出的SHA-1证书改为禁令生效前的日子,导致相当大的保安问题,因此被Mozilla组织认为有问题。

而WoSign并无表明自己是Startcom的大股东,但Startcom和Wosign共用同一套软件,同一套基建,被认为这种行为相当不老实。因此,Mozilla组织商量采取行动,而为WoSign作资讯科技安全审计的安永会计师行香港办事处,亦在这次事件上,受到严厉的批评。

问:那现代是否就应不信任WoSign和Startcom的证书?

李建军:由于WoSign的作为,有相当大的欺骗成份,因此,无论Startcom还是WoSign都不应再信任。如果你需要免费的SSL证书,亦不应再用WoSign或Startcom的免费证书,而是应改用其他的免费证书,以免惹来不必要的麻烦。

而这次翻墙问答,会有视频示范,如何设定不再信任Startcom以及WoSign的证书,欢迎听众浏览本台网站,收看有关视频。

问:最近,法国公司OVH,受到极严重的DDoS攻击,而攻击的来源,并非一般变成了僵尸电脑的智能手机,或长期被黑客控制的桌面电脑,而是大量廉价的网络保安镜头,到底是怎样一回事?

李建军:由于物联网概念兴起,越来越多保安视像镜头可以连接互联网,这些可以连上互联网的镜头,实际上都是一部小电脑,但这些保安镜头的作业系统,并不像智能手机,或电脑般复杂,黑客很容易有机可乘,取得保安镜头的实质控制,并利用这些镜头发动DDoS攻击。

黑客控制保安镜头作业系统,所带来的问题不只DDoS攻击这样简单,黑客既然可以利用镜头发动DDoS攻击,那意味著可以做其他事,例如指挥镜头拍摄特定位置,或将镜头所拍的影像下载到一部主机上,实际上会造成相当大的私隐困扰,因为保安镜头所拍的内容,本来应用作保安用途,包括防止罪案,以及一旦罪案发生时可以作目击证据之用,而不是被不法分子作犯罪工具之用。
要避免自己的保安镜头变成黑客玩具,首先你的保安镜头,不应使用系统内置的使用者名称和密码,全世界很多保安镜头落入黑客手中,都是因为镜头的使用者名称和密码,使用预设设定。你自己用的镜头,就应用独一无二,黑客不易猜到的使用者名称和密码,毕竟黑客会优先向容易落手的目标埋手。

如果你的保安镜头连上Wi-Fi的话,那你的Wi-Fi至少是WPA2标准,因为WPA2加密标准,才能够提供足够保护,避免黑客有机可乘。如果你连上Wi-Fi是没有加密或保安可言的话,实际上等于邀请黑客控制你家的系统一样,这是相当不智的做法。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-wosign2-09302016074448.html?encoding=simplified

翻墙问答:WoSign和Startcom数码证书是否不能信任?(视频)

视频:http://www.rfa.org/cantonese/video?v=1_0sz93z6a

问:Mozilla最近表示,有可能会对中国的WoSign,以及以色列的StartCom所签的数码证书不作承认,一如当年对付CNNIC数码证书的做法。倘若Mozilla决定真的以CNNIC的做法,对付WoSign和Startcom的数码证书,将有什么结果?

李建军:一旦Mozilla决定以处理CNNIC数码证书的方式,处理WoSign和Startcom的数码证书,那在若干日期后发出的Wosign和Startcom数码证书就一概无法在Mozilla上使用,由于Chrome以及Safari都会跟随相关决定,换言之,WoSign和Startcom所发出的数码证书,将会成为废物,必须寻求其他替代的数码证书签署人。

问:为何Mozilla要以对付CNNIC数码证书的方法,对付WoSign和Startcom的数码证书?

李建军:首先,WoSign在处理SHA-1证书上不老实,现时主流浏览器,都不再承认在特定日期后签发的SHA-1证书,因为SHA-1的安全度不足,应予被淘汰,由安全得多的SHA-256所取代。但WoSign竟然将新发出的SHA-1证书改为禁令生效前的日子,导致相当大的保安问题,因此被Mozilla组织认为有问题。

而WoSign并无表明自己是Startcom的大股东,但Startcom和Wosign共用同一套软件,同一套基建,被认为这种行为相当不老实。因此,Mozilla组织商量采取行动,而为WoSign作资讯科技安全审计的安永会计师行香港办事处,亦在这次事件上,受到严厉的批评。

问:那现代是否就应不信任WoSign和Startcom的证书?

李建军:由于WoSign的作为,有相当大的欺骗成份,因此,无论Startcom还是WoSign都不应再信任。如果你需要免费的SSL证书,亦不应再用WoSign或Startcom的免费证书,而是应改用其他的免费证书,以免惹来不必要的麻烦。

而这次翻墙问答,会有视频示范,如何设定不再信任Startcom以及WoSign的证书,欢迎听众浏览本台网站,收看有关视频。

问:最近,法国公司OVH,受到极严重的DDoS攻击,而攻击的来源,并非一般变成了僵尸电脑的智能手机,或长期被黑客控制的桌面电脑,而是大量廉价的网络保安镜头,到底是怎样一回事?

李建军:由于物联网概念兴起,越来越多保安视像镜头可以连接互联网,这些可以连上互联网的镜头,实际上都是一部小电脑,但这些保安镜头的作业系统,并不像智能手机,或电脑般复杂,黑客很容易有机可乘,取得保安镜头的实质控制,并利用这些镜头发动DDoS攻击。

黑客控制保安镜头作业系统,所带来的问题不只DDoS攻击这样简单,黑客既然可以利用镜头发动DDoS攻击,那意味著可以做其他事,例如指挥镜头拍摄特定位置,或将镜头所拍的影像下载到一部主机上,实际上会造成相当大的私隐困扰,因为保安镜头所拍的内容,本来应用作保安用途,包括防止罪案,以及一旦罪案发生时可以作目击证据之用,而不是被不法分子作犯罪工具之用。
要避免自己的保安镜头变成黑客玩具,首先你的保安镜头,不应使用系统内置的使用者名称和密码,全世界很多保安镜头落入黑客手中,都是因为镜头的使用者名称和密码,使用预设设定。你自己用的镜头,就应用独一无二,黑客不易猜到的使用者名称和密码,毕竟黑客会优先向容易落手的目标埋手。

如果你的保安镜头连上Wi-Fi的话,那你的Wi-Fi至少是WPA2标准,因为WPA2加密标准,才能够提供足够保护,避免黑客有机可乘。如果你连上Wi-Fi是没有加密或保安可言的话,实际上等于邀请黑客控制你家的系统一样,这是相当不智的做法。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-wosign2-09302016074448.html?encoding=simplified

翻墙问答:雅虎5亿帐户密码泄漏 中国用户受影响(视频)

视频:http://www.rfa.org/cantonese/video?v=1_pkjfdgdv

问:不少听众虽然已经放弃使用雅虎中国的户口,但亦可能有用雅虎香港或美国的服务,只不过,最近雅虎承认有多达五亿个雅虎户口密码泄漏,而且有可能对不少仍然使用雅虎服务的中国听众有所影响,请问能否介绍一下?

