【翻墙问答】本台翻墙网站示范使用谷歌Allo信息软件(视频)

视频:http://www.rfa.org/cantonese/video?v=1_me4q7iad

问:最近不少人浏览美国或新加坡网站,或翻墙时,都出现速度缓慢,甚至无法进入网站的现象。而出现这个现象,又与杭州雄迈公司所生产同代工一系列旧款视像监察镜头有关。到底发生了什么事?

李建军:近日有成千上万的僵尸装置,主要都是杭州雄迈公司的产品,大规模攻击美国主要DNS供应商Dyn,以及新加坡当地其中一间主要互联网供应商星和。当成千上万的视像镜头,被黑客利用预设密码的漏洞,进行DDoS攻击时,就会引发大规模交通瘫痪,因此,杭州雄迈科技主动收回怀疑变成DDoS工具的产品,并且呼吁用户更新在2015年前购买产品的内部软件,堵塞黑客发动DDoS攻击的漏洞。由于出问题的雄迈公司产品,数量相当多,相信短期内,都不会有希望彻底解决问题,直至相关的雄迈公司产品逐步被汰换为止。

问:对于中国听众而言,如果他们发现家中的保安镜头等设备是雄迈公司的设施,那应该怎办?

李建军:如果你的设备,可以不连接互联网的话,请先尽量切断与互联网的连接,当视像镜头不连接互联网时,根本无法参与DDoS攻击,那就不会对其他人的设备造成麻烦。对保安视像镜头,设于内联网下,比设于互联网上来得好。

如果你的设备在2016年生产,那你可以暂时不用采取任何行动,因为受影响的设备,都是2015年前生产的旧款设备。如果你的设备于2015年3月前生产,可以前往雄迈网站更新软件,并更改密码,那就问题不大。

如果你的旧设备是2015年前生产,无法更新运作软件,或无法让用户自定密码的话,你的设备实际上对其他电脑使用者构成困扰,那只能不再让相关设备连接互联网,甚至要整个设备更换,以免相关设备影响办公室或家居其他同网络系统。

问:现时最好的点对点加密程式,除了 Signal软件本身外,Whatsapp同Facebook Messenger都是Facebook公司的产品,但有部分中国听众,可能对Facebook公司在中国问题取态有疑虑,那除了Signal以及Facebook公司的产品,还有什么选择?

李建军:最近谷歌推出了Allo实时信息软件,所使用的点对点加密协议,与Signal以及Whatsapp所用的协议相同,而且可以连系你的Gmail户口,对谷歌用户相对而言比较便利,亦提供了限时模式,在点对点模式下的对话,可以设定于指定时段内毁灭信息。在Allo,点对点加密模式,是被称为无痕模式,而这集翻墙问答,我们准备了视频,示范如何使用Allo,欢迎大家浏览本台网站收看。

问:在Allo上,当使用无痕模式时,如果我所用的表情,收件人并无安装,会否影响在无痕模式下的通讯表现?

李建军:因为当无痕模式的收件人,并无安装特定表情包时,会自动连接谷歌主机,虽然下载表情包时,软件与谷歌之间的连系,仍然是会加密的,但由于中国当局以DNS污染手段阻止民众连接谷歌主机,因此,如果不想影响在无痕模式的运作表现的话,Allo用家最好先作翻墙,以免DNS污染之下,影响Allo无痕模式下的正常运作。

虽然下载表情包会与谷歌主机通讯,但暂时为止未收到报告,指有关安排破坏了点对点通讯的机密性和可靠性。相信,这会是其他即时信息软件的发展方向。

由于下载表情包是一次性动作,因此,在大部分情况下,都不会影响无痕模式下的点对点通讯表现以及效能。、

原文:http://www.rfa.org/cantonese/firewall_features/allo-10282016081504.html?encoding=simplified

Advertisements

【翻墙问答】本台翻墙网站示范使用谷歌Allo信息软件(视频)

视频:http://www.rfa.org/cantonese/video?v=1_me4q7iad

问:最近不少人浏览美国或新加坡网站,或翻墙时,都出现速度缓慢,甚至无法进入网站的现象。而出现这个现象,又与杭州雄迈公司所生产同代工一系列旧款视像监察镜头有关。到底发生了什么事?

李建军:近日有成千上万的僵尸装置,主要都是杭州雄迈公司的产品,大规模攻击美国主要DNS供应商Dyn,以及新加坡当地其中一间主要互联网供应商星和。当成千上万的视像镜头,被黑客利用预设密码的漏洞,进行DDoS攻击时,就会引发大规模交通瘫痪,因此,杭州雄迈科技主动收回怀疑变成DDoS工具的产品,并且呼吁用户更新在2015年前购买产品的内部软件,堵塞黑客发动DDoS攻击的漏洞。由于出问题的雄迈公司产品,数量相当多,相信短期内,都不会有希望彻底解决问题,直至相关的雄迈公司产品逐步被汰换为止。

问:对于中国听众而言,如果他们发现家中的保安镜头等设备是雄迈公司的设施,那应该怎办?

李建军:如果你的设备,可以不连接互联网的话,请先尽量切断与互联网的连接,当视像镜头不连接互联网时,根本无法参与DDoS攻击,那就不会对其他人的设备造成麻烦。对保安视像镜头,设于内联网下,比设于互联网上来得好。

如果你的设备在2016年生产,那你可以暂时不用采取任何行动,因为受影响的设备,都是2015年前生产的旧款设备。如果你的设备于2015年3月前生产,可以前往雄迈网站更新软件,并更改密码,那就问题不大。

如果你的旧设备是2015年前生产,无法更新运作软件,或无法让用户自定密码的话,你的设备实际上对其他电脑使用者构成困扰,那只能不再让相关设备连接互联网,甚至要整个设备更换,以免相关设备影响办公室或家居其他同网络系统。

问:现时最好的点对点加密程式,除了 Signal软件本身外,Whatsapp同Facebook Messenger都是Facebook公司的产品,但有部分中国听众,可能对Facebook公司在中国问题取态有疑虑,那除了Signal以及Facebook公司的产品,还有什么选择?

李建军:最近谷歌推出了Allo实时信息软件,所使用的点对点加密协议,与Signal以及Whatsapp所用的协议相同,而且可以连系你的Gmail户口,对谷歌用户相对而言比较便利,亦提供了限时模式,在点对点模式下的对话,可以设定于指定时段内毁灭信息。在Allo,点对点加密模式,是被称为无痕模式,而这集翻墙问答,我们准备了视频,示范如何使用Allo,欢迎大家浏览本台网站收看。

问:在Allo上,当使用无痕模式时,如果我所用的表情,收件人并无安装,会否影响在无痕模式下的通讯表现?

李建军:因为当无痕模式的收件人,并无安装特定表情包时,会自动连接谷歌主机,虽然下载表情包时,软件与谷歌之间的连系,仍然是会加密的,但由于中国当局以DNS污染手段阻止民众连接谷歌主机,因此,如果不想影响在无痕模式的运作表现的话,Allo用家最好先作翻墙,以免DNS污染之下,影响Allo无痕模式下的正常运作。

虽然下载表情包会与谷歌主机通讯,但暂时为止未收到报告,指有关安排破坏了点对点通讯的机密性和可靠性。相信,这会是其他即时信息软件的发展方向。

由于下载表情包是一次性动作,因此,在大部分情况下,都不会影响无痕模式下的点对点通讯表现以及效能。、

原文:http://www.rfa.org/cantonese/firewall_features/allo-10282016081504.html?encoding=simplified

翻墙问答:Facebook Messenger加密功能如何?(视频)

视频:http://www.rfa.org/cantonese/video?v=1_9ut8seow

问:在Whatsapp推出加密对话功能后,Facebook都开始在Messenger上加入加密对话,以及限时对话功能。请问能否介绍一下Facebook Messenger的加密对话功能?

