Tor Browser 7.5a4 is released

Tor Browser 7.5a4 is now available from the Tor Browser Project page and also from our distribution directory.

This release features important security updates to Firefox.

A lot of Tor Browser components have been updated in this release. Apart from the usual Firefox update (to 52.3.0esr) we include a new Tor alpha release (0.3.1.5-alpha) + an updated OpenSSL (1.0.2l), HTTPS-Everywhere (5.2.21) and NoScript (5.0.8.1). We also update sandboxed-tor-browser (to 0.0.12).

The major new features in this alpha release are selfrando support for 32bit Linux systems, Snowflake support for macOS, and a patch that fixes a lot of our problems with the external helper app dialog. In particular, downloading files via the pdf viewer should work again. As we do in the stable series, we also avoid scary warnings popping up when entering passwords on .onion sites without a TLS certificate. We are also testing a better Tor Browser hardening on Windows by using a newer compiler for our Windows builds. If you encounter any issues that could be caused by the new compiler, we want to know about it!

The full changelog since Tor Browser 7.5a2 (for Linux since Tor Browser 7.5a3) is:

  • All Platforms
    • Update Firefox to 52.3.0esr
    • Update Tor to 0.3.1.5-alpha
    • Update OpenSSL to 1.0.2l
    • Update Torbutton to 1.9.8
      • Bug 22610: Avoid crashes when canceling external helper app related downloads
      • Bug 22472: Fix FTP downloads when external helper app dialog is shown
      • Bug 22471: Downloading pdf files via the PDF viewer download button is broken
      • Bug 22618: Downloading pdf file via file:/// is stalling
      • Bug 22542: Resize slider window to work without scrollbars
      • Bug 21999: Fix display of language prompt in non-en-US locales
      • Bug 18913: Don’t let about:tor have chrome privileges
      • Bug 22535: Search on about:tor discards search query
      • Bug 21948: Going back to about:tor page gives “Address isn’t valid” error
      • Code clean-up
      • Translations update
    • Update Tor Launcher to 0.2.12.3
      • Bug 22592: Default bridge settings are not removed
      • Translations update
    • Update HTTPS-Everywhere to 5.2.21
    • Update NoScript to 5.0.8.1
      • Bug 22362: Remove workaround for XSS related browser freezing
      • Bug 22067: NoScript Click-to-Play bypass with embedded videos and audio
    • Update sandboxed-tor-browser to 0.0.12
    • Bug 22610: Avoid crashes when canceling external helper app related downloads
    • Bug 22472: Fix FTP downloads when external helper app dialog is shown
    • Bug 22471: Downloading pdf files via the PDF viewer download button is broken
    • Bug 22618: Downloading pdf file via file:/// is stalling
    • Bug 21321: Exempt .onions from HTTP related security warnings
    • Bug 21830: Copying large text from web console leaks to /tmp
    • Bug 22073: Disable GetAddons option on addons page
    • Bug 22884: Fix broken about:tor page on higher security levels
    • Bug 22829: Remove default obfs4 bridge riemann.
  • Windows
    • Bug 21617: Fix single RWX page on Windows (included in 52.3.0esr)
  • OS X
  • Linux
    • Bug 22832: Don’t include monthly timestamp in libwebrtc build output
    • Bug 20848: Deploy Selfrando in 32bit Linux builds
  • Build system
    • Windows
    • Linux

原文:https://blog.torproject.org/blog/tor-browser-75a4-released

Tor Browser 7.0.4 is released

Tor Browser 7.0.4 is now available from the Tor Browser Project page and also from our distribution directory.

This release features important security updates to Firefox.

A lot of Tor Browser components have been updated in this release. Apart from the usual Firefox update (to 52.3.0esr) we include a new Tor stable release (0.3.0.10) + an updated HTTPS-Everywhere (5.2.21) and NoScript (5.0.8.1).

In this new release we continue to fix regressions that happened due to the transition to Firefox 52. Most notably, we avoid the scary warnings popping up when entering passwords on .onion sites without a TLS certificate (bug 21321). Handling of our default start page (about:tor) has improved, too, so that using the searchbox on it is working again and it does no longer need enhanced privileges in order to function.

The full changelog since Tor Browser 7.0.2 (for Linux since Tor Browser 7.0.3) is:

  • All Platforms
    • Update Firefox to 52.3.0esr
    • Update Tor to 0.3.0.10
    • Update Torbutton to 1.9.7.5
      • Bug 21999: Fix display of language prompt in non-en-US locales
      • Bug 18913: Don’t let about:tor have chrome privileges
      • Bug 22535: Search on about:tor discards search query
      • Bug 21948: Going back to about:tor page gives “Address isn’t valid” error
      • Code clean-up
      • Translations update
    • Update Tor Launcher to 0.2.12.3
      • Bug 22592: Default bridge settings are not removed
      • Translations update
    • Update HTTPS-Everywhere to 5.2.21
    • Update NoScript to 5.0.8.1
      • Bug 22362: Remove workaround for XSS related browser freezing
      • Bug 22067: NoScript Click-to-Play bypass with embedded videos and audio
    • Bug 21321: Exempt .onions from HTTP related security warnings
    • Bug 22073: Disable GetAddons option on addons page
    • Bug 22884: Fix broken about:tor page on higher security levels
  • Windows
    • Bug 22829: Remove default obfs4 bridge riemann.
    • Bug 21617: Fix single RWX page on Windows (included in 52.3.0esr)
  • OS X
    • Bug 22829: Remove default obfs4 bridge riemann.

原文:https://blog.torproject.org/blog/tor-browser-704-released

Shadowsocks视窗版客户端(v4.0.5)

  • Fix crash when user-wininet.json fail to parse. (#1178)
  • Bug fixes and improvements.

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • MD5: 56B9D1CAD7968A4CAE83207ED5862E24
  • SHA1: 8E196F8D67BACA283CF32A577EC584FA074BC33D
  • SHA256: 28825798B1FB3951A536CA6C9805DB68F2D9CBB393A4EF363E12F9343E8BE8C9
  • SHA512: 3785235074FCA6874AE11332CAC24A983A8389C6D98D4E58EF8F0A245007491CA4D85613F2FFC7685043B3975DF4BE92867B05B38544D3713DB9C937FB1B9165

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/4.0.5

Tor 0.3.0.10 is released

Source code for a new Tor release (0.3.0.10) is now available on the website; packages should be available over the next several days. The Tor Browser team tells me they will have a release out next week.

Reminder: Tor 0.2.4, 0.2.6, and 0.2.7 are no longer supported, as of 1 August of this year.  If you need a release with long-term support, 0.2.9 is what we recommend: we plan to support it until at least 1 Jan 2020.

Tor 0.3.0.10 backports a collection of small-to-medium bugfixes from the current Tor alpha series. OpenBSD users and TPROXY users should upgrade; others are probably okay sticking with 0.3.0.9.

CHANGES IN VERSION 0.3.0.10 – 2017-08-02

  • Major features (build system, continuous integration, backport from 0.3.1.5-alpha):
    • Tor’s repository now includes a Travis Continuous Integration (CI) configuration file (.travis.yml). This is meant to help new developers and contributors who fork Tor to a Github repository be better able to test their changes, and understand what we expect to pass. To use this new build feature, you must fork Tor to your Github account, then go into the “Integrations” menu in the repository settings for your fork and enable Travis, then push your changes. Closes ticket 22636.
  • Major bugfixes (linux TPROXY support, backport from 0.3.1.1-alpha):
    • Fix a typo that had prevented TPROXY-based transparent proxying from working under Linux. Fixes bug 18100; bugfix on 0.2.6.3-alpha. Patch from “d4fq0fQAgoJ”.
  • Major bugfixes (openbsd, denial-of-service, backport from 0.3.1.5-alpha):
    • Avoid an assertion failure bug affecting our implementation of inet_pton(AF_INET6) on certain OpenBSD systems whose strtol() handling of “0xfoo” differs from what we had expected. Fixes bug 22789; bugfix on 0.2.3.8-alpha. Also tracked as TROVE-2017-007.
  • Minor features (backport from 0.3.1.5-alpha):
    • Update geoip and geoip6 to the July 4 2017 Maxmind GeoLite2 Country database.
  • Minor bugfixes (bandwidth accounting, backport from 0.3.1.2-alpha):
    • Roll over monthly accounting at the configured hour and minute, rather than always at 00:00. Fixes bug 22245; bugfix on 0.0.9rc1. Found by Andrey Karpov with PVS-Studio.
  • Minor bugfixes (compilation warnings, backport from 0.3.1.5-alpha):
    • Suppress -Wdouble-promotion warnings with clang 4.0. Fixes bug 22915; bugfix on 0.2.8.1-alpha.
    • Fix warnings when building with libscrypt and openssl scrypt support on Clang. Fixes bug 22916; bugfix on 0.2.7.2-alpha.
    • When building with certain versions of the mingw C header files, avoid float-conversion warnings when calling the C functions isfinite(), isnan(), and signbit(). Fixes bug 22801; bugfix on 0.2.8.1-alpha.
  • Minor bugfixes (compilation, mingw, backport from 0.3.1.1-alpha):
    • Backport a fix for an “unused variable” warning that appeared in some versions of mingw. Fixes bug 22838; bugfix on 0.2.8.1-alpha.
  • Minor bugfixes (coverity build support, backport from 0.3.1.5-alpha):
    • Avoid Coverity build warnings related to our BUG() macro. By default, Coverity treats BUG() as the Linux kernel does: an instant abort(). We need to override that so our BUG() macro doesn’t prevent Coverity from analyzing functions that use it. Fixes bug 23030; bugfix on 0.2.9.1-alpha.
  • Minor bugfixes (directory authority, backport from 0.3.1.1-alpha):
    • When rejecting a router descriptor for running an obsolete version of Tor without ntor support, warn about the obsolete tor version, not the missing ntor key. Fixes bug 20270; bugfix on 0.2.9.3-alpha.
  • Minor bugfixes (linux seccomp2 sandbox, backport from 0.3.1.5-alpha):
    • Avoid a sandbox failure when trying to re-bind to a socket and mark it as IPv6-only. Fixes bug 20247; bugfix on 0.2.5.1-alpha.
  • Minor bugfixes (unit tests, backport from 0.3.1.5-alpha):
    • Fix a memory leak in the link-handshake/certs_ok_ed25519 test. Fixes bug 22803; bugfix on 0.3.0.1-alpha.