李建军:雅虎在周四(22日)承认,自2014年起,有五亿个全球雅虎户口密码被黑客所偷,对中国听众可能最可怕的地方在于,雅虎指这次密码失窃事件,有可能与受个别国家政府资助的黑客有关,虽然雅虎并无指明是那一个国家,但无可否认,中国听众是高风险的。

尽管雅虎表示,这次失窃的密码资料库,本身都经过特定的加密程序加密,但由于不少雅虎密码的保安水平都不算高,黑客仍然有可能猜中密码。听众更改密码是保护自己的做法。而这次翻墙问答,我们准备了视频,示范在透过香港雅虎更改自己雅虎密码,基本上,香港、美国、新加坡都用相类似程序,只不过语文不同。欢迎听众浏览本台的网站,收看有关视频。

由于中国听众的密码受影响机会相当大,甚至有可能落入中国当局手上,因此,无论你的海外雅虎户口在何时开设,都应该尽早更改密码,以及将不少敏感个人资料删除。因为有黑客已经在俗称「黑网」的地下网络世界,买卖这批失窃的密码,以及相关的个人资料。无论信用卡资料,还是部分政治敏感的信息,落在这些求财心切的黑客手中,都是一件相当危险的事。

问:受影响密码都是2014年前失窃,是否意味著在雅虎结束中国业务时,选择过渡到雅虎美国或香港户口,而并非阿里巴巴户口那些用户,都会受到影响?

李建军:这是肯定的,所以如果你在雅虎结束中国业务时,选择改用雅虎香港、雅虎美国,或雅虎新加坡服务的用户,应该立即采取行动,更改密码,以及删除敏感资料,以策安全。

问:刚才提到,那些黑客在「黑网」买卖失窃的雅虎户口资料,什么叫「黑网」?

李建军:所谓「黑网」,英文叫「Dark Web」,就是一些故意让搜寻引擎找不到的网站世界,由于谷歌等搜寻引擎找不到这些网,因此,这些网一般只有黑客才知如何访问。黑客故意不让搜寻引擎找到这些网站,因为这些网站的内容,当中不少亦与犯罪活动有关,例如交易失窃密码,毒品、贼赃、儿童色情物品等等;有部分恐怖分子,亦会在「黑网」交换情报,以及宣扬他们的犯罪信息。亦因为「黑网」的邪恶本质,谷歌等主流搜寻引擎,见到属于「黑网」才会出现的内容,亦会将这些网站列入黑名单之中,令用户无法在搜寻引擎中找到这些网站,以避免助长犯罪行为。

由于「黑网」是相当不安全,不少「黑网」网站都有病毒或者木马,对大部分听众而言,浏览「黑网」网站与主动引黑客攻击自己的电脑无异,所以我们并不建议任何人翻墙访问「黑网」网站。但如果你的户口密码失窃,就很大机会成为黑客们在「黑网」买卖赚钱的工具,而你的资料若在「黑网」出现,亦有机会被犯罪分子所使用,因此,一旦遇到帐户密码失窃的情况,必须尽快更改密码,亦是因为拜「黑网」的存在所致。(完)

原文:http://www.rfa.org/cantonese/firewall_features/firewall-yahoo-09232016080550.html?encoding=simplified

翻墙问答:iOS 10 存在问题 升级宜深思熟虑(视频)

视频:http://www.rfa.org/cantonese/video?v=1_h1inm9xc

问:有不少人都开始考虑买iPhone 7或升级iOS到10,但iOS 10对VPN的支援政策好像大有改变,会影响到部分人现正使用的VPN服务,不知能否简介一下相关的变化?

李建军:由iOS 10以及Mac OS X 10.12开始,无论iOS还是OS X,都不会再支援PPTP VPN连接。PPTP的保安问题,一直令人诟病,所以苹果决定不再支援PPTP。

由于现时仍然有部分或个人,因不同理由需要继续使用PPTP的VPN,因此,如果你的VPN供应商未有提供L2TP服务,或你家用的无线网络路由器未有作调节,可以使用L2TP服务,那请你暂时不要升级iOS或OS X,请等到你的供应商有提供L2TP服务,或你的路由器的设定经过调整后,才将你的iPhone、iPad或Mac系统配置升级。

就算你打算升级iOS 10,根据苹果公司的指引,你仍应在iOS 9或更旧版本移除PPTP的设定,并换上L2TP或IKE的设定,本集翻墙问答,我们有视频示范如何在iOS 9设定VPN,并符iOS 10的要求,欢迎听众浏览本台的网站收看。

问:但除了VPN问题,iOS 10尚有其他问题,例如效能变差,或升级后无法重新启动手机等等,好像都不大适合升级?

李建军:由于现时iOS 10的升级机制相当不稳定,有可能升级失败后令你的手机或平板电脑无法启动,届时要找苹果的指定维修商帮忙,因此,有不少大型电讯公司已经劝谕用户不要升级作业系统。大家可以观望多一至两个星期,看看iOS 10的反应如何,以及升级时的稳定性问题,再决定是否升级。

但可以肯定的是,iOS 10或以后版本一定不会再有PPTP支援,不用预期下一版的iOS 10更新会有任何PPTP支援。

问:在即将推出的Chrome浏览器,谷歌开始试验一种叫CECPQ1的新演算法,据称这种演算法,就连未来的量子电脑都难以破解,对一般用户而言,CECPQ1新演算法的出现,会否有任何影响?

李建军:在量子电脑时代未来临前,现时多个不同的加密演算法,都是建基于数学上的质因数难题而演算出来,因此,就算中国当局装设了很多运算能力在世界五百强的超级电脑,都未能够大规模破解民间的通讯。因为要解决这些质因数题目,需要极多有强大运算力的电脑,基于资源有限的情况下,一般会优先解决军事或国防机密相关的加密程序。

但在量子电脑出现后,现存的运算法很可能被运算力极其强大的量子电脑破解,现有的加密程序,就会变得像2G GSM的加密机制般不堪一击,因此,有必要在量子电脑流行前就要研究出新算式,避免各国政府大规模使用量子电脑解破公民私隐,危害公民权利。

CECPQ1由于是第一代针对量子电脑而开发的加密算式,因此,只有极少数的网站支援这个演算法,而且可能有不少保安漏洞,因为这始终是具试验性质的演算方法。而谷歌亦都表明,CECPQ1的研究只会维持两年,一旦出现比CECPQ1更好的演算法,就会立即终止CECPQ1的研究,并不希望CECPQ1成为业内标准。CECPQ1相关的各类应用,可以在现阶段作实验用途,始终这个崭新的演算法,中国当局应暂时未有破解方案,但一旦有黑客公布相关的保安漏洞,就要立即停用,在软件更新后才恢复使用。但相信针对量子电脑而言的加密算式和技术,未来将会陆续有来,因各国政府投放大量投资在量子电脑之上,而这类比现有电脑快上百倍的电脑,在可见的将来会于各国政府普及。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-pptpios-09162016075657.html?encoding=simplified

翻墙问答:新版Chrome浏览器将加装加密提示

视频:http://www.rfa.org/cantonese/video?v=1_9szg58dn

问:现时全世界大部分网站都是无对内容作出加密,而网站未有加密,浏览器一般亦不会作出警告。但谷歌打算由明年一月推出的Chrome浏览器开始,会对任何有可能处理密码、信用卡号码之类敏感资料,而未有作加密的网站作出警告,请问会是怎样?