李建军:Facebook Messenger在最近的更新中,加入秘密对话功能,只要你在Android或iOS手机,安装最新版的Facebook Messenger就可以。虽然Whatsapp和Facebook的加密对话功能,都是建基于同一技术。只不过,由于Facebook Messenger本身设计上的限制,所以Facebook Messenger的加密功能,实际应用时,同Whatsapp始终是有分别的。

首先,Facebook Messenger并不预设启动加密功能,你要与朋友进行加密通讯,只能够另开一个加密通讯渠道,而且你这个加密通讯,只能够在手机上的Facebook Messenger使用,还要只有一部手机,能够使用加密通讯功能。一旦你在其他手机启动加密功能,就会关闭其他手机上的加密功能。

由于网页版本的Facebook并不能够使用加密通讯,亦意味著不能像Whatsapp一样,在桌面电脑透过浏览器或独立应用程式进行加密通讯,一切在Facebook间的加密通讯,都必须透过Android或iOS版本的Facebook Messenger应用软件去进行。亦由于Facebook Messenger的加密模式必须依赖手机应用程式,因此,Facebook Messenger的加密模式,并不能够好像Whatsapp般可以用作传送pdf或微软办公室软件档案之用,只能够用来传送图片、文字以及声音信息等Facebook Messenger手机版支援的档案,亦不能够在加密模式进行语音或视像通讯,并不像Whatsapp可以在加密模式下,进行语音通讯,并对语音通讯进行加密。但注意的是,Facebook Messenger所用的特殊卡通表情,仍然可以在加密模式下使用。

问:那Facebook Messenger的加密功能有这么多限制,那Facebook Messenger和Whatsapp的加密版本,又有什么好处?

李建军:Facebook由于不依赖电话号码或电话网络,如果不信任Whatsapp的认证程序要经过中国国有电讯公司手机网络的话,Facebook提供了可以回避中国电讯网络进行认证,而可以建立秘密通讯途径的方法。另一方面,如果想建立一个不涉及真实电话号码的加密沟通渠道,Facebook Messenger是GMX Mail以外,最可能做到这个目的加密通讯渠道。

另一方面,Whatsapp并不具备类似Telegram的自动毁灭信息功能,但Facebook Messenger可以设定计时器,在计时器指定限时内自动毁灭信息。在这方面,Facebook Messenger比Whatsapp来得优胜。

问:那怎样在Facebook Messenger上启动加密通讯?

李建军:Facebook Messenger的应用程式,并不预设启动加密模式,因此要在Facebook Messenger启动你手机上的加密模式,才会启动加密模式的通讯。

要注意的是,如果你在其他手机启动了加密模式,你一旦你在手上的手机启动加密模式,其他手机上的加密模式就会立即关闭。

之后,你就可以与朋友进行加密通讯,不能够在现在对话中启动加密,而是要另行启动一个加密了的用户对用户通讯,之后你就可以在这个特别的加密通讯对话中,进行基本文字通讯,使用卡通表情,或传送相片。在这一集翻墙问答,我准备了视频,示范如何在iOS版的Facebook Messenger中启动加密模式,并且展开加密模式下的通讯,欢迎听众浏览本台的网站,收看有关视频。

虽然在iOS设备上进行示范,但Android Facebook Messenger的使用方法,与iOS分别是大同小异。

问:Facebook和Whatsapp用的Signal加密协定,除了Signal、Facebook和Whatsapp,还有什么实时信息软件,未来都会采用同一技术?

李建军:谷歌的新实时信息软件Allo,都会采用Signal加密协定,在日后的翻墙问答,我们会介绍谷歌新实时信息软件Allo的功能,所以要继续留意翻墙问答节目。

原文:http://www.rfa.org/cantonese/firewall_features/facebooksecret-10212016082308.html?encoding=simplified

翻墙问答:哪个Webmail可以提供加密服务?(视频)

视频:http://www.rfa.org/cantonese/video?v=1_j2foo5n5

问:一直以来,Webmail最被人诟病的地方,在于提供不到点对点加密的电邮服务,不过,德国有一间公司提供的Webmail服务,却可以提供点对点的加密能力,请问能否介绍一下?

李建军:德国的免费电邮服务供应商GMX,最近推出了新的服务,只要配合安装在Chrome和Firefox上的插件,就可以实现用PGP技术来加密你的电邮,而不用再额外安装任何数码证书。当你设定妥当点对点加密后,任何你和朋友间的电邮,就只有持有PGP证书的人可以拆阅,就连GMX公司本身,都不会知道你的电邮内容。

由于PGP是相当通用的技术,因此,只要你的朋友懂得用PGP,就算并非使用GMX的免费电邮服务,都仍然享受到PGP的好处。

问:PGP是有名难用,在GMX的Webmail系统上设定PGP又会否相当困难?

李建军:GMX利用Chrome和Firefox上运用的开放源码插件,只要安装了插件,就可以轻易在你的浏览器上设定和使用PGP加密邮件功能。在这一集翻墙问答,我预备了视频,示范如何在GMX上设定使用PGP加密电邮,欢迎听众浏览本台的网站收看。

亦由于GMX透过在Chrome和Firefox上的插件,实现PGP加密,因此在Safari和微软浏览器上,将享受不到PGP加密功能,而在手机和平板电脑上,亦不适用GMX的PGP加密电邮服务,这点是听众必须注意的。

问:Webmail最大便利之处在于可以在任何地方上用,那GMX的PGP加密功能,又是否可以在任何电脑或地方上使用?

李建军:由于PGP的加密设计问题,因此,你的GMX PGP私密匙是为你的设备所特别配备,如果你想在其他设备使用你的GMX PGP私密匙,除了相关电脑是使用Chrome或Firefox浏览器外,你更要在产生的私密匙时,将私密匙备份,列印在纸上,并于安全地方保管,在你想于另一设备上用PGP匙时,就输入你的备份好的私密匙,你才能在另一设备上使用GMX相关PGP匙。因此,GMX这个设计,是比较适合使用Windows或Mac手提电脑的用家,因为他们通常会使用固定的电脑和浏览器上网。对于想用网咖或公司电脑来查阅电脑的人,我个人并不建议他们在网咖或公司公用电脑上用GMX的PGP服务,因为一旦你的私密匙落入黑客手中,那你想用点对点加密的原意就白费。

问:如果我仍想在Android或iPhone上用GMX的PGP加密服务,又有没有办法?

李建军:有的,但这并非透过你iPhone的Mail软件,或Android内置的电邮软件,而是必须安装GMX专用的电邮App,新版的GMX电邮App支援PGP加密功能,但你仍然如在其他设备用时一样,必须输入你产生私密匙时所产生的后备私密匙,一如刚才的步骤,将私密匙的代码输入专用的App,才能使用点对点电邮加密功能。

问:较早前,Wosign和Startcom的大股东前往伦敦会见Mozilla的人员,试图说服Mozilla重新接纳WoSign和Startcom的数码证书。但Wosign和Startcom大股东提出新措施后,听众应否重新信任这两间公司的数码证书?

李建军:在Wosign和Startcom大股东在伦敦会见Mozilla的人后,听众更不用去信任这两间公司的数码证书,因为这两间公司的实际大股东是奇虎360,而奇虎360等中国网络保安公司,都与中国当局保持相当紧密的合作。就算Mozilla和苹果愿意重新信任Wosign和Startcom的证书,中国听众都应避之则吉,以免中国当局又利用这些中国资本的数码证书签发机构,发行一些数码证书用作偷取中国听众的资料,一如过往CNNIC的问题一样。

原文:http://www.rfa.org/cantonese/firewall_features/gmx-10142016074538.html?encoding=simplified

【翻墙问答】iPhone或iPad忌用中国公司软件备份(视频)

视频:http://www.rfa.org/cantonese/video?v=1_35ffns2e

问:在上周翻墙问答提到,WoSign的数码证书被Mozilla认为不安全,Mac用家可以自行不承认有关证书,但iOS用家,就没有任何工具拒绝WoSign的证书。而苹果都公布了即将对WoSign证书会采取的行动,能否介绍一下?