原文:https://blog.torproject.org/blog/tor-03010-released

Tor Browser 7.0.3 is released

Note: Tor Browser 7.0.3 is a security bugfix release for Linux users only. Users on Windows and macOS are not affected and stay on Tor Browser 7.0.2.

Tor Browser 7.0.3 is now available for our Linux users from the Tor Browser Project page and also from our distribution directory.

This release features an important security update to Tor Browser for Linux users. On Linux systems with GVfs/GIO support Firefox allows to bypass proxy settings as it ships a whitelist of supported protocols. Once an affected user navigates to a specially crafted URL the operating system may directly connect to the remote host, bypassing Tor Browser. Tails and Whonix users, and users of our sandboxed Tor Browser are unaffected, though.

The bug got reported to us yesterday by Julian Jackson (@atechdad) via our HackerOne bug bounty program. Thanks! We are not aware of it being exploited in the wild.

We are currently preparing updated Linux bundles for our alpha series and they should go live within the next couple of hours. Meanwhile Linux users on that series are strongly encouraged to use the stable bundles or one of the above mentioned tools that are not affected by the underlying problem.

Here is the full changelog since 7.0.2:

  • Linux
    • Bug 23044: Don’t allow GIO supported protocols by default

原文:https://blog.torproject.org/blog/tor-browser-703-released

苹果 App Store 下架 VPN APP:影响和应对措施

2017年7月30日

中国大陆对VPN的封杀进一步升级,苹果公司(Apple)应用商店(App Store)中国区已下架几乎所有的VPN类应用程序(App)。被下架的除了VPN App以外,还包括Shadowsocks类App如Shadowrocket、Surge等。

对于经常需要翻墙的中国iPhone和iPad用户来说,这无疑是一个很大的打击。

美国《纽约时报》、英国路透社等均对此事做了报道。连爱德华·斯诺登也专门发推谴责了苹果公司的这一举动:

苹果应用商店App Store下架VPN类APP

苹果App Store下架VPN App的影响

苹果的应用商店App Store是苹果移动设备(包括iPhone、iPad等)用户下载App的主要途径,绝大多数用户都是通过App Store下载、更新App的。

苹果的App Store在不同国家、地区的设置、内容等都不尽相同,这次下架VPN类App的只有中国大陆地区的App Store,其它国家地区的苹果应用商店目前未受影响。

对于已经安装了被下架的VPN App的中国苹果用户,估计这些VPN App在近期内还能正常使用(如果在下架前仍可用的话),但由于原App已经下架,所以今后将难以更新。

对于尚未安装被下架VPN App的中国苹果用户,在App Store搜索这些VPN App时,将不再能找到该App,所以也就无法安装。

需要指出的是,在iPhone和iPad上使用VPN未必需要依赖于独立的App,用户可以手动设置和连接VPN,当然这种方式相对稍麻烦,但手动设置的VPN应该不受这次VPN App下架的影响,今后苹果用户理论上仍然可以不依赖于VPN App、手动设置和连接VPN。

然而,很多比较先进的VPN App都带有一些隐蔽本身连接、躲避监控干扰的附加功能。这种防封功能对于中国大陆VPN用户来说非常实用,但这些功能如果不通过独立的App,而是通过手动设置估计至少是比较麻烦的(如果不是不可能的话)。

对于安卓手机的用户,这条新闻应该没有什么特别影响。虽然VPN类App也已经开始从国内的安卓应用商店大批量下架,但安卓手机不同于iPhone和iPad,用户可以绕过应用商店,直接通过下载APK文件的方式来安装和更新App,所以安卓手机用户在翻墙方面会有更多的自由。

此外,这次下架仅对移动设备(iPhone、iPad)有影响,电脑(苹果电脑、Windows电脑、桌面电脑、笔记本电脑等)都不受到影响。

对于苹果App Store下架VPN App的应对措施

苹果App Store中国区下架VPN App,这对国内的苹果用户翻墙会造成比较大的麻烦,但中国网民一直在翻墙方面是具有斗争精神和聪明才智的。目前大概有以下几个应对措施:

1. 已经安装VPN App的iPhone、iPad用户,注意不要主动删除这些App,否则可能很难重新下载。

2. 已经安装VPN App的iPhone、iPad用户,建议及早通过iTunes备份这些VPN App。

3. 如有可能,建议再开通一个其它国家地区(如加拿大、香港等)的苹果账号,或临时将自己的苹果账号的地区更换成国家,然后通过使用其它国家苹果账号的方式下载、更新VPN App。这种方法较复杂,请自寻教程完成。

4. 如果已有VPN账号,VPN服务商一般会提供手动设置、连接VPN的教程。用户可以根据这些教程在iPhone或iPad上手动设置VPN,以备后用。

5. 考虑一下是否改用安卓手机?

附:在中国大陆仍然好用的VPN推荐

作为一家立足中国大陆、专门测试推荐VPN的网站,VPNDada.com一直在对各家VPN进行测试。基于目前国内VPN普遍被禁、前景黯淡的趋势,我们建议大家不要再使用国内VPN公司的产品,而是改用境外VPN。原因很简单:国外的VPN不受中国政府控制,不会突然被迫关闭。但是即使是国外的VPN,大部分在中国大陆也是无法使用的。基于我们的实地测试,目前向大家推荐以下几个好用的国外VPN(英文版:Best VPNs for China):

* logo-expressvpn  访问(含三个月免费优惠)
* logo-vyprvpn  访问
* logo purevpn  访问
* NordVPN logo 访问

 

我们会随时关注有关VPN的新闻,并及时更新我们的VPN评测结果。感兴趣的朋友可以关注我们的网站

祝大家翻墙愉快!

原文:https://www.vpndada.com/vpn-apps-removed-from-app-store-cn/

翻墙服务商倒下了,那么我们自己搭梯子翻墙,搭梯子傻瓜手把手教程

做为一个外贸人,真的是离不开google。但国内大环境如此,访问google困难重重。

但是再难,工作也是要展开的!我们之前还可以通过购买商家们的爬墙服务来实现访问google,但这阵严打,这类服务商死掉了一大批,很多朋友也平白遭受了损失!