李建军:由明年一月开始新推出的Chrome浏览器,当你访问的网站,会问你密码或信用卡资料,但未有作加密,或加密机制出现问题时,就会弹出警告视窗,提醒你未经加密网站处理密码之类敏感资料,并不安全,要求你考虑访问已经加密版本,或尽量考虑不在未经加密的网站传送敏感资料。这亦是谷歌为加强全世界网站私隐意识,大力推广所有网站都应为保护私隐,作出连线加密概念行动的一部分。

在新版Chrome浏览器,虽然作出了警告,但仍然会让你在未经加密连线传送相关资料,只不过,一年或两年后推出的Chrome浏览器,就有可能对网站加密政策进一步收紧,包括不再处理未经加密网站的连线,或只针对某些类型的网站容许资料不作加密。

问:其实谷歌为何会认为所有连线必须加密?谷歌除了在Chrome浏览器会逐渐采取加密政策,又有什么行动,去推广任何网络浏览通讯都要加密这个理念?

李建军:谷歌认为,只要网络通讯未经加密,就容易被政府或不法分子偷窃内容,这无论对用家的私隐或财产安全,甚至人身安全都构成威胁,因此谷歌提倡一如现代GSM电话的通讯一样,任何通讯内容,不论纯粹谈娱乐消息,还是传送信用卡密码一类敏感数据都一律加密,以策安全。

而现时,谷歌的搜寻网页以及YouTube都预设进入加密版本,为鼓励网站营运者对网站作出加密,谷歌在对搜寻结果作出排名时,会优先考虑已经作出加密安排的网站,而未经加密的网站就排较后位置。而加密与否对名次的重要性,谷歌将会按年递增,因此,不少需要吸引人流来赚取广告费的网站,已经纷纷加入加密功能,就算相关网站并不打算经营电子商贸,亦不会需要使用者输入任何信用卡资料,但为了争取在谷歌搜寻结果更高的排名,以吸引更多用户浏览,都不得不遵照谷歌的政策行事,购买电子证书替网站的所有传输内容进行加密。

问:既然加密系如斯重要,那有没有网站可以评估我连结的网站加密水平是否足够?

李建军:SSLLab有一个网站,只要你打入网址,就会评估网站所用的加密技术、兼容的浏览器,以及加密水平,并作出详细评级和报告,最好的网站,包括使用最新运算法和数码证书的,就会有A+级或A级,代表加密水平相当足够,难以攻破。这些我准备了视频,示范如何使用这个网站,评估中国国有银行的加密水平,欢迎各位听众浏览本台网站收看。

但要注意的是,有些网站只能取得A-或B+一类级别,例如银行的网站,并非相关机构不重视加密水平,而是为了兼容旧版IE,或旧版Android手机的浏览器,这些浏览器不支援新一代的运算法,所以在加密水平上有所缺失。银行需要兼容这些浏览器用家,会被迫对加密水平稍作牺牲。但无论如何,使用太旧版的Android浏览器或IE,都会对自己的资讯安全造成危险,为资料安全著想,应陆续停用IE以及最旧一代的Android手机,以策安全。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-sllabs-09092016075837.html?encoding=simplified

翻墙问答:新版Chrome浏览器将加装加密提示

视频:http://www.rfa.org/cantonese/video?v=1_9szg58dn

问:现时全世界大部分网站都是无对内容作出加密,而网站未有加密,浏览器一般亦不会作出警告。但谷歌打算由明年一月推出的Chrome浏览器开始,会对任何有可能处理密码、信用卡号码之类敏感资料,而未有作加密的网站作出警告,请问会是怎样?

李建军:由明年一月开始新推出的Chrome浏览器,当你访问的网站,会问你密码或信用卡资料,但未有作加密,或加密机制出现问题时,就会弹出警告视窗,提醒你未经加密网站处理密码之类敏感资料,并不安全,要求你考虑访问已经加密版本,或尽量考虑不在未经加密的网站传送敏感资料。这亦是谷歌为加强全世界网站私隐意识,大力推广所有网站都应为保护私隐,作出连线加密概念行动的一部分。

在新版Chrome浏览器,虽然作出了警告,但仍然会让你在未经加密连线传送相关资料,只不过,一年或两年后推出的Chrome浏览器,就有可能对网站加密政策进一步收紧,包括不再处理未经加密网站的连线,或只针对某些类型的网站容许资料不作加密。

问:其实谷歌为何会认为所有连线必须加密?谷歌除了在Chrome浏览器会逐渐采取加密政策,又有什么行动,去推广任何网络浏览通讯都要加密这个理念?

李建军:谷歌认为,只要网络通讯未经加密,就容易被政府或不法分子偷窃内容,这无论对用家的私隐或财产安全,甚至人身安全都构成威胁,因此谷歌提倡一如现代GSM电话的通讯一样,任何通讯内容,不论纯粹谈娱乐消息,还是传送信用卡密码一类敏感数据都一律加密,以策安全。

而现时,谷歌的搜寻网页以及YouTube都预设进入加密版本,为鼓励网站营运者对网站作出加密,谷歌在对搜寻结果作出排名时,会优先考虑已经作出加密安排的网站,而未经加密的网站就排较后位置。而加密与否对名次的重要性,谷歌将会按年递增,因此,不少需要吸引人流来赚取广告费的网站,已经纷纷加入加密功能,就算相关网站并不打算经营电子商贸,亦不会需要使用者输入任何信用卡资料,但为了争取在谷歌搜寻结果更高的排名,以吸引更多用户浏览,都不得不遵照谷歌的政策行事,购买电子证书替网站的所有传输内容进行加密。

问:既然加密系如斯重要,那有没有网站可以评估我连结的网站加密水平是否足够?

李建军:SSLLab有一个网站,只要你打入网址,就会评估网站所用的加密技术、兼容的浏览器,以及加密水平,并作出详细评级和报告,最好的网站,包括使用最新运算法和数码证书的,就会有A+级或A级,代表加密水平相当足够,难以攻破。这些我准备了视频,示范如何使用这个网站,评估中国国有银行的加密水平,欢迎各位听众浏览本台网站收看。

但要注意的是,有些网站只能取得A-或B+一类级别,例如银行的网站,并非相关机构不重视加密水平,而是为了兼容旧版IE,或旧版Android手机的浏览器,这些浏览器不支援新一代的运算法,所以在加密水平上有所缺失。银行需要兼容这些浏览器用家,会被迫对加密水平稍作牺牲。但无论如何,使用太旧版的Android浏览器或IE,都会对自己的资讯安全造成危险,为资料安全著想,应陆续停用IE以及最旧一代的Android手机,以策安全。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-sllabs-09092016075837.html?encoding=simplified

翻墙问答:Mac或iOS作业系统更新(视频)

视频:http://www.rfa.org/cantonese/video?v=1_szp46nvb

问:最近无论Mac还是iOS都出现重大保安漏洞,而这个保安漏洞很可能会危害不少异见人士安全,必须即时对Mac或iOS作业系统作出更新,到底这个保安漏洞到底有多危险,而更新了作业系统,又是否安全?