李建军:苹果决定跟随Mozilla的做法,不再承认WoSign透过Startcom以及另一间公司发出的中介证书,在Mac,将于十月中推出的保安更新,就会一并将WoSign的证书列入黑名单。而在iOS,就将会在最新的iOS更新中,删除对WoSign证书的信任。换言之,只要iOS用家在十月中及早更新作业系统,就不会再受 WoSign不安全的证书影响。

问:有报导,新iOS 10的浏览器私密浏览功能,有可能泄漏用户利用私密浏览功能期间所浏览的连结纪录。这保安漏洞是怎样一回事?用户有没有什么可以做,预防自己的私隐外泄?

李建军:由iOS 10开始,在私密模式下的浏览器暂存档,以及历史纪录仍然一如往常完全消毁,但有少量的历史纪录会储在一个特定资料库,黑客如果取得你的iPhone或iPad备份,就有可能透过特定工具,分析备份中的资料库档案,而知道你浏览过的东西。

因此,iOS设备的备份,必须妥善保存在适当位置,防止黑客可以偷走你的备份,如果你有用iTunes以外软件,替你的iOS设备备份的话,那你应该删走存于那些非官方软件的备份,并停止再用这类软件备份iOS设备。不少中国听众都有用由中国公司所推出的非官方软件备份iPhone或iPad,这是极之坏的习惯,这有如将大门开给中国黑客甚至政府一样。iTunes在Windows的版本已经相当易用,而且功能强大,并不需要任何非官方软件去辅助备份,不单浪费金钱,而且相当危险。

问:不少听众都希望在iOS设备上用Tor,但现时App Store机制下,甚少开源软件会可以在不用越狱下运作,请问iOS用家,有没有机会不用作越狱的情况下,可以用Tor翻墙上网?

李建军:现时苹果已经容许Tor浏览器上架,而大部分浏览器都是收费,但价钱相当廉宜,大约八元至十五元港币,这是大多数人可以负担得起的价钱。由于透过App Store来安装,不单不用越狱,而且安装相当简单,几乎只要做好网桥的设定,就可以立即翻墙上网,浏览你想看的网站。这次翻墙问答,会在视频示范如何下载和设定iOS版的Tor浏览器,欢迎听众浏览本台的网站收看。

对于中国听众而言,在iOS上使用Tor有三大挑战,一方面,如果你的Apple ID被设定为中国大陆,有机会无法下载Tor浏览器,因此,听众有需要准备一个有言论自由地区的iTunes储值咭,再配合一个香港注册的Apple ID,透过香港户口购买软件。

另一大挑战是你可能找不到网桥,虽然现时iOS的Tor浏览器已经支援obfs4的网桥技术,绝大部分情况下,都不需要自行输入网桥IP,但用户仍然要有心理准备,一旦obfs4失效时,要以手动输入方式,将可以用的网桥IP输入设定之中,以便接驳Tor网络。

而iOS买Tor浏览器时,小心个别以汉语拼音姓名的开发者,虽然苹果会对每一个App的申请严加审批,以免保安上有任何漏洞或后门,但这些开发者背后的公司,往往都持有ICP牌照,令人担心这些开发者会否与中国当局合作,暗中在软件中附加不必要的元件,而最稳妥的做法,就是向西方国家的开发者购买软件,相对上的保障,亦会比较大。

原文:http://www.rfa.org/cantonese/firewall_features/iostor-10072016074329.html?encoding=simplified

翻墙问答:WoSign和Startcom数码证书是否不能信任?(视频)

视频:http://www.rfa.org/cantonese/video?v=1_0sz93z6a

问:Mozilla最近表示,有可能会对中国的WoSign,以及以色列的StartCom所签的数码证书不作承认,一如当年对付CNNIC数码证书的做法。倘若Mozilla决定真的以CNNIC的做法,对付WoSign和Startcom的数码证书,将有什么结果?

李建军:一旦Mozilla决定以处理CNNIC数码证书的方式,处理WoSign和Startcom的数码证书,那在若干日期后发出的Wosign和Startcom数码证书就一概无法在Mozilla上使用,由于Chrome以及Safari都会跟随相关决定,换言之,WoSign和Startcom所发出的数码证书,将会成为废物,必须寻求其他替代的数码证书签署人。

问:为何Mozilla要以对付CNNIC数码证书的方法,对付WoSign和Startcom的数码证书?

李建军:首先,WoSign在处理SHA-1证书上不老实,现时主流浏览器,都不再承认在特定日期后签发的SHA-1证书,因为SHA-1的安全度不足,应予被淘汰,由安全得多的SHA-256所取代。但WoSign竟然将新发出的SHA-1证书改为禁令生效前的日子,导致相当大的保安问题,因此被Mozilla组织认为有问题。

而WoSign并无表明自己是Startcom的大股东,但Startcom和Wosign共用同一套软件,同一套基建,被认为这种行为相当不老实。因此,Mozilla组织商量采取行动,而为WoSign作资讯科技安全审计的安永会计师行香港办事处,亦在这次事件上,受到严厉的批评。

问:那现代是否就应不信任WoSign和Startcom的证书?

李建军:由于WoSign的作为,有相当大的欺骗成份,因此,无论Startcom还是WoSign都不应再信任。如果你需要免费的SSL证书,亦不应再用WoSign或Startcom的免费证书,而是应改用其他的免费证书,以免惹来不必要的麻烦。

而这次翻墙问答,会有视频示范,如何设定不再信任Startcom以及WoSign的证书,欢迎听众浏览本台网站,收看有关视频。

问:最近,法国公司OVH,受到极严重的DDoS攻击,而攻击的来源,并非一般变成了僵尸电脑的智能手机,或长期被黑客控制的桌面电脑,而是大量廉价的网络保安镜头,到底是怎样一回事?

李建军:由于物联网概念兴起,越来越多保安视像镜头可以连接互联网,这些可以连上互联网的镜头,实际上都是一部小电脑,但这些保安镜头的作业系统,并不像智能手机,或电脑般复杂,黑客很容易有机可乘,取得保安镜头的实质控制,并利用这些镜头发动DDoS攻击。

黑客控制保安镜头作业系统,所带来的问题不只DDoS攻击这样简单,黑客既然可以利用镜头发动DDoS攻击,那意味著可以做其他事,例如指挥镜头拍摄特定位置,或将镜头所拍的影像下载到一部主机上,实际上会造成相当大的私隐困扰,因为保安镜头所拍的内容,本来应用作保安用途,包括防止罪案,以及一旦罪案发生时可以作目击证据之用,而不是被不法分子作犯罪工具之用。
要避免自己的保安镜头变成黑客玩具,首先你的保安镜头,不应使用系统内置的使用者名称和密码,全世界很多保安镜头落入黑客手中,都是因为镜头的使用者名称和密码,使用预设设定。你自己用的镜头,就应用独一无二,黑客不易猜到的使用者名称和密码,毕竟黑客会优先向容易落手的目标埋手。

如果你的保安镜头连上Wi-Fi的话,那你的Wi-Fi至少是WPA2标准,因为WPA2加密标准,才能够提供足够保护,避免黑客有机可乘。如果你连上Wi-Fi是没有加密或保安可言的话,实际上等于邀请黑客控制你家的系统一样,这是相当不智的做法。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-wosign2-09302016074448.html?encoding=simplified

翻墙问答:WoSign和Startcom数码证书是否不能信任?(视频)

视频:http://www.rfa.org/cantonese/video?v=1_0sz93z6a

问:Mozilla最近表示,有可能会对中国的WoSign,以及以色列的StartCom所签的数码证书不作承认,一如当年对付CNNIC数码证书的做法。倘若Mozilla决定真的以CNNIC的做法,对付WoSign和Startcom的数码证书,将有什么结果?