以后政策会越来越收紧,能提供此类服务的商家会越来越少,取得合法资质运营此类业务的商家,其费用估计也是天价。

在这种情况下,我推荐大家自行搭梯子翻墙,个人自己搭建自己使用的梯子,不会成为重点打击对象。

本教程介绍的并非免费翻墙,需要购买一台境外服务器来作为自己的专用翻墙服务器,需要免费账号的朋友也可以E-mail博主 admin(at)glorystar.me,我可以免费提供临时账号,不保证长时间有效。

本篇教程全程傻瓜化,无任何技术难度,不需要输入任何命令,不需要记住任何代码。

分三步走,大概花十分钟就能建立起你自己的专用Shadowsocks服务器,完全不必觉得这会非常困难。

本篇教程以Bandwagonhost(搬瓦工)的 10G KVM – PROMO VPS 为基础,使用 shadowsocks 为梯子程序。

废话不多说,开始本篇教程。

1、 购买一台境外服务器用于搭建梯子的服务端–点击展开

搬瓦工年付19.99美元KVM架构VPS 1核CPU 512M内存 每月500G流量 <– 本篇教程使用

搬瓦工年付49.99美元KVM架构VPS 2核CPU 1024M内存 每月1T流量 <– 需要更高性能,更多流量选用

以上VPS任意选择一台购买
bwg2.png
为什么要选年付呢?因为年付相比每月付款等于5.5折!搬瓦工也有30天退款保证,觉得不好用再申请退款也可以。
bwg3.png
6个数据中心可选,建议选择Los(洛杉矶),离中国距离最近,开通以后也可以随意切换。

选完之后 点击最下面的 Add to Cart
bwg4.png
进入到购物车,可以看到结账明细,下面有优惠码输入框 输入 BWH1ZBPVK 6%优惠码 节省一点是一点吧。
bwg5.png
输入之后是这样的 之后点
 
checkout 结账
bwg6.png
新用户会要求填写一些信息注册账户,全部用拼音如实填写即可。注意地址一定要如实填写,不用写得那么细,但起码要和你所在城市一样,要不检测到IP地址与填写城市不一致,会被判欺诈,导致购买失败!
bwg7.png
三种支付方式供选择,哪个方便选哪个吧,本次以支付宝为例说明
bwg8.png
Complete Order 后再点 Pay now
bwg9.png
跳转到支付宝网站 选择扫码或登陆账号完成支付
bwg11.png
支付成功
bwg12.png
跳转回搬瓦工 显示订单完成并显示订单号
购买服务器完成

2、搭建shadowsocks server端–点击展开

搬瓦工直接在后台集成了shadowsokcs,登陆后台就能一键安装,方便小白用户(它知道你们看见命令行会头痛)

bwg21.png

在用户中心 选择 My Services

bwg22.png

可以看到你刚才购买的服务器已经激活运行,点击 KiviVM Control Panel 进入VPS管理面板

进入面板后你会看到一些服务器的运行信息,如内存使用量,磁盘使用量,流量使用情况等,可能你会看不懂,没关系,略过这些
我们直接安装shadowsocks server 如下图所示

bwg23.png

安装成功显示如下

bwg24.png

Go Back后就能看到shadowsocks的连接信息了 如下图所示

bwg25.png

shadowsocks服务端配置完成!

3、配置shadowsocks本地客户端–点击展开

搬瓦工不愧为Linux小白挚友 直接在后台就给出了客户端配置教程 我也在这里说下

Android安卓手机用户:

访问Play商店下载Shadowsocks-Android 手机里没有play商店?无法翻墙?(废话…) 没关系 点击这里下载手动安装

IOS苹果Iphone用户:

直接在Appstore里选择以下App之一安装。
shadowsocks原版 免费 需要越狱才能使用全功能 要不只是一个支付翻墙的浏览器
shadowrocket 售价18元 俗称小火箭 支持全局翻墙 无需越狱 推荐
Wingy 免费,支持全局翻墙 无需越狱,不过近期有朋友反馈不能用了
近期苹果官方已经把中国区的所有Shadowsocks应用下架了,如果你的Iphone绑定的是中国区的账号,会无法搜索到上述App,可以参考
此篇教程把账号更改成美国区账号,就能搜索到了。

Mac OS用户:

Mac OS X GUI Client
ShadowsocksX: 
2.6.3.dmg
GoAgentX: 
v2.2.9.dmg

Windows用户:

Windows XP和Windows 7 请下载 shadowsocks-win-2.3.zip 需要 .net framework 3.5 支持

Windows 8及Windows 10 请下载 shadowsocks-win-dotnet4.0-2.3.zip 需要 .net framework 4.6.2 支持

注意:此工具不是VPN之类全局代理,本质上只是一个Socks5代理,通过修改系统代理实现翻墙,可能会被360卫士或其它电脑安全管家之类的软件静默阻止,造成软件运行出错。运行前请退出某卫士或某管家,或把SS客户端加入其白名单!建议最好不要安装某卫士或管家,安装正统的杀毒软件,如卡巴斯基、NOD32、诺顿、McAfee,这些软件都不会对SS进行阻止!

这是绿色软件,下载之后解压就能用,打开 shadowsocks.exe 会看到通知栏有一个纸飞机图标 双击它
bwg26.png
填入服务端信息后确定,会自己最小化到通知栏,右键单击-启用系统代理
bwg27.png
好了 你可以打开浏览器看下能不能正常访问google了
bwg28.png
搞定!

提醒:网上有一些人在售卖或者免费提供SS帐号,我想说的是,你永远不知道电脑那一端的那个陌生人在想些什么,想干什么!使用别人提供的SS帐号是有安全隐患的,因为他知道你的加密方式,并且服务端掌握在他手里,他是可以对你的网络通信进行监听的,我们做外贸的,有时信息泄露的后果挺严重的,望大家慎重。

安全提醒:

Shadowsocks只是一个帮你穿越长城防火墙的小工具它无法帮你保持匿名!在使用时务必遵守中国(人在中国)和服务器所在地(服务器在美国)的法律!墙外言论纷杂,接收信息时务必保持自己的理性思辨!

后续更新

感觉速度很慢?使用BBR优化服务器加速小飞机!

Chrome+SwitchyOmega+Shadowsocks实现智能翻墙

Shadowsocks配合Proxifier实现全局翻墙

在路由器上装SS!手把手打造自己的外贸路由器

不差钱!不想用美国的服务器,只要速度快!没问题!阿里云HK、LinodeJP等高富帅服务器欢迎你  待更新

原文:https://glorystar.me/archives/use-bwg-through-the-GFW.html

Shadowsocks视窗版客户端(v4.0.4)

  • Save user wininet settings as user-wininet.json
  • Improve performance of aes-256-gcm

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • MD5: 3456E9AD759BD6E99190888C201FABB9
  • SHA-1: 551A8A3AE18C71D915A8B9CE1F86E9543CA50B20
  • SHA-256: F6965ABB81E5743CD3AD70EF1736BEE726A425792A974FEDD1660C6122A0D1C0
  • SHA-512: AEA9C647421BAF35996E987096D4738415A31E2C14859E207FCC47FAC88B05011E93C2225A066D18609CD7F16770963645182C009E42BCDF2010C02F26079492

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases

Shadowsocks视窗版客户端(v4.0.2)

  • ix legacy key derivation
  • Bug fixes and improvements

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • MD5: FFBF9923081EF0167523EB35C2D85F15
  • SHA-1: 2BFEF2025DB3695215C3F6CD8071FEFD471249A2
  • SHA-256: A3F6609BE3963BCF3B25C0A25CCE3D6C881B8EBBFB847A1A9258BFF76BED9C74
  • SHA-512: 6F30A25BC708EDD044F937A818F996054F63BD96BDFF95A940685A0DDD52738EE0542C45D49B7D2EA53D611D92B082E340605BC888145EEF2EED60D866841E58

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/4.0.2

Shadowsocks视窗版客户端(v4.0.1)

  • Fix UDP relay
  • Allow to add multiple servers via Shadowsocks URL
  • Bug fixes and improvements

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • MD5: 40072E322ED96E70D975F512579BD77A
  • SHA-1: 88B71B27A0E541005312C3047E757541924B27B4
  • SHA-256: F02549D525246252199201A281C46E8861839814BD97247E0BCF3DD8ECD7D238
  • SHA-512: 2EA3BB4B51A4B47C05BC87BB01B58D67512D1DEAF52B118B4C4B01F9752BBB96992838FF0D42BD5728B1F5EA881D15FF56F4807607CAE40A0A64D999D14D608F

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/4.0.1

安卓版: 无界一点通4.0正式版(2017年4月15日)

无界一点通4.0b升级为正式版:

1. 改善连通能力;
2. 修复 RFA(自由亚洲电台);
3. 允许用户在下载新版时自定义包名和应用名(见“菜单/工具/检测下载新版”)。使用自定义的包名可以在被强删的环境中安装使用。建议在目前没有被强删的设备上下载安装一份自定义的作备份。

http://wujieliulan.com/download/um.apk

sha256: 9e4f4bda1124713216da5ba3295b72cf730daf3ec8a867ecd593be968ef89d54
md5: 6ee374d430d697750d446df4430e9f30

谢谢!