李建军:这次由开发赛风的多伦多大学公民实验,联同美国一间网络保安公司发现,以色列政府利用Safari的一个漏洞,可以在iOS和Mac植入间谍软件,监视阿拉伯社运人士的活动。苹果在接获有关报告后,先更新iOS到9.3.5版,再对Mac的10.11和10.10两个作业系统发出紧急更新。iOS用家可以用iTunes或系统内置的更新功能更新,而10.10和10.11就可以透过Mac App Store的更新功能更新,而系统亦会主动提醒用家更新。由于这保安漏洞用家并非一般黑客,而是政府,因此所有听众应立即更新,以策安全。

之所以Mac和iOS同时会出现危机,Mac和iOS虽然中央处理器的硬件上截然不同,但很多核心技术和代码都是一样的。而这次受聘于个别国家政府的科技公司,偏偏以两个作业系统的共同核心技术作为攻击目标。因此,Mac和iOS都同时出现问题。而苹果公司已经针对这个漏洞作出作业系统更新,暂时未收到任何有被再一个黑客技术入侵的报告。

问:那在Mac,又如何透过App Store去更新作业系统?李建军:Mac与iOS最大不同的地方,iOS在系统设定上更新作业系统,或透过iTunes去更新作业系统,但Mac的作业系统更新部分,却在App Store之内,在App Store有专门按钮,只要你同意要重新启动电脑更新作业系统,就会展开更新作业系统程序。

这次翻墙问答,有视频示范如何更新作业系统,欢迎听众浏览本台网站收看。

问:不少网民都有翻墙使用Dropbox的云端服务,只不过,Dropbox最近都传出有大规模的保安事件,有大批用户的资料库流出,其中包括了用户的密码,会引发极大的保安风险,请问能否介绍一下?李建军:Dropbox最近有六千八百万用户的密码流出,这批密码主要是2012年保安事故所流出的密码,如果在2012年后有更新密码,应不受事件影响。但如果你在2012年前登记Dropbox,而一直都未有更新密码的话,就应尽快更新密码,特别你有使用Dropbox的收费服务的话,就更需要更新密码,否则的信用卡资料就可能会外流。

问:最近中国的数码证书签署者又发现有问题,有部分沃通所签发的数码证书发现有问题,请问能否介绍一下?如果遇上用沃通签署的数码证书,又应抱持什么态度?

李建军:最近有人发现,纵使个别人士向沃通申请个别附属网域的数码证书,但沃通竟然签出适用同一网域所有附属网域的数码证书,而未核证过对方是否真的拥有其他附属网域的控制权,GitHub以及美国一间大学因此受影响。这个保安漏洞最大问题在于,黑客会先申请个别网站的附属网域,然后利用沃通的证书进行中间人攻击,拦截其他网域的通讯,这种数据偷窃行为是黑客常用手段,相当危险。

因此,沃通所签出的数码证书,应该一如看待CNNIC的数码证书一样,视为不安全的数码证书,不信任由沃通所签的数码证书。如果你打算申请网站数码证书的话,海外有其他更实惠的证书签发公司,不必冒保安风险使用由中国公司发出的证书,连中国的国有银行都用美国公司所签证书,反映中国的证书认受性之低。

原文:http://www.rfa.org/cantonese/firewall_features/osxbug-09022016094246.html?encoding=simplified

翻墙问答:新插件不用翻墙可浏览维基百科(视频)

视频:http://www.rfa.org/cantonese/video?v=1_20vn0jz8

问:现时不少人都想用简单方法,查阅中文维基百科的资料,最近有一个新的Mozilla插件,可以很容易浏览维基百科的资料,而不用执行特定的翻墙软件,请问能否介绍一下?

李建军:虽然现时有很多Firefox或Chrome插件可以帮助翻墙,但实际上,如果在网咖,或在公用电脑上,安装翻墙软件或VPN都不方便时,但这另类插件往往很有用,因为这类插件并不涉及任何作业系统管理员权限,而且可以按当时的需要安装需要的插件,亦不需要理会电脑用什么作业系统,就算使用Linux或Mac都不怕。像上次介绍的No More 404s,主要针对被当局删去的东西。而这次介绍的维基百科中文专用插件,主要针对需要翻墙维基百科,或参与维基百科中文编辑的情况。

这次翻墙问答,我准备了示范视频,示范如何安装并使用维基百科中文的Mozilla插件,欢迎听众本台网站收看。只不过要注意的是,这个插件只适用于桌面电脑版本的Mozilla Firefox,并不适合用于手机或平板电脑上的Mozilla Firefox,因为手机和平板电脑的Firefox并不提供插件安装功能。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-wikipedia-08262016093308.html?encoding=simplified

翻墙问答:新开发ZeroNet网络对翻墙有帮助

问:最近有人开始开发所谓去中心化的互联网,并根据这个理念,开发了名为ZeroNet的网络,这是什么来的?而暂时而言,对翻墙有没有帮助或作用?

李建军:所谓的ZeroNet网络,就是利用BitTorrent和Bitcoin两种技术的去中心化理念所建构的去中心化互联网。以往要浏览一个网站,就必须要在指定主机取得想要的资料,但现时在P2P理念加持之下,你浏览一个网站,资料往往是来自四面八方不同的朋友。换言之,当局要封杀个别网站变得不可行,因为用户正存取不同的资料碎片。一如直至现时为止,BitTorrent仍是在不用翻墙情况下,最有效传送被封资多媒体资料的方法。

但现时ZeroNet仍然是初步发展阶段,虽然现时已经有相对成熟的源程式,并且可以搭配作业系统内置的浏览器运作。只不过,ZeroNet上的内容仍然相当少,中文的内容亦相当缺乏,在用户介面方面,亦有相当多需要改善的地方。只不过,类似ZeroNet的去中心化技术,仍然会是未来反网络封锁的发展大趋势,亦相信在可见的将来,会有中文版本的ZeroNet内容出现,令中国用户可以看到更多资讯。

问:那ZeroNet可以与主流的浏览器搭配使用,那可不可以与其他翻墙技术搭配使用,提高翻墙成功率,以及减少被当局跟踪的机会?

李建军:现时ZeroNet在设计上,已经可以做到可以配合Tor一同使用,换言之,在Tor在ZeroNet双重配合下,翻墙成功率大增,而当局亦不容易知道你到底把那些资料传给指定人物。

但VPN或其他翻墙技术能否配合ZeroNet使用就有待观察,如果你的VPN或翻墙软件可以成功连接BitTorrent档案分享的话,那你用ZeroNet都不会有问题,因为ZeroNet的本质就是一个去中心化的P2P网络,P2P能做得到的事,ZeroNet都可以做到。如果你的VPN或翻墙软件,容许你连接Tor,都可以连接ZeroNet,因为你可以透过Tor连接ZeroNet。但如果你的VPN不容忍Tor或P2P的连接的话,那你就用不了ZeroNet,因为你的VPN或翻墙软件,只容许你透过特定埠口连接互联网,令你的电脑无法连接P2P网络,实际上亦意味著你无法使用ZeroNet,而现时有部分VPN供应商为防止用家利用P2P分享档案,导致流量大增,故意阻截所有非标准埠口的通讯,这当然亦包括了技术理念相类似的ZeroNet。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-zeronet-08262016093112.html?encoding=simplified

翻墙问答:Firefox推出另类翻墙新技术(视频)

翻墙问答:Firefox推出另类翻墙新技术 (资料图片)

翻墙问答:Firefox推出另类翻墙新技术 (资料图片)

视频:http://www.rfa.org/cantonese/video?v=1_4moh72bk

问:Firefox最近推出一项叫「No More 404s」的测试计划,当网页出现404时,Firefox会尝试提供由Wayback Machine提供的镜像版本,这对中国网络封锁有什么影响?