李建军:一旦Mozilla决定以处理CNNIC数码证书的方式,处理WoSign和Startcom的数码证书,那在若干日期后发出的Wosign和Startcom数码证书就一概无法在Mozilla上使用,由于Chrome以及Safari都会跟随相关决定,换言之,WoSign和Startcom所发出的数码证书,将会成为废物,必须寻求其他替代的数码证书签署人。

问:为何Mozilla要以对付CNNIC数码证书的方法,对付WoSign和Startcom的数码证书?

李建军:首先,WoSign在处理SHA-1证书上不老实,现时主流浏览器,都不再承认在特定日期后签发的SHA-1证书,因为SHA-1的安全度不足,应予被淘汰,由安全得多的SHA-256所取代。但WoSign竟然将新发出的SHA-1证书改为禁令生效前的日子,导致相当大的保安问题,因此被Mozilla组织认为有问题。

而WoSign并无表明自己是Startcom的大股东,但Startcom和Wosign共用同一套软件,同一套基建,被认为这种行为相当不老实。因此,Mozilla组织商量采取行动,而为WoSign作资讯科技安全审计的安永会计师行香港办事处,亦在这次事件上,受到严厉的批评。

问:那现代是否就应不信任WoSign和Startcom的证书?

李建军:由于WoSign的作为,有相当大的欺骗成份,因此,无论Startcom还是WoSign都不应再信任。如果你需要免费的SSL证书,亦不应再用WoSign或Startcom的免费证书,而是应改用其他的免费证书,以免惹来不必要的麻烦。

而这次翻墙问答,会有视频示范,如何设定不再信任Startcom以及WoSign的证书,欢迎听众浏览本台网站,收看有关视频。

问:最近,法国公司OVH,受到极严重的DDoS攻击,而攻击的来源,并非一般变成了僵尸电脑的智能手机,或长期被黑客控制的桌面电脑,而是大量廉价的网络保安镜头,到底是怎样一回事?

李建军:由于物联网概念兴起,越来越多保安视像镜头可以连接互联网,这些可以连上互联网的镜头,实际上都是一部小电脑,但这些保安镜头的作业系统,并不像智能手机,或电脑般复杂,黑客很容易有机可乘,取得保安镜头的实质控制,并利用这些镜头发动DDoS攻击。

黑客控制保安镜头作业系统,所带来的问题不只DDoS攻击这样简单,黑客既然可以利用镜头发动DDoS攻击,那意味著可以做其他事,例如指挥镜头拍摄特定位置,或将镜头所拍的影像下载到一部主机上,实际上会造成相当大的私隐困扰,因为保安镜头所拍的内容,本来应用作保安用途,包括防止罪案,以及一旦罪案发生时可以作目击证据之用,而不是被不法分子作犯罪工具之用。
要避免自己的保安镜头变成黑客玩具,首先你的保安镜头,不应使用系统内置的使用者名称和密码,全世界很多保安镜头落入黑客手中,都是因为镜头的使用者名称和密码,使用预设设定。你自己用的镜头,就应用独一无二,黑客不易猜到的使用者名称和密码,毕竟黑客会优先向容易落手的目标埋手。

如果你的保安镜头连上Wi-Fi的话,那你的Wi-Fi至少是WPA2标准,因为WPA2加密标准,才能够提供足够保护,避免黑客有机可乘。如果你连上Wi-Fi是没有加密或保安可言的话,实际上等于邀请黑客控制你家的系统一样,这是相当不智的做法。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-wosign2-09302016074448.html?encoding=simplified

翻墙问答:雅虎5亿帐户密码泄漏 中国用户受影响(视频)

视频:http://www.rfa.org/cantonese/video?v=1_pkjfdgdv

问:不少听众虽然已经放弃使用雅虎中国的户口,但亦可能有用雅虎香港或美国的服务,只不过,最近雅虎承认有多达五亿个雅虎户口密码泄漏,而且有可能对不少仍然使用雅虎服务的中国听众有所影响,请问能否介绍一下?

李建军:雅虎在周四(22日)承认,自2014年起,有五亿个全球雅虎户口密码被黑客所偷,对中国听众可能最可怕的地方在于,雅虎指这次密码失窃事件,有可能与受个别国家政府资助的黑客有关,虽然雅虎并无指明是那一个国家,但无可否认,中国听众是高风险的。

尽管雅虎表示,这次失窃的密码资料库,本身都经过特定的加密程序加密,但由于不少雅虎密码的保安水平都不算高,黑客仍然有可能猜中密码。听众更改密码是保护自己的做法。而这次翻墙问答,我们准备了视频,示范在透过香港雅虎更改自己雅虎密码,基本上,香港、美国、新加坡都用相类似程序,只不过语文不同。欢迎听众浏览本台的网站,收看有关视频。

由于中国听众的密码受影响机会相当大,甚至有可能落入中国当局手上,因此,无论你的海外雅虎户口在何时开设,都应该尽早更改密码,以及将不少敏感个人资料删除。因为有黑客已经在俗称「黑网」的地下网络世界,买卖这批失窃的密码,以及相关的个人资料。无论信用卡资料,还是部分政治敏感的信息,落在这些求财心切的黑客手中,都是一件相当危险的事。

问:受影响密码都是2014年前失窃,是否意味著在雅虎结束中国业务时,选择过渡到雅虎美国或香港户口,而并非阿里巴巴户口那些用户,都会受到影响?

李建军:这是肯定的,所以如果你在雅虎结束中国业务时,选择改用雅虎香港、雅虎美国,或雅虎新加坡服务的用户,应该立即采取行动,更改密码,以及删除敏感资料,以策安全。

问:刚才提到,那些黑客在「黑网」买卖失窃的雅虎户口资料,什么叫「黑网」?

李建军:所谓「黑网」,英文叫「Dark Web」,就是一些故意让搜寻引擎找不到的网站世界,由于谷歌等搜寻引擎找不到这些网,因此,这些网一般只有黑客才知如何访问。黑客故意不让搜寻引擎找到这些网站,因为这些网站的内容,当中不少亦与犯罪活动有关,例如交易失窃密码,毒品、贼赃、儿童色情物品等等;有部分恐怖分子,亦会在「黑网」交换情报,以及宣扬他们的犯罪信息。亦因为「黑网」的邪恶本质,谷歌等主流搜寻引擎,见到属于「黑网」才会出现的内容,亦会将这些网站列入黑名单之中,令用户无法在搜寻引擎中找到这些网站,以避免助长犯罪行为。

由于「黑网」是相当不安全,不少「黑网」网站都有病毒或者木马,对大部分听众而言,浏览「黑网」网站与主动引黑客攻击自己的电脑无异,所以我们并不建议任何人翻墙访问「黑网」网站。但如果你的户口密码失窃,就很大机会成为黑客们在「黑网」买卖赚钱的工具,而你的资料若在「黑网」出现,亦有机会被犯罪分子所使用,因此,一旦遇到帐户密码失窃的情况,必须尽快更改密码,亦是因为拜「黑网」的存在所致。(完)

原文:http://www.rfa.org/cantonese/firewall_features/firewall-yahoo-09232016080550.html?encoding=simplified

翻墙问答:iOS 10 存在问题 升级宜深思熟虑(视频)

视频:http://www.rfa.org/cantonese/video?v=1_h1inm9xc

问:有不少人都开始考虑买iPhone 7或升级iOS到10,但iOS 10对VPN的支援政策好像大有改变,会影响到部分人现正使用的VPN服务,不知能否简介一下相关的变化?