—————–

“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”测试版:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。

3。详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

4。 注: 如果在VPN模式下使用其他浏览器(而不是无界一点通自带的浏览器),请使用其浏览器的“隐私模式”, 或退出无界一点通之后,请将浏览器的历史记录清除,否则在没有VPN的情况下无意中点击了这些历史记录,会有安全隐患。

原文:http://forums.internetfreedom.org/index.php?topic=22001.0

无界浏览测试版17.01a (2017年2月21日)

1.修复了SSL警告 (请测试)
2.增加了HTTPS的稳定性和速度

请再帮助测试不同的连接模式,谢谢。

执行版:
http://wujieliulan.com/download/u1701a.exe
SHA1: ddda265b5abb91ac5809609c0a419b45b14dcbb2
MD5: d048dc9aa0a4a8637618c62cd9353324

压缩版:
http://wujieliulan.com/download/u1701a.zip
SHA1: 6223671545d4733987bf29b77e2d9b5e5440662a
MD5: d048dc9aa0a4a8637618c62cd9353324
原文:http://forums.internetfreedom.org/index.php?topic=21904.0

Linux VPN 测试版 17.01b (2017年2月21日)

更新内容:
1. 修复了SSL警告 (请测试)
2. 增加了“连接模式”
3. 修复了有时掉线的问题(更换服务器时还是会掉线,这是正常的)

最近更新内容:
1. 增加了“VPN 安全模式”
2. 启动VPN模式时自动关闭火狐浏览器,并关闭WebRTC, 以避免在不用私有IP时泄露IP。
3. VPN模式关闭时自动关闭火狐浏览器,同时回复WebRTC设定。
4. 加速https连接
5. VPN模式下显示监听地址。

请大家测试并反馈:
http://wujieliulan.com/download/u1701b
SHA1: 334404d174555d99df3db163735c0b2ee56f563b
MD5: a64fed33efd50d221b1faa9f929ff4c0

使用方法:
下载后在下载的文件夹右键打开一个终端,在终端执行:chmod +x u1701b,然后执行:./u1701b, 终端出现以下信息:
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
0.650 Connecting … (正在连接)
1.569 Connecting … (正在连接)
2.178 CONNECTED (连接成功)
需要手动设置浏览器代理。

./u1701b -help 显示使用方法:
Usage of ./u1701b:
-ConnMode string
Connect mode, 0: Auto, 1: T, 2: U, 3: P
-L string
listen address (default “127.0.0.1:9666”)
-M string
“vpn”: turn on VPN mode
-P string
http or sock proxy, example: 1.2.3.4:8080 or 管理员警告:禁止外部链接1.2.3.4:8080 or socks://1.2.4.4:1080 or socks5://1.2.3.4:1080 or socks=1.2.3.4:1080
-S string
“safe”: turn on VPN safe mode, when exit, do not restore routing until reboot

./u1701b -ConnMode 1 (1:“T模式” , 2 :“U模式” 3:“P模式”)

如需要监听 0.0.0.0,在终端执行: ./u1701b -L :9666
如需要通过代理, 执行: ./u1701b -P 1.2.3.4:8080 或 .u1701b -P socks://1.2.3.4:1080

运行VPN模式,需要root或sudo, 执行:sudo ./u1701b -M vpn, 输入密码, 终端出现以下信息 (顺序可能不同):
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
VPN MODE (VPN模式)
0.650 Connecting … (正在连接)
1.569 Connecting … (正在连接)
2.178 CONNECTED (连接成功)

如需要在VPN下分享:sudo ./u1701b -M vpn -L :9666
LISTENING 0.0.0.0:9666 (监听 0.0.0.0:9666 )
VPN MODE (VPN模式)
0.650 Connecting … (正在连接)
1.569 Connecting … (正在连接)
2.178 CONNECTED (连接成功)

在VPN模式下不需要设置代理,整机都通过无界加密翻墙,不会出现直连。我们还是建议设置代理以避免退出无界后直连,这样更安全。建议使用浏览器的“隐私模式”,这样不会留下历史纪录。退出无界前,最好关闭所有浏览器,以免退出后直连敏感网站。

VPN 安全模式:
为了确保安全,新增了VPN 安全模式: sudo ./u1701b -M vpn -S safe
终端出现以下信息 (顺序可能不同):
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
VPN SAFE MODE (VPN 安全模式)
0.650 Connecting … (正在连接)
1.569 Connecting … (正在连接)
2.178 CONNECTED (连接成功)

一旦运行了 VPN 安全模式,电脑一直处于网络隔离状态,即使关闭了无界,也无法联网。这样消除了所有泄露IP的隐患,以确保安全。不过还是建议设置无界代理,进一步增加安全性,即使恢复到非网络隔离状态也不会泄露IP。也建议使用浏览器的“隐私模式”,最好使用定制版的浏览器,以避免留下历史纪录。

需要重新启动电脑才能恢复到非网络隔离状态。

原文:http://forums.internetfreedom.org/index.php?topic=21903.0

Shadowsocks视窗版客户端(v3.4.3)

  • Make the previous portable mode as default
  • Refine networking by @Noisyfox
  • Refine menu group and icon by @breakwa11
  • Bug fixes and improvements

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 964096 Bytes
  • MD5: 5E5253AF986C90CC8CA02186AEF4413F
  • SHA1: 49A3163DB16293F737A9663F8F12B98374A308D2

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/3.4.3

开源翻墙工具萤火虫新版 (0.4.6) 和安卓手机应用

支持黑名单/白名单(自动更新),墙内直通,墙外自动翻墙,浏览器建议使用FireFox或Chrome,无需安装翻墙插件。

支持Windows和Mac系统,操作说明和设置界面为中文,自动解压缩到桌面并生成快捷方式,纯绿色,删除文件即卸载。

项目页:https://github.com/yinghuocho/firefly-proxy

FireFly 0.4.0 版下载 (Windows版,OSX版, Ubuntu版,Android 4.0.3及以上):

B6AQnCVCIAErNAs.jpg-large

附:(China Digital Times)发布免翻墙浏览器扩展

一键穿墙,任性阅读中国数字时代。

下载: github

安装: 直接用 Firefox 浏览器打开安装文件

方法1:墙外请直接访问 Chrome Store 地址 安装;

方法2:
2.1 点击 
github 下载 china_digital_times-v0.0.5.crx
2.2 在谷歌地址栏输入 chrome://extensions/ 打开扩展程序管理界面,
2.3 将安装文件拖拽入浏览器窗口.

gongfuwang

更多安装使用细节请看:

中国数字时代免翻墙浏览器扩展安装使用方法

gfw2

Lantern 3.6.1版

蓝灯(Lantern)最新版本下载

🔴蓝灯最新版本下载地址请点这里🔴

最新版本是3.6.x

Windows 版本(要求XP SP3以上) 备用地址

安卓版(要求4.1以上) 备用地址 Google Play下载 请勿使用UC浏览器点击下载,会被替换成假的有广告的版本

其他系统下载

请大家收藏本页面,方便日后下载新版。

因为蓝灯发展需要,现诚招代理商。有兴趣的,请发Email到 percy00[at]protonmail.com 咨询详情。

蓝灯官方论坛

论坛帖子页面请点这里进入,或者点击左上方的Issues进入。

你可以在右上角“sign up” 注册账号。 通过邮件验证后,请点击 https://github.com/getlantern/forum 回到论坛。

在论坛内,可用右上角使用“New issue” 发新帖,或者在帖内使用“Comment”回复。

版规

本论坛可进行关于蓝灯(Lantern)翻墙软件的讨论。🔴提问前,请先阅读蓝灯精华帖。🔴因为版面有限,请不要重复发帖,也请不要在开新帖发表邀请码。邀请码请发表到汇总贴或其他论坛。 禁止广告帖,包括非官方的讨论群。禁止刷版,人身攻击等恶劣行为。 关于蓝灯的问题,请上传日志。6.1

原文:https://github.com/getlantern/forum#蓝灯lantern最新版本下载

翻墙问答:利用TunnelO翻墙 手机暂未支援

视频:http://www.rfa.org/cantonese/video?v=1_z020b4vm

问:近日,有一款很强的免费VPN,只要依靠Chrome,就可以快速翻墙,能否介绍一下?

李建军:这个翻墙服务叫TunnelO,是一间法国公司来的,只要你先翻墙,在Chrome应用程式商店下载TunnelO的插件,在安装插件后,再利用你的谷歌或面书户口登记,即时可以在全球多个主机翻墙上网,相当方便,基本上,你的电脑作业系统是Windows、Linux还是Mac,只要你用Chrome浏览器都可以使用,不用额外安装任何软件。这次翻墙问答,我们准备了视频,示范如何安装和登记TunnelO,欢迎听众浏览本台网站收看。

由于TunnelO依赖HTTP第二代协议的技术,所以暂时必须依赖电脑版的Chrome浏览器,暂时iOS和Android都未能支援TunnelO,要等到TunnelO推出相应的手机应用程式,才能在手机上享受TunnelO的好处。

问:在未来TunnelO会否收费?