林乐同:一直以来,中国当局对个别被封锁的网页,都会故意在代理主机加入404转向,令用户误以为有关网页已经被删除或不存在,而不知道受到中国当局的封锁。

而 Mozilla机构在Firefox实验的No more 404s功能,会在收到代理主机的404讯息后,随时在Wayback Machine上找回网页的最新镜像,只要网页拥有人没有阻止Wayback Machine保留镜像,就可以看到。如果相关网站不涉及一些会引发断线的关键字,而中国当局亦没有封锁Wayback Machine的话,中国的网络封锁就会因新技术而破功。因此,这个新技术,被不少中国网络封锁研究人员视为新希望。
不过,由于中国当局很可能很快知道Firefox的意图,因此,有可能很快就会封锁Wayback Machine的网站,亦因此,新技术并不能够完全取代翻墙软件或VPN,但肯定提供了一个相当简便的翻墙方法。

另一方面,由于No More 404s的威力在于镜像功能,因此有部分中国当局故意删除的内容,例如较早前《人民网》上出现的赵紫阳讲话文件,可以透过这个功能来翻阅。这个插件在针对 中国当局故意在官方网站上删文件的情况尤其有用,而中国当局删文件的行为,本身就是另一种网络封锁。而现时Wayback Machine,都有存档不少中国的主要热门网站,就算中国当局如何删除内容,都无法删除在Wayback Machine主机上存档的内容。

问:那要使用No More 404s,要用什么软件,又要如何安装?

林乐同:No More 404s是用于Firefox桌面版上的插件,只要你安装了Firefox浏览器的Windows、Mac或Linux最近版本,再翻墙浏览 testpilot.firefox.com,下载No More 404s的插件,启动相关功能,就可以享受No More 404s的好处。在这集翻墙问答,我已经准备好视频,示范如何安装No More 404s的插件,欢迎各位浏览本台网站收看。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-nomore404s-08192016075603.html?encoding=simplified

翻墙问答:Ghostpost在Google Play Store找不到?

问:在上集翻墙问答,提及Ghostpost,为何在Google Play Store找不到?

林乐同:Ghostpost是一个Chrome的插件,谷歌在专为Chrome插件而设的商店,你会找到Ghostpost,但并非为Android手机软件而设的Google Play Store。当使用与Chrome搭配的翻墙技术前,记得浏览Chrome的商店,而并非Google Play Store,这是很多听众很容易混淆。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-ghostpost-08192016075234.html?encoding=simplified

翻墙问答:哪种浏览器的支援插件技术最好?

问:现时越来越多翻墙技术或软件,都是以浏览器插件形式运作。那听众应选择那一种浏览器,可以享受到更多插件的好处?

林乐同:虽然Safari、Chrome和Firefox都支援插件技术,而Safari和Chrome的核心引擎,更是相同的。但实际上,三款浏览器的插件都互不相通,Chrome和Firefox的插件技术由于历史比较长,再加上Chrome和Firefox的插件都对开放源码群体友善,不像Safari只限在Mac平台上执行,而且很大程度上受制于苹果公司的技术限制。因此,要享受不同浏览器插件在翻墙上的好处,就必须要安装Chrome和Firefox两款浏览器。

另一方面,由于Chrome和Firefox浏览器的插件主要支援桌面版,而平板电脑和手机在作业系统设计上,亦不容许用家安装插件,因此,要用得到浏览器插件形式出现的翻墙软件,就必须保留一部手提电脑或桌面电脑,并不适合打算全面改用平板电脑和智能手机的听众。而在作业系统上,现时浏览器插件在作业系统上都没有太大的限制,因此无论在Mac、Linux还是Windows,你都可以享受同样的好处,并不用为了迁就浏览器的翻墙插件,而改用特定的作业系统。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-plugin-08192016075055.html?encoding=simplified

翻墙问答:大批Android手机有保安漏洞

问:最近有一大批手机,包括不少顶尖型号的Android手机,被发现中央处理器晶片出现保安漏洞,令黑客有可能有机可乘,在神不知鬼不觉情况下,偷走用户手机资料。请问这漏洞是怎样?对用户有多大风险?能否透过软件来解决?

李建军:高通一系列LTE技术的中央处理器晶片的Android驱动程式部分,由于有保安漏洞,如果用家安装了不明来历的应用程式,有可能被黑客骑劫整部手机,为所欲为。而受影响的手机,包括了三星、索尼、谷歌等大厂在2015年推出的顶尖型号手机,受影响手机数目,达九亿部或以上。

现时这项保安漏洞,其中三项已经在最新的Android作业系统中得到修补,只要更新手机作业系统就问题不大。剩下一项保安漏洞,暂时只有采用标准Android作业系统版本谷歌Nexus系列手机已经全面修补漏洞,只要使用最新版作业系统就不受影响。其他牌子的Android手机,由于有不同程度上的客制化,所以必须要制造商提供最新的作业系统软件,才能够修补漏洞。但可以肯定这项漏洞,并不需要更换手机来解决。

而在制造商未推出最新版作业系统前,就不要安装任何不明来历软件,特别并非来自官方Google Play Store的软件,虽然暂时未发现有任何软件利用这个保安漏洞,但这个保安漏洞既然已经公诸于世,就肯定会有黑客在这个漏洞上动脑筋,并开发一些有问题软件。

原文:http://www.rfa.org/cantonese/firewall_features/ghostpost2-08122016082315.html?encoding=simplified

翻墙问答:新软件GhostPost可以看到被删微博(视频)

翻墙问答:新软件GhostPost可以看到被删微博 (资料图片)

视频:http://www.rfa.org/cantonese/video?v=1_ebq71xml

问:新浪微博经常因自我审查,或当局要求而删除帖文,但最近有一只免费软件,可以让你看到已经被新浪微博删除的帖子,请问能否介绍一下?

李建军:美国伊利诺州大学最近开发了新浪微博的Chrome插件,名叫GhostPost,只要安装了相关插件,并注册为GhostPost会员,就可以在浏览新浪微博时,在新浪微博主机不知情情况下,看到被新浪微博删除的帖子。

由于GhostPost是基于Chrome下运作的插件,因此,必须利用Chrome来浏览新浪微博,而Chrome的作业系统,可以是Windows、Mac或Linux。由于GhostPost浏览时,可以涉及连接海外主机,以及内容当中可能包括防火长城的敏感字,因此,我们建议在安装、注册和使用GhostPost时都要翻墙,虽然有可能影响你浏览新浪微博的速度,但为了看到被新浪微博删除了的帖子,这是相当值得的做法。

这次翻墙问答准备了视频,示范如何安装、注册和使用GhostPost,欢迎各位听众浏览本台网站收看。

问:那在GhostPost可以看到的微博删帖,主要会有什么内容?为什么这软件会有价值?