李建军:由iOS 10以及Mac OS X 10.12开始,无论iOS还是OS X,都不会再支援PPTP VPN连接。PPTP的保安问题,一直令人诟病,所以苹果决定不再支援PPTP。

由于现时仍然有部分或个人,因不同理由需要继续使用PPTP的VPN,因此,如果你的VPN供应商未有提供L2TP服务,或你家用的无线网络路由器未有作调节,可以使用L2TP服务,那请你暂时不要升级iOS或OS X,请等到你的供应商有提供L2TP服务,或你的路由器的设定经过调整后,才将你的iPhone、iPad或Mac系统配置升级。

就算你打算升级iOS 10,根据苹果公司的指引,你仍应在iOS 9或更旧版本移除PPTP的设定,并换上L2TP或IKE的设定,本集翻墙问答,我们有视频示范如何在iOS 9设定VPN,并符iOS 10的要求,欢迎听众浏览本台的网站收看。

问:但除了VPN问题,iOS 10尚有其他问题,例如效能变差,或升级后无法重新启动手机等等,好像都不大适合升级?

李建军:由于现时iOS 10的升级机制相当不稳定,有可能升级失败后令你的手机或平板电脑无法启动,届时要找苹果的指定维修商帮忙,因此,有不少大型电讯公司已经劝谕用户不要升级作业系统。大家可以观望多一至两个星期,看看iOS 10的反应如何,以及升级时的稳定性问题,再决定是否升级。

但可以肯定的是,iOS 10或以后版本一定不会再有PPTP支援,不用预期下一版的iOS 10更新会有任何PPTP支援。

问:在即将推出的Chrome浏览器,谷歌开始试验一种叫CECPQ1的新演算法,据称这种演算法,就连未来的量子电脑都难以破解,对一般用户而言,CECPQ1新演算法的出现,会否有任何影响?

李建军:在量子电脑时代未来临前,现时多个不同的加密演算法,都是建基于数学上的质因数难题而演算出来,因此,就算中国当局装设了很多运算能力在世界五百强的超级电脑,都未能够大规模破解民间的通讯。因为要解决这些质因数题目,需要极多有强大运算力的电脑,基于资源有限的情况下,一般会优先解决军事或国防机密相关的加密程序。

但在量子电脑出现后,现存的运算法很可能被运算力极其强大的量子电脑破解,现有的加密程序,就会变得像2G GSM的加密机制般不堪一击,因此,有必要在量子电脑流行前就要研究出新算式,避免各国政府大规模使用量子电脑解破公民私隐,危害公民权利。

CECPQ1由于是第一代针对量子电脑而开发的加密算式,因此,只有极少数的网站支援这个演算法,而且可能有不少保安漏洞,因为这始终是具试验性质的演算方法。而谷歌亦都表明,CECPQ1的研究只会维持两年,一旦出现比CECPQ1更好的演算法,就会立即终止CECPQ1的研究,并不希望CECPQ1成为业内标准。CECPQ1相关的各类应用,可以在现阶段作实验用途,始终这个崭新的演算法,中国当局应暂时未有破解方案,但一旦有黑客公布相关的保安漏洞,就要立即停用,在软件更新后才恢复使用。但相信针对量子电脑而言的加密算式和技术,未来将会陆续有来,因各国政府投放大量投资在量子电脑之上,而这类比现有电脑快上百倍的电脑,在可见的将来会于各国政府普及。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-pptpios-09162016075657.html?encoding=simplified

翻墙问答:新版Chrome浏览器将加装加密提示

视频:http://www.rfa.org/cantonese/video?v=1_9szg58dn

问:现时全世界大部分网站都是无对内容作出加密,而网站未有加密,浏览器一般亦不会作出警告。但谷歌打算由明年一月推出的Chrome浏览器开始,会对任何有可能处理密码、信用卡号码之类敏感资料,而未有作加密的网站作出警告,请问会是怎样?

李建军:由明年一月开始新推出的Chrome浏览器,当你访问的网站,会问你密码或信用卡资料,但未有作加密,或加密机制出现问题时,就会弹出警告视窗,提醒你未经加密网站处理密码之类敏感资料,并不安全,要求你考虑访问已经加密版本,或尽量考虑不在未经加密的网站传送敏感资料。这亦是谷歌为加强全世界网站私隐意识,大力推广所有网站都应为保护私隐,作出连线加密概念行动的一部分。

在新版Chrome浏览器,虽然作出了警告,但仍然会让你在未经加密连线传送相关资料,只不过,一年或两年后推出的Chrome浏览器,就有可能对网站加密政策进一步收紧,包括不再处理未经加密网站的连线,或只针对某些类型的网站容许资料不作加密。

问:其实谷歌为何会认为所有连线必须加密?谷歌除了在Chrome浏览器会逐渐采取加密政策,又有什么行动,去推广任何网络浏览通讯都要加密这个理念?

李建军:谷歌认为,只要网络通讯未经加密,就容易被政府或不法分子偷窃内容,这无论对用家的私隐或财产安全,甚至人身安全都构成威胁,因此谷歌提倡一如现代GSM电话的通讯一样,任何通讯内容,不论纯粹谈娱乐消息,还是传送信用卡密码一类敏感数据都一律加密,以策安全。

而现时,谷歌的搜寻网页以及YouTube都预设进入加密版本,为鼓励网站营运者对网站作出加密,谷歌在对搜寻结果作出排名时,会优先考虑已经作出加密安排的网站,而未经加密的网站就排较后位置。而加密与否对名次的重要性,谷歌将会按年递增,因此,不少需要吸引人流来赚取广告费的网站,已经纷纷加入加密功能,就算相关网站并不打算经营电子商贸,亦不会需要使用者输入任何信用卡资料,但为了争取在谷歌搜寻结果更高的排名,以吸引更多用户浏览,都不得不遵照谷歌的政策行事,购买电子证书替网站的所有传输内容进行加密。

问:既然加密系如斯重要,那有没有网站可以评估我连结的网站加密水平是否足够?

李建军:SSLLab有一个网站,只要你打入网址,就会评估网站所用的加密技术、兼容的浏览器,以及加密水平,并作出详细评级和报告,最好的网站,包括使用最新运算法和数码证书的,就会有A+级或A级,代表加密水平相当足够,难以攻破。这些我准备了视频,示范如何使用这个网站,评估中国国有银行的加密水平,欢迎各位听众浏览本台网站收看。

但要注意的是,有些网站只能取得A-或B+一类级别,例如银行的网站,并非相关机构不重视加密水平,而是为了兼容旧版IE,或旧版Android手机的浏览器,这些浏览器不支援新一代的运算法,所以在加密水平上有所缺失。银行需要兼容这些浏览器用家,会被迫对加密水平稍作牺牲。但无论如何,使用太旧版的Android浏览器或IE,都会对自己的资讯安全造成危险,为资料安全著想,应陆续停用IE以及最旧一代的Android手机,以策安全。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-sllabs-09092016075837.html?encoding=simplified

翻墙问答:新版Chrome浏览器将加装加密提示

视频:http://www.rfa.org/cantonese/video?v=1_9szg58dn

问:现时全世界大部分网站都是无对内容作出加密,而网站未有加密,浏览器一般亦不会作出警告。但谷歌打算由明年一月推出的Chrome浏览器开始,会对任何有可能处理密码、信用卡号码之类敏感资料,而未有作加密的网站作出警告,请问会是怎样?