李建军:TunnelO本身已经定位是商业服务,所以在可见的将来,会有收费。免费户口,很可能只有很有限的流量。但由于现时在测试期间,所以可以无限制免费使用,除了可以作测试,如果这段期间使用其他VPN或翻墙软件都出现问题,就可以用TunnelO来翻墙,以应付不时之需。

由于现时仍于测试阶段,所以可能出现其他相当古怪,或不稳定的情况,当用户遇上一些可疑情况时,可以主动向TunnelO的团队报告,这有助他们开发更加稳定的服务。

问:TunnelO可以不安装任何应用软件,单是依赖Chrome浏览器,就可以做到VPN式翻墙,究竟是如何做到?

李建军:TunnelO背后,是依赖最新TLS 1.2加密技术,再配合新一代的HTTP技术,新一代HTTP技术,官方叫HTTP 2.0,而实际上,是以谷歌公司提出的SPDY技术作基础,大大改善了HTTP协议的传递资讯方式,不单令HTTP协议更有效率,而且亦令HTTP协议基础上运行VPN变成了可能,而TunnelO可说是用这方面技术的用户端产品。

但由于HTTP 2.0技术相当新,很多浏览器都未开支援,这个亦解释了,为了TunnelO先支援谷歌的Chrome浏览器,因为Chrome是第一个全面支援HTTP 2.0的浏览器,而其他浏览器在近年推出的新版本,才陆续支援HTTP 2.0,但相信HTTP 2.0上的VPN或其他翻墙技术,都将是新一代免费或收费翻墙技术的大势所趋,因为HTTP 2.0提供更快,更安全,而且经过全面加密,亦非文字为本的传输。

问:倘若日后以浏览器插件形式的翻墙技术为大势所趋,对一般听众而言,有那些浏览器,会变成翻墙的必需工具,以便使用这些新一代的翻墙技术?

李建军:现时大部分的浏览器插件,都是在Chrome和Firefox两款开放源码浏览器上运作,而以Chrome和Firefox的开放特性,日后有新的翻墙插件,都定必在Chrome和Firefox上运作,因此,对有需要翻墙的听众,Chrome和Firefox的浏览器是必须安装在电脑上,并且必须定时更新,因为很多插件的新技术,都依赖新版的浏览器。

虽然苹果的Safari和Chrome都是同一个基础上开发,但由于苹果在插件的政策上相当封闭,Chrome的插件并无法在Safari上运行,因此,Safari可以作为系统预设的浏览器,但在翻墙发挥的作用上,远不及Chrome和Firefox。而微软的浏览器,无论是旧一代的Internet Explorer,还是新一代的Edge,缺乏插件支援的情况,远比Safari还要严重,因此,除了要浏览特定网站,需要用到IE或Edge外,大部分情况下,新一代的翻墙插件,都不会在微软的浏览器上运行。而Opera由于使用人数更少,相对应的插件就会更加少了。

原文:http://www.rfa.org/cantonese/firewall_features/tunnelo-01062017071222.html?encoding=simplified

Shadowsocks视窗版客户端(v3.4.2.1)

  • Refine Traditional Chinese translation by LNDDYL
  • sysproxy: reduce false positives on virus detection
  • sysproxy: set LAN proxy settings even if RAS query fails
  • privoxy: drop obsolete tray area refreshing code
  • Fix auto startup
  • Bug fixes and improvements

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 964096 Bytes
  • MD5: 92EB0620367F2654DF769538967F0143
  • SHA1: D3AB96403C444F3F6793043C14388057964F9451

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/3.4.2.1

翻墙问答:Android新木马针对路由器易被骑劫

翻墙问答:Android新木马针对路由器易被骑劫(粤语部制图)

翻墙问答:Android新木马针对路由器易被骑劫(粤语部制图)

视频:http://www.rfa.org/cantonese/video?v=1_zgzvgncg

问:最近有一只 Android的木马,主要是针对中国的用户,而且会造成广泛的DNS骑劫问题,请问能否介绍一下。

李建军:这只新的Android木马,并不以你的手机为目标,而是以你家中的Wi-Fi路由器作为目标。木马会伪装成百度的软件,或Wi-Fi万能锁匙软件,当成功感染你的手机后,就会透过你的手机,不断攻击你的Wi-Fi路由器。而在攻击成功后,就会污染你Wi-Fi路由器的DNS纪录,令你浏览黑客想你去的假网址,作进一步感染。如果你曾经在Google Play以外来源下载过类似软件,而你手机的耗电量大增,或路由器出现不寻常网络活动的话,即表示你的手机已被感染。如果你的路由器,并非专业的路由器,而是一般家用的路由器,其实很容易被黑客程式撞破预设密码。

如果你怀疑你的手机和路由器受影响,应立即移除手机的相关软件,甚至在备份资料后,清除你手机的内容。而路由器若然受影响的话,请到生产厂家的网站,并下载最新版本的软件,如果你的路由器支援DD-WRT,而你技术能力足够的话,可以考虑安排DD-WRT的开源码路由器软件。

一直以来,我们都强调,不要随便在Google Play以外的来源,下载Android应用软件,因为太多黑客透过Google Play以外的途径,散播混入木马的奇怪软件,造成相当多的保安问题。如果你想你的Android安全的话,应该翻墙到Google Play Store下载软件,而不要透过来历不明网站或软件商店下载软件。

问:那我怎知道,自己的路由器已受感染?

李建军:其实相当简单,只要你检查一下路由器设定,如果发现路由器的DNS主机是101.200.147.153、112.33.13.11或120.76.249.59,那你几乎可以肯定,你的路由器已经受到感染。根据本人翻查纪录,这三个DNS,有两个是租用阿里云的主机,一个是中国移动的IP。而TP-LINK的路由器,受影响的机会比较大,因此需要尽快作出检查,如果一旦已经攻破,应考虑换路由器。

这集翻墙问答,会有视频示范,如何检查常用的家用路由器的DNS设定,确定你家中的路由器有没有被木马软件攻破,欢迎听众浏览本台的网站,收看有关视频。

问:加密即时信息技术开发组织Open Whisper最近表示,有一种新技术,可以绕过部分国家对Signal相关技术的封锁,新技术是怎样,而这会否对中国网民使用Signal或Whatsapp之类加密程式有帮助?

李建军:Open Whisper在Signal加入一种新伪装技术,大部分用Signal技术加密的信息,表面看来,只是向谷歌提出的HTTPS加密请求,只有真正的收件人,才知道信息包原来是Signal信息。由于不少封锁Signal技术的国家,都未有封锁谷歌,加上谷歌有庞大的主机网络,可以协助分流伪装成加密谷歌请求的信息,因此,在其他国家,新技术确能够绕过当局的封锁。

但由于中国情况比较特别,中国连谷歌都封锁,Open Whisper需要寻求谷歌以外的合作夥伴,因此,在短期内,拥有可以支援新技术的大型网站谷歌和面书都被当局封锁的情况下,中国听众暂时未能受惠于新技术,但只要有未受中国当局封锁的大型网站,愿意合作让Open Whisper借其网站网址作伪装之用,相信这是突破中国当局封锁的其中一条出路。但中国当局投放在网络封锁的资源,远比其他国家为多,特别在信息包深层侦测技术研究上,中国当局下了不少工夫,因此,突破中国当局的封锁,将是一条漫长的路。

原文:http://www.rfa.org/cantonese/firewall_features/switcher-12302016081118.html?encoding=simplified

翻墙问答:相机加密问题

视频:http://www.rfa.org/cantonese/video?v=1_nisvjany

问:较早前,有一群记者和摄影师要求相机制造商,于相机内置加密以及资料毁灭功能,其实现时大部分相机,是否真的无法添加资料加密及毁灭功能?因此记者和摄影师要作出如此呼吁?

李建军:现时一般人都用Android或iOS手机影相,由于Android和iOS设备的运算能力以及作业系统比较强大,加上一早要考虑到黑客入侵的问题,所以Android或iOS手机,甚至使用Android作业系统的消费者级别相机,本身都有十分完善的加密功能,相片连接上网后可以立即上传到云端,一早被偷或落入当局手中,亦可以遥控毁灭资料。

但专业级别的数码相机,由于都是使用由相机生产商开发的专用作业系统,加上原本无预计有入侵者的存在,因此,大部分专业级别的数码相机都无内置加密功能,而只有Canon曾经有一款专业用的数码相机,可以购买特定配件,达致加密的目标,只不过,相关配件不单难以订购,而且使用上亦十分麻烦,因此,对摄影师而言,只要SD Card落入当局手上,就无法阻止当局取得SD Card上的资料,情况相当不理想。

虽然在画质上,以及拍摄能力上,专业级别的相机是好很多,但如果你需要拍摄的地点或题材,有可能要冒被当局扣留器材或采访材料的风险的话,其实一部有一定像素的数码相机,很可能是更实际的选择,因为手机可以加密,相机不能够加密。

问:那在手机,又如何做法可以替自己的手机加密,特别是记录照片的SD Card?