李建军:新浪微博的删帖内容五花八门,只不过,有不少删帖会涉及维权事件的最新报道,不少官民冲突,都是维权民众先在新浪微博上发表和曝光,再经过部分人转贴后,官方认为需要封锁消息而被删除。这软件,对突破官方新闻封锁,是有相当的价值。

而Ghostpost系统,可以非常迅速取得微博未审查前的数据版本,因此,就算新浪方面在帖子发表后两小时删除帖子,系统仍然能够将帖子内容妥善在海外保存,并透过Ghostpost软件,让用家可以阅读帖子的完整内容。但对新浪微软以关键字系统自动删除或禁止发表的帖子,Ghostpost就未必能及时取得内容并保存,因此,Ghostpost对维权事件爆发初期的消息流通的贡献相当大,但爆发一段时间后,就有可能因关键字审查机制生效,而未必能够有效将帖子内容保存,这是听众必须注意。

原文:http://www.rfa.org/cantonese/firewall_features/ghostpost1-08122016081812.html?encoding=simplified

安卓版: 无界一点通4.0a测试版(2016年11月9日)

无界一点通4.0a测试版, 做了以下改进,请帮忙测试并反馈:

允许用户在下载新版时自定义包名和应用名(见“菜单/工具/检测下载新版”)。使用自定义的包名可以在被强删的环境中安装使用。建议在目前没有被强删的设备上下载安装一份自定义的作备份。

http://wujieliulan.com/download/um4.0a.apk

sha256: 125c22715df3f454e34baeb7f5ac9bab28fb4e947e4a9a7872cac5173bfdc4af
md5:3623ac22c92dba0fad89b4c4d7ec0c3a

谢谢!

—————–

“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”测试版:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。

3。详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

4。 注: 如果在VPN模式下使用其他浏览器(而不是无界一点通自带的浏览器),请使用其浏览器的“隐私模式”, 或退出无界一点通之后,请将浏览器的历史记录清除,否则在没有VPN的情况下无意中点击了这些历史记录,会有安全隐患。

原文:http://forums.internetfreedom.org/index.php?topic=21761.0

Shadowsocks for视窗版客户端(v3.3.5)

  • Improve system power mode handling
  • Update mbed TLS to 2.4.0
  • Check .NET Framework version on startup

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 845824 Bytes
  • MD5: 325B420011F8CF403870C2DF0FCB39A8
  • SHA1: 6FD561D1D7D4F769FD46E86CE6917B10BE219FA1

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/3.3.5

Lantern 3.35版

🔴蓝灯最新版本下载地址请点这里🔴

最新版本是3.3.x

Windows 版本(要求XP SP3以上) 备用地址

安卓版(要求4.1以上) 备用地址 Google Play下载 请勿使用UC浏览器点击下载,会被替换成假的有广告的版本

其他系统下载

请大家收藏本页面,方便日后下载新版。

蓝灯官方论坛

论坛帖子页面请点这里进入,或者点击左上方的Issues进入。

你可以在右上角“sign up” 注册账号。 通过邮件验证后,请点击 https://github.com/getlantern/forum 回到论坛。

在论坛内,可用右上角使用“New issue” 发新帖,或者在帖内使用“Comment”回复。

版规

本论坛可进行关于蓝灯(Lantern)翻墙软件的讨论。🔴提问前,请先阅读蓝灯精华帖。🔴因为版面有限,请不要重复发帖,也请不要在开新帖发表邀请码。邀请码请发表到汇总贴或其他论坛。 禁止广告帖,包括非官方的讨论群。禁止刷版,人身攻击等恶劣行为。 关于蓝灯的问题,请上传log。

原文:https://github.com/getlantern/forum#蓝灯lantern最新版本下载

开源翻墙工具萤火虫新版 (0.4.4) 和安卓手机应用

支持黑名单/白名单(自动更新),墙内直通,墙外自动翻墙,浏览器建议使用FireFox或Chrome,无需安装翻墙插件。

支持Windows和Mac系统,操作说明和设置界面为中文,自动解压缩到桌面并生成快捷方式,纯绿色,删除文件即卸载。

项目页:https://github.com/yinghuocho/firefly-proxy

FireFly 0.4.0 版下载 (Windows版,OSX版, Ubuntu版,Android 4.0.3及以上):

B6AQnCVCIAErNAs.jpg-large

附:(China Digital Times)发布免翻墙浏览器扩展

一键穿墙,任性阅读中国数字时代。

下载: github

安装: 直接用 Firefox 浏览器打开安装文件

方法1:墙外请直接访问 Chrome Store 地址 安装;

方法2:
2.1 点击 
github 下载 china_digital_times-v0.0.5.crx
2.2 在谷歌地址栏输入 chrome://extensions/ 打开扩展程序管理界面,
2.3 将安装文件拖拽入浏览器窗口.

gongfuwang

更多安装使用细节请看:

中国数字时代免翻墙浏览器扩展安装使用方法

gfw2

Shadowsocks for视窗版客户端(v3.3.4)

  • Fix IE dial-up and VPN connection proxy settings not changed since release 3.3.3.
  • Fix a UI bug.
  • Please note that this version requires .NET Framework 4.6 or later.

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 844800 Bytes
  • MD5: C37F54628B241EB3F330AF387D177C04
  • SHA1: 16DAB82668F814C4BA73EC4FCE37D253B046B0E3

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases

PC版的绿色爱博电视-iPPOTV Ver.12(0944C) 发布日期:2016年09月01日

绿色版爱博电视 Ver.12(0944c)主要对安装程序做了改进,安装软件即便是在光 盘上依然可以双击和安装。0944c还可以分辨不同网络状态,有利于更流畅播放。

0944c与0944b是兼容的,如果用户能正常使用0944b就不必升级至0944c, 0944b也 不会自动升级至0944c。

与0944b类似,0944c也有可能被误报为病毒。目前最有效的解决办法是我们直接与 杀病毒软件商家联系,要求他们测试我们的软件。也请大家及时反馈软件被误报为 病毒的情况。相关帖子请发到如下网页: viewtopic.php?f=75&t=196825

爱博电视是绿色软件,用户下载软件后,双击文件,会出现类似安装的对话窗,这 是为了解压缩,让用户选择语言设置,接受协议,和建立桌面图标。并非安装。 用户也可以把iPPOTV文件夹拷贝到USB Pen Drive上随身携带。使用时只需将USB Pen Drive插在任何一个Windows电脑上,然后双击“iPPOTV.exe”文件就可以打开爱 博电视了。

爱博电视在中国大陆,使用的人越多,突破封锁效果越好,请大家广传爱博电视, 共同突破网路封锁。

如果拿不到频道列表,而又不是防火墙设置问题,请用海外邮箱,给 ippotv.abcd@gmail.com发一封电子邮件,主题为abcd, 以获得新的结点文件。 由于封锁严重,有时会出现点击频道列表没有反应的情况,此时可以试一试播放 不同的频道,如果都没有反应,请关闭 iPPOTV等十几分钟后再打开。

需要最新版本的爱博电视软件,可通过动态网、无界等翻墙软件登录爱博电视网站 http://www.starp2p.com下载;或发封电子邮件给ippotv2011@gmail.com,主题为1234,十分钟左右即可收到回复。 如有技术问题,可发邮件给: support@starp2p.com

iPPOTV Ver.12(0944c)下载:

http://www.starp2p.com/download/GreeniPPOTV_Setup_Ver12Build944C.exe
or
http://www.starp2p.com/download/Green_iPPOTV.exe

MD5:dc15f28572c83bc5aa998a6e54c80ee7
SHA1:8ee9e41d77cc38f707652def55e161d649ca1ef5

原文:http://forums.internetfreedom.org/index.php?topic=21656.msg75298#msg75298

无界火狐扩展测试版0.2d (2016年9月1日)

更新内容:
1. 启动时自动关闭WebRTC, Java, Flash, SilverLight (Windows) 以避免泄露IP。关闭时自动恢复原来的设置。

最近更新内容:
1. 修复了有时掉线的问题(更换服务器时还是会掉线,这是正常的)
2. 修复了SSL警告 (请测试)

请将旧版卸载再安装新版以免有冲突。

自带破网功能,无需运行其他破网软件,支持Windows, Mac, Linux, 32/64 (不需要再运行wine).