李建军:由明年一月开始新推出的Chrome浏览器,当你访问的网站,会问你密码或信用卡资料,但未有作加密,或加密机制出现问题时,就会弹出警告视窗,提醒你未经加密网站处理密码之类敏感资料,并不安全,要求你考虑访问已经加密版本,或尽量考虑不在未经加密的网站传送敏感资料。这亦是谷歌为加强全世界网站私隐意识,大力推广所有网站都应为保护私隐,作出连线加密概念行动的一部分。

在新版Chrome浏览器,虽然作出了警告,但仍然会让你在未经加密连线传送相关资料,只不过,一年或两年后推出的Chrome浏览器,就有可能对网站加密政策进一步收紧,包括不再处理未经加密网站的连线,或只针对某些类型的网站容许资料不作加密。

问:其实谷歌为何会认为所有连线必须加密?谷歌除了在Chrome浏览器会逐渐采取加密政策,又有什么行动,去推广任何网络浏览通讯都要加密这个理念?

李建军:谷歌认为,只要网络通讯未经加密,就容易被政府或不法分子偷窃内容,这无论对用家的私隐或财产安全,甚至人身安全都构成威胁,因此谷歌提倡一如现代GSM电话的通讯一样,任何通讯内容,不论纯粹谈娱乐消息,还是传送信用卡密码一类敏感数据都一律加密,以策安全。

而现时,谷歌的搜寻网页以及YouTube都预设进入加密版本,为鼓励网站营运者对网站作出加密,谷歌在对搜寻结果作出排名时,会优先考虑已经作出加密安排的网站,而未经加密的网站就排较后位置。而加密与否对名次的重要性,谷歌将会按年递增,因此,不少需要吸引人流来赚取广告费的网站,已经纷纷加入加密功能,就算相关网站并不打算经营电子商贸,亦不会需要使用者输入任何信用卡资料,但为了争取在谷歌搜寻结果更高的排名,以吸引更多用户浏览,都不得不遵照谷歌的政策行事,购买电子证书替网站的所有传输内容进行加密。

问:既然加密系如斯重要,那有没有网站可以评估我连结的网站加密水平是否足够?

李建军:SSLLab有一个网站,只要你打入网址,就会评估网站所用的加密技术、兼容的浏览器,以及加密水平,并作出详细评级和报告,最好的网站,包括使用最新运算法和数码证书的,就会有A+级或A级,代表加密水平相当足够,难以攻破。这些我准备了视频,示范如何使用这个网站,评估中国国有银行的加密水平,欢迎各位听众浏览本台网站收看。

但要注意的是,有些网站只能取得A-或B+一类级别,例如银行的网站,并非相关机构不重视加密水平,而是为了兼容旧版IE,或旧版Android手机的浏览器,这些浏览器不支援新一代的运算法,所以在加密水平上有所缺失。银行需要兼容这些浏览器用家,会被迫对加密水平稍作牺牲。但无论如何,使用太旧版的Android浏览器或IE,都会对自己的资讯安全造成危险,为资料安全著想,应陆续停用IE以及最旧一代的Android手机,以策安全。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-sllabs-09092016075837.html?encoding=simplified

翻墙问答:Mac或iOS作业系统更新(视频)

视频:http://www.rfa.org/cantonese/video?v=1_szp46nvb

问:最近无论Mac还是iOS都出现重大保安漏洞,而这个保安漏洞很可能会危害不少异见人士安全,必须即时对Mac或iOS作业系统作出更新,到底这个保安漏洞到底有多危险,而更新了作业系统,又是否安全?

李建军:这次由开发赛风的多伦多大学公民实验,联同美国一间网络保安公司发现,以色列政府利用Safari的一个漏洞,可以在iOS和Mac植入间谍软件,监视阿拉伯社运人士的活动。苹果在接获有关报告后,先更新iOS到9.3.5版,再对Mac的10.11和10.10两个作业系统发出紧急更新。iOS用家可以用iTunes或系统内置的更新功能更新,而10.10和10.11就可以透过Mac App Store的更新功能更新,而系统亦会主动提醒用家更新。由于这保安漏洞用家并非一般黑客,而是政府,因此所有听众应立即更新,以策安全。

之所以Mac和iOS同时会出现危机,Mac和iOS虽然中央处理器的硬件上截然不同,但很多核心技术和代码都是一样的。而这次受聘于个别国家政府的科技公司,偏偏以两个作业系统的共同核心技术作为攻击目标。因此,Mac和iOS都同时出现问题。而苹果公司已经针对这个漏洞作出作业系统更新,暂时未收到任何有被再一个黑客技术入侵的报告。

问:那在Mac,又如何透过App Store去更新作业系统?李建军:Mac与iOS最大不同的地方,iOS在系统设定上更新作业系统,或透过iTunes去更新作业系统,但Mac的作业系统更新部分,却在App Store之内,在App Store有专门按钮,只要你同意要重新启动电脑更新作业系统,就会展开更新作业系统程序。

这次翻墙问答,有视频示范如何更新作业系统,欢迎听众浏览本台网站收看。

问:不少网民都有翻墙使用Dropbox的云端服务,只不过,Dropbox最近都传出有大规模的保安事件,有大批用户的资料库流出,其中包括了用户的密码,会引发极大的保安风险,请问能否介绍一下?李建军:Dropbox最近有六千八百万用户的密码流出,这批密码主要是2012年保安事故所流出的密码,如果在2012年后有更新密码,应不受事件影响。但如果你在2012年前登记Dropbox,而一直都未有更新密码的话,就应尽快更新密码,特别你有使用Dropbox的收费服务的话,就更需要更新密码,否则的信用卡资料就可能会外流。

问:最近中国的数码证书签署者又发现有问题,有部分沃通所签发的数码证书发现有问题,请问能否介绍一下?如果遇上用沃通签署的数码证书,又应抱持什么态度?

李建军:最近有人发现,纵使个别人士向沃通申请个别附属网域的数码证书,但沃通竟然签出适用同一网域所有附属网域的数码证书,而未核证过对方是否真的拥有其他附属网域的控制权,GitHub以及美国一间大学因此受影响。这个保安漏洞最大问题在于,黑客会先申请个别网站的附属网域,然后利用沃通的证书进行中间人攻击,拦截其他网域的通讯,这种数据偷窃行为是黑客常用手段,相当危险。

因此,沃通所签出的数码证书,应该一如看待CNNIC的数码证书一样,视为不安全的数码证书,不信任由沃通所签的数码证书。如果你打算申请网站数码证书的话,海外有其他更实惠的证书签发公司,不必冒保安风险使用由中国公司发出的证书,连中国的国有银行都用美国公司所签证书,反映中国的证书认受性之低。

原文:http://www.rfa.org/cantonese/firewall_features/osxbug-09022016094246.html?encoding=simplified

翻墙问答:新插件不用翻墙可浏览维基百科(视频)

视频:http://www.rfa.org/cantonese/video?v=1_20vn0jz8

问:现时不少人都想用简单方法,查阅中文维基百科的资料,最近有一个新的Mozilla插件,可以很容易浏览维基百科的资料,而不用执行特定的翻墙软件,请问能否介绍一下?