李建军:在iOS,由于不容许插入SD Card,所以并无SD Card的加密问题,而现时的iOS预设全机加密,所以加密问题,并不用你去操心,因为这是作业系统的预设动作。因此,只要你设好手机上的锁机密机,以及Find your iPhone的功能,就能确保当你手机上锁时,资料不会被第三者取得,而只要你的手机有连上网络,你就可以遥控手机,并将手机内的资料毁灭。

在Android,只要Android 5.0或以上,都可以做全机加密,而加密SD Card基本上是预设功能,你可以在手机设定中,设定加密,然后再进行全机或SD Card加密。但要注意的是,加密前要设定用密码,并且在手机闲置了若干时间后自动锁机,这是整个加密程序的保安要求。而加密期间,由于涉及相当密集的运算,会消耗相当多的电力,因此,最好在进行加密时,替手机连上充电器或电脑,确保手机有足够的电力完成整个加密程序。在这集翻墙问答,我们准备了视频,示范如何为你的Android进行全机加密,欢迎听众浏览本台的网站收看。

问:Android用什么算式,去加密手机上的资料?

李建军:Android预设是用128位元的AES加密,只不过部分厂商,有可能以保安能力作招徕,采用比128位元高的加密方式,去替你的手机加密。要了解实际上你的手机用什么加密程度,最好参考生产商提供的文件。但128位元AES加密,那是作业系统最低要求。

问:加密了SD Card,会有什么缺点?

李建军:由于SD Card的加密,与你的手机本身息息相关,因此,加密了的SD Card,只能够在手机中读取,或者透过手机在电脑上读取,而不能够直接插入电脑的读卡机上读取,这当然有些不方便,但这亦是加密的目的。就算黑客或当局取得你的SD Card,只要他们不能够打开手机,都不能读取SD Card上的资料,这就保障了你的资料的安全。

原文:http://www.rfa.org/cantonese/firewall_features/photoencrypt-12232016065146.html?encoding=simplified

翻墙问答:如何应对雅虎更大规模密码外泄事件?

翻墙问答:如何应对雅虎更大规模密码外泄事件?

视频链接:http://www.rfa.org/cantonese/video?v=1_p35uvq3o

问:最近雅虎又传出有户口密码泄漏事件,但这次泄漏密码事件受影响的户口更多,到底发生什么一回事?而一般听众,又可以如何回应?

李建军:雅虎最近发现的资料外泄事件,与上次有所不同。这次资料外泄在2013年发生,外泄的户口数目多达十亿个,几乎大部分雅虎户口都有份,甚至不少由雅虎提供电邮服务的互联网服务供应商都受害,牵连十分广泛。

由于这次雅虎受影响的户口太多,而且涉及近年才注册的户口,很可能雅虎户口保安设计出现严重漏洞,为避免自己的私隐外泄,我个人不建议保留雅虎户口,应考虑尽早删除户口,并改用谷歌或微软的服务。

如果你仍有需要保留雅虎的户口服务,请即更改密码以及保安提示,由于雅虎有可能出现保安架构设计问题,因此要定期更改密码和保安提问,而并非一年或几年才更改一次密码。而一些涉及信用卡号码等敏感资料的内容,亦避免使用雅虎电邮登记。

问:那在中国的听众,有必要尽速更改正使用的雅虎密码和帐号?

李建军:因为有越来越多证据显示,这次大规模资料外泄事件,与受政府赞助的黑客有关,而中国当局,一直被指是其中一个为大规模资助黑客的政府之一。所以有使用雅虎帐户的中国听众,为安全起见,应考虑弃用雅虎户口,或现在更改雅虎帐户密码和保安提示,并且每三个月更改一次密码和保安提示,以策安全。

问:刚才提及,有部分互联网服务供应商,使用雅虎服务来提供电邮服务,因此会受电邮泄漏事件影响,那会有哪些互联网服务供应商,会受这次事件所影响?

李建军:在大中华地区,包括香港、台湾和中国大陆,暂时未有互联网服务供应商透过雅虎提供电邮服务。

但如果你的互联网服务供应商是英国电讯、美国AT&T等公司,就有可能受到这次事件影响,而必须更改密码和保安提示,请密切留意你的互联网服务供应商所提供的提示。

问:雅虎有没有好像谷歌一样,有替代的登入方式,取代密码?

李建军:雅虎现时有名叫Account Key新功能,只要配合雅虎手机程式,每次登入雅虎户口,只要按一下手机程式上的按键,即可登入,不单不怕忘记密码,而且由于这个机制类似谷歌的二步认证机制,亦防止了不法之徒登入雅虎的户口,如果你短期内无法取消雅虎户口,这不失为暂时可以用的方法。任何雅虎iOS或Android应用程式,都可以用Account Key功能。

今次翻墙问答,有视频示范如何设定Account Key,欢迎听众浏览本台网站,收看有关示范。

问:最近Facebook Messenger的通讯功能,都被传有保安漏洞,让黑客可以读取Messenger的信息,到底是怎样一回事?

李建军:根据一间保安公司发现的漏洞,除非你使用经过加密的Messenger秘密通讯功能,否则你曾经点击过一些黑客精心设计的恶意网站后,黑客可以浏览你的Facebook讯息,甚至改变当中的内容都可以。但保安公司在公布相关漏洞前,已经将漏洞的技术内容通报Facebook,Facebook已经修补了相关漏洞,暂时亦未有人受影响的报告。

只不过,这次漏洞亦反映出,Facebook的Messenger未经加密的问题,因此,如果你和你朋友所谈的信息内容敏感的话,应考虑手机才能用的Messenger加密功能,或使用其他已将信息加密的即时信息软件,例如Whatsapp,或Skype等软件,会相对较为安全。

原文:http://www.rfa.org/cantonese/firewall_features/yahooagain-12162016070111.html?encoding=simplified

Shadowsocks视窗版客户端(v3.4.2)

  • Fix null ref in TCPRelay. (#940)
  • Bring Privoxy back. (#948)
  • Bug fixes and improvements.

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 955904 Bytes
  • MD5: FEBC0EA971BACFA55FA1FD90B6E0A1DC
  • SHA1: AE4AEA5EBEA8FFE8A794E840EE809C47479CD30F

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases

翻墙问答:Gooligan木马肆虐

翻墙问答:Gooligan木马肆虐(粤语部制图)

 

视频链接:http://www.rfa.org/cantonese/video?v=1_5fvtqsoi

问:最近有一只木马软件,会透过Android去偷窃听众的谷歌户口,对私隐造成疑虑。请问是那一只木马软件出问题,如何预防,一旦感染了,听众又可以怎样做?

李建军:这一波在Android世界肆虐的木马,名叫Gooligan,主要集中攻击使用Android 4或5作业系统的手机,如果你的手机使用Android 6作业系统,那你几乎肯定是不受影响的一群。而暂时亦未有使用Android 2作业系统手机受严重影响的报告。

如果你手机曾经在Google Play以外的App Store安装软件,有部分App Store根本提供一些含有木马的假软件,因此出问题。由于在中国大部分Android手机,都因中国当局封锁谷歌而无法与Google Play Store连接,所以这次受感染的手机有六成来自亚洲,相信与中国当局的政策有关。而当你的手机被感染后,黑客会能够取得你的谷歌帐户密码,虽然现阶段未有迹象显示,黑客的作为与偷窃受害人的Gmail内容有关,但不排除日后黑客会偷取相关资料,因此仍然不可以掉以轻心。

如果你有Android手机,而不知是否受到这次事件影响的话,可以浏览防毒软件公司Checkpoint专为这次木马感染事件而设的专门网站,查核自己的谷歌帐户是否受影响。这次翻墙问答,会有视频示范,如何透过专门网站查核你的谷歌帐户情况,欢迎听众浏览本台网站收看。如果你的Android作业系统是使用4或5,而曾经安装过小白点和清理大师两只软件的话,我强烈建议你作出检查,因为这两只软件,都名列Checkpoint公司所列出的受影响软件清单之中。

如果你的帐户真的受到这次木马事件影响的话,你不单要移除受感染的软件,你亦要翻墙更改谷歌帐户密码,并且开启二步认证功能。我们比较建议使用短信以外的二步认证,因为未知木马能否取得短信的资料,来绕过二步认证。亦由于木马会控制手机各个部分,因此最好避免在受感染手机更改谷歌密码,正确做法是先在受感染手机登出谷歌户口,然后在另一部电脑上登入谷歌户口,并更改密码以及设定二步认证,之后才在受感染手机上登入谷歌户口。否则黑客可以透过木马,继续偷取你的新密码,那对解决木马问题的帮助不大。如果你使用Android 4的手机,可以考虑借这次机会改买Android 6的手机。如果你的Android 5手机可以将作业系统升级为Android 6,那可以考虑升级作业系统,杜绝木马再感染的问题。因为暂时为止,都未有木马成功在Android 6作业系统运行的报告。

问:Android除了有木马漏洞,有一只叫Airdroid的软件,亦被传出有保安问题未能解决,甚至有电脑保安公司建议用户停用有关软件,直至软件开发商能够彻底堵塞保安漏洞为止,请问能否介绍一下?