安装: 可以用火狐直接下载安装,点击“允许”。如火狐禁止下载,可用其他浏览器下载后用鼠标拉到火狐浏览器,点击“安装”。

使用:点击火狐右上角的无界图标,点击开关即可开启或关闭。 连接成功后,无界图标变成彩色。

http://wujieliulan.com/download/uf002d.xpi
SHA1: b54e59b1f86eb0cce2580d629b948fe55f5e6fd8
MD5: b7d9b12b6a75905f9317326ee976239a

原文:http://forums.internetfreedom.org/index.php?topic=21650.0

Linux VPN 测试版 16.04e (2016年8月31日)

更新内容:
1. 启动VPN模式时自动关闭火狐浏览器,并关闭WebRTC, 以避免在不用私有IP时泄露IP。
2. VPN模式关闭时自动关闭火狐浏览器,同时回复WebRTC设定。

最近更新内容:
1. 增加了“VPN 安全模式”
2. 修复了有时掉线的问题(更换服务器时还是会掉线,这是正常的)
3. 修复了SSL警告 (请测试)
4. 加速https连接
5. VPN模式下显示监听地址。

请大家测试并反馈:
http://wujieliulan.com/download/u1604e
SHA1: e67a4050a6a72992bcb3f60b47a4082f0d9518ff
MD5: 685d481579cb3cde6fd25b3b20b41a9b

使用方法:
下载后在下载的文件夹右键打开一个终端,在终端执行:chmod +x u1604e,然后执行:./u1604e, 终端出现以下信息:
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
Connecting … (正在连接)
CONNECTED (连接成功)
需要手动设置浏览器代理。

如需要监听 0.0.0.0,在终端执行: ./u1604e -L :9666
如需要通过代理, 执行: ./u1604e -P 1.2.3.4:8080 或 ./u1604e -P socks://1.2.3.4:1080

运行VPN模式,需要root或sudo, 执行:sudo ./u1604e -M vpn, 输入密码, 终端出现以下信息 (顺序可能不同):
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
VPN MODE (VPN模式)

如需要在VPN下分享:sudo ./u1604e -M vpn -L :9666
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 0.0.0.0:9666 (监听 0.0.0.0:9666 )
VPN MODE (VPN模式)

在VPN模式下不需要设置代理,整机都通过无界加密翻墙,不会出现直连。我们还是建议设置代理以避免退出无界后直连,这样更安全。建议使用浏览器的“隐私模式”,这样不会留下历史纪录。退出无界前,最好关闭所有浏览器,以免退出后直连敏感网站。

VPN 安全模式:
为了确保安全,新增了VPN 安全模式: sudo ./u1604e -M vpn -S safe
终端出现以下信息 (顺序可能不同):
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
VPN SAFE MODE (VPN 安全模式)

一旦运行了 VPN 安全模式,电脑一直处于网络隔离状态,即使关闭了无界,也无法联网。这样消除了所有泄露IP的隐患,以确保安全。不过还是建议设置无界代理,进一步增加安全性,即使恢复到非网络隔离状态也不会泄露IP。也建议使用浏览器的“隐私模式”,最好使用定制版的浏览器,以避免留下历史纪录。

需要重新启动电脑才能恢复到非网络隔离状态。

原文:http://forums.internetfreedom.org/index.php?topic=21649.0

无界火狐扩展测试版0.2c (2016年8月25日)

更新内容:
修复了更换服务器·时可能出现的SSL超长警告 (请测试)。

请将旧版卸载再安装新版以免有冲突。

自带破网功能,无需运行其他破网软件,支持Windows, Mac, Linux, 32/64 (不需要再运行wine).

安装: 可以用火狐直接下载安装,点击“允许”。如火狐禁止下载,可用其他浏览器下载后用鼠标拉到火狐浏览器,点击“安装”。

使用:点击火狐右上角的无界图标,点击开关即可开启或关闭。 连接成功后,无界图标变成彩色。

http://wujieliulan.com/download/uf002c.xpi
SHA1: cc7a4581e2c039b51836a82b96215bd7b8528b02
MD5: b3b8a96bda281b5a8f0566000c8b69ee

原文:http://forums.internetfreedom.org/index.php?topic=21637.0

无界英文手机测试版 1.0.2 (2016年8月24日)

封锁严重时,主要是针对中文版,英文版可能不是封锁重点,所以把英文安卓手机版提供給大家,以便在封锁严重时备用。正常情况下,可以继续使用无界一点通或动态手机版。

http://wujieliulan.com/download/ua102.apk
SHA1: ce4ef2badf9f637d810fbe9bd76c2de6f2e76213
MD5: 3a1b54ac7301a36c25f21bac3d602b53

如能连上谷歌应用商店,可以搜索“ultrasurf vpn”, 或用以下链接:
play.google.com/store/apps/details?id=us.ultrasurf.mobile.ultrasurf

安装与无界一点通类似:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的ua102.apk文件拷贝到手机SD卡(或内置SD卡)上。在安卓手机上点击ua102.apk文件便可安装.

功能与使用:

1. 只支持安卓4.0以上。
2. 只支持整机VPN模式, 不支持代理模式。
3. 开启后,轻触或滑动开关,显示“Connecting …”,同时时上面会出现一个小钥匙和闪动的无界图标,表示正在连接。
4. 连接成功后无界图标停止闪动,显示“Connected”(连接成功)。此时您可以使用任何浏览器或app,都在无界加密保护下。
5. 使用时,只要无界图标和小钥匙都在,就在在无界加密保护下。
6. 如果要停止使用,轻触或滑动开关即可。关闭后,无界图标和小钥匙会消失,这时手机直接联网,不在无界加密保护下。
7. 在某些安卓版本的主机上,升级或重新安装后需要重启手机,这时会显示“Android Bug!” ,请要重启手机再运行无界。
8. 在3G/4G下使用,系统会显示无界耗电量比较大,这是因为在无界VPN下所有应用程序(app)都用过无界加密并驱动无线信号,整机耗电量不会增加很多。

注意事项:
1. 建议使用浏览器的“隐私模式”浏览敏感网站,这样不会留下历史纪录。
2. 如果浏览器不支持“隐私模式”,请手动清除所有历史纪录,或使用清除所有历史纪录的工具。
3. 为安全起见,建议关闭所有浏览器和其他app,再关闭无界,以免直连敏感网站。也可以直接重启手机, 这样最安全。

请大家测试并反馈, 谢谢

原文:http://forums.internetfreedom.org/index.php?topic=21633.0

无界浏览 Linux VPN 测试版 16.04c (2016年8月24日)

更新内容:
1. 修复了http不设置代理无法联网的问题 (还是建议设置代理以避免退出无界后直连)
2. 修复了SSL警告
3. 加速https连接
4. VPN模式下显示监听地址。

请大家测试并反馈:
http://wujieliulan.com/download/u1604c
SHA1: 0e47c835ad40d4dde484926abc94462b4eba8c6d
MD5: e11f030c449df106a8c3be7ee7056dad

使用方法:
下载后在下载的文件夹右键打开一个终端,在终端执行:chmod +x u1604c,然后执行:./u1604c, 终端出现以下信息:
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
Connecting … (正在连接)
CONNECTED (连接成功)
需要手动设置浏览器代理。