李建军:虽然现时有很多Firefox或Chrome插件可以帮助翻墙,但实际上,如果在网咖,或在公用电脑上,安装翻墙软件或VPN都不方便时,但这另类插件往往很有用,因为这类插件并不涉及任何作业系统管理员权限,而且可以按当时的需要安装需要的插件,亦不需要理会电脑用什么作业系统,就算使用Linux或Mac都不怕。像上次介绍的No More 404s,主要针对被当局删去的东西。而这次介绍的维基百科中文专用插件,主要针对需要翻墙维基百科,或参与维基百科中文编辑的情况。

这次翻墙问答,我准备了示范视频,示范如何安装并使用维基百科中文的Mozilla插件,欢迎听众本台网站收看。只不过要注意的是,这个插件只适用于桌面电脑版本的Mozilla Firefox,并不适合用于手机或平板电脑上的Mozilla Firefox,因为手机和平板电脑的Firefox并不提供插件安装功能。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-wikipedia-08262016093308.html?encoding=simplified

翻墙问答:新开发ZeroNet网络对翻墙有帮助

问:最近有人开始开发所谓去中心化的互联网,并根据这个理念,开发了名为ZeroNet的网络,这是什么来的?而暂时而言,对翻墙有没有帮助或作用?

李建军:所谓的ZeroNet网络,就是利用BitTorrent和Bitcoin两种技术的去中心化理念所建构的去中心化互联网。以往要浏览一个网站,就必须要在指定主机取得想要的资料,但现时在P2P理念加持之下,你浏览一个网站,资料往往是来自四面八方不同的朋友。换言之,当局要封杀个别网站变得不可行,因为用户正存取不同的资料碎片。一如直至现时为止,BitTorrent仍是在不用翻墙情况下,最有效传送被封资多媒体资料的方法。

但现时ZeroNet仍然是初步发展阶段,虽然现时已经有相对成熟的源程式,并且可以搭配作业系统内置的浏览器运作。只不过,ZeroNet上的内容仍然相当少,中文的内容亦相当缺乏,在用户介面方面,亦有相当多需要改善的地方。只不过,类似ZeroNet的去中心化技术,仍然会是未来反网络封锁的发展大趋势,亦相信在可见的将来,会有中文版本的ZeroNet内容出现,令中国用户可以看到更多资讯。

问:那ZeroNet可以与主流的浏览器搭配使用,那可不可以与其他翻墙技术搭配使用,提高翻墙成功率,以及减少被当局跟踪的机会?

李建军:现时ZeroNet在设计上,已经可以做到可以配合Tor一同使用,换言之,在Tor在ZeroNet双重配合下,翻墙成功率大增,而当局亦不容易知道你到底把那些资料传给指定人物。

但VPN或其他翻墙技术能否配合ZeroNet使用就有待观察,如果你的VPN或翻墙软件可以成功连接BitTorrent档案分享的话,那你用ZeroNet都不会有问题,因为ZeroNet的本质就是一个去中心化的P2P网络,P2P能做得到的事,ZeroNet都可以做到。如果你的VPN或翻墙软件,容许你连接Tor,都可以连接ZeroNet,因为你可以透过Tor连接ZeroNet。但如果你的VPN不容忍Tor或P2P的连接的话,那你就用不了ZeroNet,因为你的VPN或翻墙软件,只容许你透过特定埠口连接互联网,令你的电脑无法连接P2P网络,实际上亦意味著你无法使用ZeroNet,而现时有部分VPN供应商为防止用家利用P2P分享档案,导致流量大增,故意阻截所有非标准埠口的通讯,这当然亦包括了技术理念相类似的ZeroNet。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-zeronet-08262016093112.html?encoding=simplified

翻墙问答:Firefox推出另类翻墙新技术(视频)

翻墙问答:Firefox推出另类翻墙新技术 (资料图片)

翻墙问答:Firefox推出另类翻墙新技术 (资料图片)

视频:http://www.rfa.org/cantonese/video?v=1_4moh72bk

问:Firefox最近推出一项叫「No More 404s」的测试计划,当网页出现404时,Firefox会尝试提供由Wayback Machine提供的镜像版本,这对中国网络封锁有什么影响?

林乐同:一直以来,中国当局对个别被封锁的网页,都会故意在代理主机加入404转向,令用户误以为有关网页已经被删除或不存在,而不知道受到中国当局的封锁。

而 Mozilla机构在Firefox实验的No more 404s功能,会在收到代理主机的404讯息后,随时在Wayback Machine上找回网页的最新镜像,只要网页拥有人没有阻止Wayback Machine保留镜像,就可以看到。如果相关网站不涉及一些会引发断线的关键字,而中国当局亦没有封锁Wayback Machine的话,中国的网络封锁就会因新技术而破功。因此,这个新技术,被不少中国网络封锁研究人员视为新希望。
不过,由于中国当局很可能很快知道Firefox的意图,因此,有可能很快就会封锁Wayback Machine的网站,亦因此,新技术并不能够完全取代翻墙软件或VPN,但肯定提供了一个相当简便的翻墙方法。

另一方面,由于No More 404s的威力在于镜像功能,因此有部分中国当局故意删除的内容,例如较早前《人民网》上出现的赵紫阳讲话文件,可以透过这个功能来翻阅。这个插件在针对 中国当局故意在官方网站上删文件的情况尤其有用,而中国当局删文件的行为,本身就是另一种网络封锁。而现时Wayback Machine,都有存档不少中国的主要热门网站,就算中国当局如何删除内容,都无法删除在Wayback Machine主机上存档的内容。

问:那要使用No More 404s,要用什么软件,又要如何安装?

林乐同:No More 404s是用于Firefox桌面版上的插件,只要你安装了Firefox浏览器的Windows、Mac或Linux最近版本,再翻墙浏览 testpilot.firefox.com,下载No More 404s的插件,启动相关功能,就可以享受No More 404s的好处。在这集翻墙问答,我已经准备好视频,示范如何安装No More 404s的插件,欢迎各位浏览本台网站收看。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-nomore404s-08192016075603.html?encoding=simplified

翻墙问答:Ghostpost在Google Play Store找不到?

问:在上集翻墙问答,提及Ghostpost,为何在Google Play Store找不到?

林乐同:Ghostpost是一个Chrome的插件,谷歌在专为Chrome插件而设的商店,你会找到Ghostpost,但并非为Android手机软件而设的Google Play Store。当使用与Chrome搭配的翻墙技术前,记得浏览Chrome的商店,而并非Google Play Store,这是很多听众很容易混淆。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-ghostpost-08192016075234.html?encoding=simplified

翻墙问答:哪种浏览器的支援插件技术最好?

问:现时越来越多翻墙技术或软件,都是以浏览器插件形式运作。那听众应选择那一种浏览器,可以享受到更多插件的好处?

林乐同:虽然Safari、Chrome和Firefox都支援插件技术,而Safari和Chrome的核心引擎,更是相同的。但实际上,三款浏览器的插件都互不相通,Chrome和Firefox的插件技术由于历史比较长,再加上Chrome和Firefox的插件都对开放源码群体友善,不像Safari只限在Mac平台上执行,而且很大程度上受制于苹果公司的技术限制。因此,要享受不同浏览器插件在翻墙上的好处,就必须要安装Chrome和Firefox两款浏览器。

另一方面,由于Chrome和Firefox浏览器的插件主要支援桌面版,而平板电脑和手机在作业系统设计上,亦不容许用家安装插件,因此,要用得到浏览器插件形式出现的翻墙软件,就必须保留一部手提电脑或桌面电脑,并不适合打算全面改用平板电脑和智能手机的听众。而在作业系统上,现时浏览器插件在作业系统上都没有太大的限制,因此无论在Mac、Linux还是Windows,你都可以享受同样的好处,并不用为了迁就浏览器的翻墙插件,而改用特定的作业系统。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-plugin-08192016075055.html?encoding=simplified

翻墙问答:大批Android手机有保安漏洞

问:最近有一大批手机,包括不少顶尖型号的Android手机,被发现中央处理器晶片出现保安漏洞,令黑客有可能有机可乘,在神不知鬼不觉情况下,偷走用户手机资料。请问这漏洞是怎样?对用户有多大风险?能否透过软件来解决?