李建军:用作在电脑上控制Android手机的软件Airdroid,由于HTTP架构出现严重保安漏洞,黑客可以透过Airdroid就可以控制受害者手机,而Airdroid的开发公司,在推出新版软件后,仍然未能够堵塞相关保安漏洞,因此,有电脑保安公司建议用户停用Airdroid,并将软件由手机和电脑中移除,直接软件公司能推出安全的新版本后,再考虑使用安全的新版本。

其实这类第三方公司开发的手机管理软件,一般都有很多保安问题,因此,如果要妥善管理自己的Android手机,除了使用手机开发商原装的管理软件外,其他软件,我都不大建议安装,因为这很容易引狼入室。

原文:http://www.rfa.org/cantonese/firewall_features/gooligan-12092016080236.html?encoding=simplified

Shadowsocks for视窗版客户端(v3.3.6)

  • Refine system proxy mode switching logic, merge ‘Switch to PAC’ and ‘Switch to Global’ into ‘Switch system proxy mode’.
  • Don’t store LogViewer window size in config file, now you can sync config between devices with different resolutions.
  • Add tag support for SS url
  • Add pre-release channel in update checker
  • Bug fixes and improvements

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 848896 Bytes
  • MD5: F18A5A0959FF7412D6DA7C8D561F02DE
  • SHA1: 02221FBEDB581D0A2908E3DB5F47F6CD1E188531

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/3.3.6

翻墙问答:手机流媒体程式操作简单

翻墙问答:手机流媒体程式操作简单(粤语部)

视频:http://www.rfa.org/cantonese/video?v=1_tv79ywfj

问:本台一直以来,都有手机应用程式,但最近推出了流媒体程式,那流媒体版的应用程式,与RFA应用程式本身,又有什么分别?

李建军:RFA流媒体与RFA应用程式的分别在于,RFA流媒体只有一个很简单的功用,就是播放本台的节目,不提供其他文字等方面的功能,这个比较适合纯粹要收听本台节目,而不浏览网上内容的听众。而相对而言,RFA流媒体的操作方法亦简单很多,只要你懂得使用手机来听音乐和MP3,都很容易掌握RFA流媒体的使用方法。而且可以选择收听电话版本,透过流媒体程式,一次过掌握。如果你的Android手机比较旧,你大可以透过安装这个流媒体程式,将旧的Android或iOS手机,变成一部网络收音机使用,收听本台节目。

问:那如何安装和使用流媒体程式?

李建军:最简单的安装方法,就是用手机的App Store或Google Play Store下载,只要打RFA三个字,就能够找到流媒体程式。

但要注意的是,如果你的iOS App Store所用的Apple ID是中国的话,会找不到我们的流媒体应用程式,所以你必须先翻墙,以及将Apple ID设在中国以外地区,例如香港或日本,才能够顺利下载。

由于谷歌被中国当局封锁,要用Google Play Store肯定要翻墙,如果你的Android手机是无Google Play Store,很大机会这些在中国当局压力下移除了Google Play Store的手机,都会涉及私隐问题,我个人建议你用有正规Google Play Store的手机。因为有正规Google Play Store的手机,除了能够安装我的流媒体程式,亦相对比较少私隐问题需要注意和考虑。

在这集翻墙问答,我准备了视频片段,示范如何在iOS的App Store下载并启用流媒体程式,欢迎听众浏览本台网站收看。

问:有研究显示,WeChat在海外使用时所受的审查,有可能比在中国使用更厉害,为何会出现这个现象,要避免受到这种做法影响,又有什么方法呢?

李建军:虽然我个人不鼓励听众使用WeChat,但基于中国现有的网络生态,我个人理解有需要用到WeChat。腾讯公司之所以对中国注册用户在海外的发言审查更严,因为WeChat可能发现不少人翻墙使用WeChat,当翻墙使用WeChat时,就会视为海外发言。因此腾讯公司故意收紧中国注册用户的海外发言审查,藉此阻止WeChat用户透过海外IP来回避关键字审查的意图。

如果你要谈一些敏感的事,翻墙后使用Whatsapp以及Telegram更好,因为Whatsapp和Telegram有比较好的加密,不像腾讯WeChat几乎没有加密可言,因此才被国际特赦组织评为最不安全的实时通讯软件。但如果你想透过WeChat向你中国的朋友传递一些信息,可以考虑在香港等视为海外的地区注册WeChat户口,再翻墙使用WeChat,那在腾讯主机的角度,只要你不绑定中国的手机,那你只是一个海外的用户,那腾讯全程就会用一个适用于海外用户的较宽松审查方式。由于香港的手机预付咭,买的时候不用作任何登记,可以考虑绑定一个香港预付咭号码。

只不过,有可能在一定特定时候,中国当局会不准许海外户口的使用者贴文或发布讯息。以往八九六四纪念期间,香港微博的用户不断将维园悼念晚会相关内容在微博上发布,造成相当多香港用户的户口暂时被冻结,以及不容许香港注册的用户在微博上发布信息。相信类似海内外分家的做法,会在WeChat上使用,以免WeChat成为海外支持民主的人发中国用户宣传民主自由理念的平台。

原文:http://www.rfa.org/cantonese/firewall_features/streanubg-12022016080442.html?encoding=simplified

【翻墙问答】部分垃圾电话过滤程式对用户私隐构成风险

【翻墙问答】部分垃圾电话过滤程式对用户私隐构成风险(粤语部制图)

 

视频:http://www.rfa.org/cantonese/video?v=1_kdxymevt

问:不少人为了过滤推销电话或其他垃圾电话,都会用特定的过滤程式,拦截这些垃圾来电,但香港传媒发现这些过滤程式是有私隐疑虑,甚至有可能令自己的电话会落入中国企业手上,对自己的朋友构成危险,请问情况如何?

李建军:根据香港调查报导机构Factwire的调查,有中资背景的Whatscall以及CM Security、以色列的Sync.me以及瑞典的Truecaller,都可以透过个别人士电话,反查到当事人身份,这是相当有力证据显示,这些软件都有蒐集用户的电话簿资料,并储存在中央主机。

当然,由于资料泄漏的缘故,无论Whatscall、CM Security、Sync.me和Truecaller都要立即停用,只不过,Whatscall和CM Security,由于大股东是猎豹移动,而猎豹移动的大股东是金山软件。因此,如果你的手机电话簿内容,落入Whatscall或CM Security手中,很大机会落入金山软件手中,这有可能危害到听众其他朋友的安全,因此,不论Whatscall和CM Security作出何等承诺都好,都应即停用相关软件。

问:美国保安专家发现,当地出售的Android廉价手机,都会将资讯不断送到四部中国主机,造成相当大的保安疑虑。请问这次美国保安专家所发现的保安问题是什么?听众可以怎样做,避免买到会泄漏私隐的Android手机?

李建军:出问题的手机软件,大部分都是上海广升科技所提供,广升科技在手机作业系统加入元件,会将资讯传到广升科技四部主机,传送的资讯,包括短信全文、电话簿资料等等,构成的私隐泄漏相当恐怖。由于广升科技的元件,是以系统元件身份在手机或其他Android作业系统器材上执行,所以用户是没有办法阻止相关软件继续将资讯送到广升的主机,亦只有专业人士可以侦测和阻止广升的软件运作。

要避免买到使用广升作业系统的主机,除了要拒绝买华为和中兴通讯的手机外,现时只能选择具自主软件研发能力的手机品牌,例如三星、LG、索尼等大公司。三星、LG和索尼等公司,为了配合他们自身的生态圈以及其他硬件,一般不会将作业系统开发部分外判予其他公司,特别是中国的公司,比较容易避免用到广升科技的软件。而那些无品牌的廉价手机,无论在那一个国家买的,由于要减省开发成本,很可能用上广升科技的软件。对用户而言,这是非常灾难性的情况。

除了大品牌手机,以保安为卖点的手机,像Blackberry以Android作业系统为本手机,亦不会使用广升科技的软件,因为这类保安为卖点的手机,不少都要经过美国或欧洲政府部门的保安审查,如果出现广升科技的间谍软件,根本不可能经过政府的保安审查,更不可能争夺西方国家的政府合约。

问:Mac一直都很难使用无界浏览,不过,透过无界浏览的Firefox插件,Mac都可以使用无界浏览翻墙,这又如何做?