如需要监听 0.0.0.0,在终端执行: ./u1604c-L :9666
如需要通过代理, 执行: ./u1604c -P 1.2.3.4:8080 或 ./u1604c -P socks://1.2.3.4:1080

运行VPN模式,需要root或sudo, 执行:sudo ./u1604c -M vpn, 输入密码, 终端出现以下信息:
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
VPN MODE (VPN模式)

如需要在VPN下分享:sudo ./u1604c -M vpn -L :9666
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 0.0.0.0:9666 (监听 0.0.0.0:9666 )
VPN MODE (VPN模式)

在VPN模式下不需要设置代理,整机都通过无界加密翻墙,不会出现直连。我们还是建议设置代理以避免退出无界后直连,这样更安全。建议使用浏览器的“隐私模式”,这样不会留下历史纪录。退出无界前,最好关闭所有浏览器,以免退出后直连敏感网站。

原文:http://forums.internetfreedom.org/index.php?topic=21634.0

使用ShadowSocks科学上网及突破公司内网

什么是ShadowSocks

ShadowSocks是基于Socks5协议,使用类似SSH隧道的方式收发网络请求的一款开源软件,该软件由 @clowwindy 开发,最初只有Python版本,随后出现C++、C#、Go等多语言版本。ShadowSocks最大的特点是可以保护网络流量、加密数据传输,可有效防止GFW(Great Firewall of China)封杀网络请求。

用ShadowSocks科学上网的概念

在以前,我们访问互联网的资源都是简单而直接的,用户的请求发送到资源服务方,比如Google、Facebook等,然后资源服务方直接将内容响应给用户,世界多么美好。

但是,在1998年时候,中国创建了互联网边界审查系统,称之为中国国家防火墙(GFW),这堵墙横在了用户和互联网资源服务方之间,用于监控和过滤互联网国际出口上的内容,监控国际网关的通讯,对认为不匹配国家官方要求的传输内容,进行干扰、阻断、屏蔽。

从此之后好多有价值的网站就被堵在了墙后。

但是由于对知识的渴望,人们想到了绕过GFW的办法,那就是在境外搭建一个国内用户的代理,国内用户与代理之间建立加密的通道,由境外代理请求被墙的网络资源,再通过加密通道返回给国内用户。代理的类型也有多种,像HTTP、Socks、VPN、SSH等。以SSH隧道为例:

因为SSH本身基于RSA加密技术,所以GFW就无法对数据传输过程加密的数据进行分析,从而避免被重置链接、阻断、屏蔽等问题。

但是GFW也不会懵B一世,人家也会学习,由于在创建SSH隧道的过程中有较为明显的特性,所以GFW还是可以通过分析连接的特性进行干扰。此时ShadowSocks横空出世,先看看图示:

简单来说,ShadowSocks分为客户端和服务端,用户发出的请求基于Socks5协议与ShadowSocks客户端进行通信,一般情况下SS客户端都在本机,通过ShadowSocksX、GoAgentX等应用启动,所以这一步是不会经过GFW的,然后ShadowSocks提供了多种加密方式供客户端和服务端之间进行通信,并且在经过GFW时是普通的TCP协议数据包,没有明显的特征,而且GFW也无法解密分析,从而实现绕墙访问资源。

搭建ShadowSocks服务器

根据上文描述的ShadowSocks的实现原理,我们首先需要搭建一个境外的ShadowSocks服务器,这部分也是唯一需要我们花点小钱的地方。

以下文章内容均在MacOS下实践。

购买VPS

我使用的是Vultr的VPS,他家的VPS可选的地域较为丰富,而且有日本东京,这对于家里是联通网络的比较亲和,速度较好:


在系统和应用方面Vultr提供的种类也比较丰富:


 

Application


在价格方面,Vultr提供的最低价格为每月5美元,对应的性能足够满足ShadowSocks服务端的需求:


注册Vultr账号,绑定信用卡,选择自己中意的系统和价格后立即就会为你部署好VPS:

当VPS的状态为Running后,就表示VPS已经启动了,然后为该VPS配置我们的SSH公钥:

大家可以看看北京联通ping东京VPS的速度,还是很给力的:

使用该链接注册可获得20美元的优惠卷。

安装ShadowSocks

我们使用Python版的ShadowSocks进行安装,首先需要下载pip-8.1.2.tar.gz,然后使用工具将其上传至VPS,我使用的是Commander One,通过SFTP连接VPS:

使用Terminal连接VPS,一步一步输入以下命令解压安装pip:

tar -xzvf pip-8.1.2.tar.gz
cd pip-8.1.2
python setup.py install

然后通过pip安装ShadowSocks:

pip install shadowsocks

成功后可以看到如下信息:

Collecting shadowsocks
  Downloading shadowsocks-2.8.2.tar.gz
Installing collected packages: shadowsocks
  Running setup.py install for shadowsocks ... done
Successfully installed shadowsocks-2.8.2

配置ShadowSocks

进入到etc目录下,创建shadowsocks.json文件,并添加如下内容:

{
    "server":"你的VPS的IP",
    "server_port":8388,
    "local_port":1080,
    "password":"设置一个连接密码",
    "timeout":600,
    "method":"aes-256-cfb",
    "auth": true
}

该文件就是ShadowSocks的配置文件。
然后输入如下命令启动ShadowSocks服务:

ssserver -c /etc/shadowsocks.json -d start

最后清空防火墙规则:

iptables -F

至此ShadowSocks服务端就配置完成并可以使用了。

ShadowSocks客户端

Mac上ShadowSocks客户端的选择无非就是ShadowSocksX、GoAgentX、Surge这三个,前两者配置起来都大同小异,ShadowSocksX本身就是专门开启SS客户端服务的应用:

GoAgentX提供的服务类型更多,包括SS服务:

配置项都是一样的,把ShadowSocks服务端的配置信息一一对应就可以了。

Surge启SS服务的方式有点不同,因为应用在界面操作上没有提供创建SS服务的选项,但其实它是支持SS服务的,可能因为怕被请喝茶吧。所以需要在Surge的配置文件里添加SS服务相关的信息,如何配置网上有很多,这里就不再累赘了。

至此就打通了ShadowSocks客户端与服务端的通道,可以畅游墙外的世界了。

突破公司内网

一般情况在家我们在本机启着ShadowSocks客户端就可以了,但是如果在公司上外网需要走HTTP代理的话就不行了,因为ShadowSocks客户端需要走公司提供的代理才能连接到服务端,而上文中的客户端应用统统不支持额外代理功能,所以此时就需要用到另外一个工具Proxifier,该工具的作用就是接管运行中的所有应用发出的所有请求,然后通过代理进行转发,这样就可以让不支持代理的应用也可以走代理了。

打开Proxifier,选择Proxies选项卡设置公司的HTTP代理以及本地Socks5代理:


然后启动ShadowSocks客户端,比如启动GoAgentX,此时选择Proxifier的Rules选项卡,就会发现Proxifier自动捕获到了名为ss-local的应用,就是由GoAgentX开启的SS客户端,将其的代理规则设置为之前创建好的公司代理:

然后将Default的代理规则设置为之前创建好的本地Socks5代理:

这样就可以让ShadowSocks客户端通过公司代理连接服务端了:

你还可以设置其他的规则,让特定的应用走特定的代理,比如我让Git还是走了公司代理,这样Git服务就会从Default规则里剔除掉,相当于加了走SS服务的例外。

原文:http://www.devtalking.com/articles/shadowsocks-guide/