李建军:透过无界浏览Firefox插件,只要安装了插件,很简单按一下插件开关,就可以连接无界浏览的主机翻墙,实现了利用Mac来透过无界翻墙。但要注意的是,最好先用其他浏览器翻墙下载插入,才去安装,直接在Firefox上是安装不了。

这次翻墙问答,我预备了视频,示范如何在Firefox安装无界浏览的插件,欢迎各位听众浏览本台网站收看。除了Mac,Windows和Linux的Firefox,都适合于同一个安装手法和使用方法,这跨平台翻墙方法,是颇为方便要穿梭不同平台的用家的。

原文:http://www.rfa.org/cantonese/firewall_features/whatscall-11242016111041.html?encoding=simplified

三款網路翻牆工具–freenet, lantern, psiphon


這一年多來,偶而幫Open Technology Fund 放在transifex.com上的公開專案進行正體中文化的翻譯。如果我沒理解錯誤(知道正確資訊又剛好有看到這篇文章者煩請指正),OTF有部份資金來自Radio Free Asia,而RFA這個由美國官方資助的公共媒體的確有不少來自美國政府部門的經費支援。不過我要說的是OTF所支持與投入的數位科技專案,多是以協助在資訊封閉不自由的地區、社會、國家如何透過數位技術科技的開發和應用,打斷資訊的隴斷控制。於此同時OTF另一關注的重點則是如何保護人民在使用工具獲取資訊時,不會受到權力者(主要是政府部門)的監控干擾。

来源: http://self.jxtsai.info/2016/06/freenet-lantern-psiphon.html
剛好這兩個議題算是我個人比較有興趣的,所以也用了一些時間在相關軟體的中文化與介紹上。而今天要一口氣介紹的三款網路翻牆工具,我都有幸(嗯其實是沒有人和我搶)參與了其正體中文化的進行,當然其中也不少是借力於先行完成的簡體中文稿的基礎。
簡單說明,所謂翻牆工具是為了對付網路的審查與封鎖。因此不能不先了解到底何謂「網路審查與封鎖」?網民們或多或少知道中國GFW的威力以及其對許多境外跨國網站的封鎖政策,我就不多說。自詡為進入民主待深化、人權保障雛備,甚致有人覺得言論太過自由的今日台灣,是否仍然存有網路審查與封鎖的現象呢?答案是:當然有!!!。只是在中國執行「「網路審查與封鎖」」的權力者其無法相應的監督和制衡,而在台灣稍慶幸言論資訊被審查而遭移除的原因與手段多少有點法律正當性的依據,例如以未成年者身心發展健康為由,在校園內的公共電腦透過關鍵字設定而無法連到色情網站、臉書接受用戶檢舉認同女性身體上空照片有色情暗示而移除該貼文或暫時停止張貼者使用、毀謗侮辱他人或內容侵犯著作權遭當事人向網管反應在未經法院審理之前內容已被移除…….

許多政府、公司、學校與公共網路使用區都透過一些軟體來阻止使用者連上某一些網站或網路服務。這樣稱之為網路過濾或是封鎖,也被視為網路審查的一種。內容過濾來自不同的形式.有時整個網站都被封鎖有的只是包含某些關鍵字的內容被過濾.某個國家或許會封鎖了整個臉書網站,有些則是封鎖臉書上部份的社群小組或是含有某些字眼的網頁內容。不管其內容是如何被過濾封鎖,你只有透過一些對付工具才能取得資訊. 對付因應的工具往往透過分散你的網路或透過其它電腦的繞行交通,以躲避執行審查的機器。現有許多對付網路審查的工具,有些提供多出來的安全層帶供你使用。這樣的工具最適合受到威脅的用戶。

(摘自Security First umbrella_app:網路初學者介紹篇communications the internet beginner )
繼續根據umbrella_app網路初學者介紹篇的整理,一般而言要突破網路封鎖所採的方式可歸類至少有三種方式:
1)網站差異:試圖找另一個替代的網域名或網址.以推特為例, 你可以造訪它的行動網址http://m.twitter.com 來取代http://twitter.com. 審查者封鎖網站或網頁往往依照被禁止的黑名單資料,所以不在名單上的網址或許可以躲過一劫,因為他們並不知道某一個特定網站有其它不同的網域名稱,尤其是因為遭封鎖而註冊了其它的網域名.
2)網頁代理器 (例如 https://proxy.org/)是最簡單對付審的方式之一.它是由網站讓用戶可以近用其它遭到封鎖的網址. 使用網頁代理,你只需在其網頁上的輸入框打上被過濾的網址,代理器就會在網頁上呈現出你要求的內容。網頁代理器是一個快速近用封鎖網站的好方法,但是它也有一些缺點:a)它住往無法提供安全保密,如果你的網路行為受到監控的威脅,這就不是一個好的選項。b)有時這個工具也無法提供你要求的正確網頁內容,許多網頁代理無法承載複雜的網站,像是有影音內容的網站。c)如其名稱所示網頁代理由能提供網站服務,你無法利用它來使用即時通訊或是電子郵件程式。d)最後,網頁代理本身也給使用者帶來一些風險,因為代理器會全程記錄你的瀏網行為。有一些代理服務使用了加密功能可以提供多一層的安全防護以及躲避過濾。雖然它的連線有加密但是服務提供者仍然保有你的網路資料,這意謂著它並不是匿名。不管如何,這總是稍比一般性的網頁代理更為安全.最簡單形式的加密網頁代理是透過使”https”開頭的網址,它的網站會使用加密通訊。
3)虛擬私人網路 (VPN)會在你的電腦與其它電腦之間進行加密與傳送。這個電腦可以商用或是非營利,或是由你的公司或是一個信賴者所架設的VPN 服務。代理伺服器只有網頁交通功能,但是VPN可以加密和保護通訊內容。主要的差異就在 VPN伺服器可以加密資料,而代理器則不能。VPN也可以讓你方使使用更多網路資源,例如透過它讀取網頁、電子郵件、即時通訊、網路電話等種種服務。不要使用不信任的VPN:VPN透過本機上的加密保護你的使用記錄,但是VPN提供者仍然可以保留你訪問過的網站活動記錄甚致將其提供給第三方以直接窺探你的瀏覧歷史。依照你受威脅模式的程度,政府很可能監聽或是取得你的 VPN 記錄,這將是很大的風險。
當然可以用來突破網路審查(這裏指的是網站被封鎖無法連上的情況,而非內容被移附)工具應該不少,因透過中文化工作,有機會稍接觸的三種翻牆連網工具簡介:
1) Freenet:中文稱「自由網」,根據其官網上的介紹,「它是一個分散式、非中心化的資訊儲存與存取的系統。系統的目標是要在Internet上可以自由地傳遞各類資訊,而不會受到任何控制。要達到這個目標,就是提供匿名的方式來置放資訊到Freenet上,並且透過Freenet來存取其他Internet資訊。」我個人感覺這個是三個軟體中最複雜神祕的一套,其作用不只是在突破網站封鎖,還得把自己的電腦變成自由網中的一個節點,並劃出自己部份硬碟與流量來做為儲存分享交換「檔案」的空間。有技客利用它來連上DarkNet、Deep Web(暗黑網絡、隱形網絡或深層網絡。泛指一些不能由傳統搜尋器找到的網站,須通過動態請求或由特定的瀏覧器才可找到)
2) Lantern: 中文被譯成「藍燈」。它似乎也有應用到點對點之間的技術,軟體會自動檢測一個網站是否被封鎖。對那些被封鎖的網站,Lantern 通過自有的服務器或者未封鎖地區的用戶運行的 Lantern 來提供訪問。如果網站沒有被封鎖,Lantern 選擇靠邊站。這樣瀏覽器就會直接訪問網站,而速度不受影響。
3) Psiphon: 中文被譯成心「賽風」,是一個以VPN-為基礎的工具但也混合利用了SSH, HTTP Proxy等技術,以代理使用者所有的網路交流,不只限於網頁瀏覧。使用安裝請參考之前umbrella app 工具指南介紹
作了一張簡表來比較這三種軟體的特色。也許因為相對地幸運活在今日台灣,所以沒怎麼能親身比較它們各自的優缺點在哪裏,只能先以官網開發者提供的基本資料作介紹。

原文:http://www.chinagfw.org/2016/11/freenet-lantern-psiphon.html#more