李建军:高通一系列LTE技术的中央处理器晶片的Android驱动程式部分,由于有保安漏洞,如果用家安装了不明来历的应用程式,有可能被黑客骑劫整部手机,为所欲为。而受影响的手机,包括了三星、索尼、谷歌等大厂在2015年推出的顶尖型号手机,受影响手机数目,达九亿部或以上。

现时这项保安漏洞,其中三项已经在最新的Android作业系统中得到修补,只要更新手机作业系统就问题不大。剩下一项保安漏洞,暂时只有采用标准Android作业系统版本谷歌Nexus系列手机已经全面修补漏洞,只要使用最新版作业系统就不受影响。其他牌子的Android手机,由于有不同程度上的客制化,所以必须要制造商提供最新的作业系统软件,才能够修补漏洞。但可以肯定这项漏洞,并不需要更换手机来解决。

而在制造商未推出最新版作业系统前,就不要安装任何不明来历软件,特别并非来自官方Google Play Store的软件,虽然暂时未发现有任何软件利用这个保安漏洞,但这个保安漏洞既然已经公诸于世,就肯定会有黑客在这个漏洞上动脑筋,并开发一些有问题软件。

原文:http://www.rfa.org/cantonese/firewall_features/ghostpost2-08122016082315.html?encoding=simplified

翻墙问答:新软件GhostPost可以看到被删微博(视频)

翻墙问答:新软件GhostPost可以看到被删微博 (资料图片)

视频:http://www.rfa.org/cantonese/video?v=1_ebq71xml

问:新浪微博经常因自我审查,或当局要求而删除帖文,但最近有一只免费软件,可以让你看到已经被新浪微博删除的帖子,请问能否介绍一下?

李建军:美国伊利诺州大学最近开发了新浪微博的Chrome插件,名叫GhostPost,只要安装了相关插件,并注册为GhostPost会员,就可以在浏览新浪微博时,在新浪微博主机不知情情况下,看到被新浪微博删除的帖子。

由于GhostPost是基于Chrome下运作的插件,因此,必须利用Chrome来浏览新浪微博,而Chrome的作业系统,可以是Windows、Mac或Linux。由于GhostPost浏览时,可以涉及连接海外主机,以及内容当中可能包括防火长城的敏感字,因此,我们建议在安装、注册和使用GhostPost时都要翻墙,虽然有可能影响你浏览新浪微博的速度,但为了看到被新浪微博删除了的帖子,这是相当值得的做法。

这次翻墙问答准备了视频,示范如何安装、注册和使用GhostPost,欢迎各位听众浏览本台网站收看。

问:那在GhostPost可以看到的微博删帖,主要会有什么内容?为什么这软件会有价值?

李建军:新浪微博的删帖内容五花八门,只不过,有不少删帖会涉及维权事件的最新报道,不少官民冲突,都是维权民众先在新浪微博上发表和曝光,再经过部分人转贴后,官方认为需要封锁消息而被删除。这软件,对突破官方新闻封锁,是有相当的价值。

而Ghostpost系统,可以非常迅速取得微博未审查前的数据版本,因此,就算新浪方面在帖子发表后两小时删除帖子,系统仍然能够将帖子内容妥善在海外保存,并透过Ghostpost软件,让用家可以阅读帖子的完整内容。但对新浪微软以关键字系统自动删除或禁止发表的帖子,Ghostpost就未必能及时取得内容并保存,因此,Ghostpost对维权事件爆发初期的消息流通的贡献相当大,但爆发一段时间后,就有可能因关键字审查机制生效,而未必能够有效将帖子内容保存,这是听众必须注意。

原文:http://www.rfa.org/cantonese/firewall_features/ghostpost1-08122016081812.html?encoding=simplified

安卓版: 无界一点通4.0a测试版(2016年11月9日)

无界一点通4.0a测试版, 做了以下改进,请帮忙测试并反馈:

允许用户在下载新版时自定义包名和应用名(见“菜单/工具/检测下载新版”)。使用自定义的包名可以在被强删的环境中安装使用。建议在目前没有被强删的设备上下载安装一份自定义的作备份。

http://wujieliulan.com/download/um4.0a.apk

sha256: 125c22715df3f454e34baeb7f5ac9bab28fb4e947e4a9a7872cac5173bfdc4af
md5:3623ac22c92dba0fad89b4c4d7ec0c3a

谢谢!

—————–

“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”测试版:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。

3。详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

4。 注: 如果在VPN模式下使用其他浏览器(而不是无界一点通自带的浏览器),请使用其浏览器的“隐私模式”, 或退出无界一点通之后,请将浏览器的历史记录清除,否则在没有VPN的情况下无意中点击了这些历史记录,会有安全隐患。

原文:http://forums.internetfreedom.org/index.php?topic=21761.0

Shadowsocks for视窗版客户端(v3.3.5)

  • Improve system power mode handling
  • Update mbed TLS to 2.4.0
  • Check .NET Framework version on startup

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 845824 Bytes
  • MD5: 325B420011F8CF403870C2DF0FCB39A8
  • SHA1: 6FD561D1D7D4F769FD46E86CE6917B10BE219FA1

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/3.3.5

Lantern 3.35版

🔴蓝灯最新版本下载地址请点这里🔴

最新版本是3.3.x

Windows 版本(要求XP SP3以上) 备用地址

安卓版(要求4.1以上) 备用地址 Google Play下载 请勿使用UC浏览器点击下载,会被替换成假的有广告的版本

其他系统下载

请大家收藏本页面,方便日后下载新版。

蓝灯官方论坛

论坛帖子页面请点这里进入,或者点击左上方的Issues进入。

你可以在右上角“sign up” 注册账号。 通过邮件验证后,请点击 https://github.com/getlantern/forum 回到论坛。

在论坛内,可用右上角使用“New issue” 发新帖,或者在帖内使用“Comment”回复。

版规

本论坛可进行关于蓝灯(Lantern)翻墙软件的讨论。🔴提问前,请先阅读蓝灯精华帖。🔴因为版面有限,请不要重复发帖,也请不要在开新帖发表邀请码。邀请码请发表到汇总贴或其他论坛。 禁止广告帖,包括非官方的讨论群。禁止刷版,人身攻击等恶劣行为。 关于蓝灯的问题,请上传log。

原文:https://github.com/getlantern/forum#蓝灯lantern最新版本下载

Shadowsocks for视窗版客户端(v3.3.4)

  • Fix IE dial-up and VPN connection proxy settings not changed since release 3.3.3.
  • Fix a UI bug.
  • Please note that this version requires .NET Framework 4.6 or later.

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 844800 Bytes
  • MD5: C37F54628B241EB3F330AF387D177C04
  • SHA1: 16DAB82668F814C4BA73EC4FCE37D253B046B0E3

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases

PC版的绿色爱博电视-iPPOTV Ver.12(0944C) 发布日期:2016年09月01日

绿色版爱博电视 Ver.12(0944c)主要对安装程序做了改进,安装软件即便是在光 盘上依然可以双击和安装。0944c还可以分辨不同网络状态,有利于更流畅播放。

0944c与0944b是兼容的,如果用户能正常使用0944b就不必升级至0944c, 0944b也 不会自动升级至0944c。

与0944b类似,0944c也有可能被误报为病毒。目前最有效的解决办法是我们直接与 杀病毒软件商家联系,要求他们测试我们的软件。也请大家及时反馈软件被误报为 病毒的情况。相关帖子请发到如下网页: viewtopic.php?f=75&t=196825

爱博电视是绿色软件,用户下载软件后,双击文件,会出现类似安装的对话窗,这 是为了解压缩,让用户选择语言设置,接受协议,和建立桌面图标。并非安装。 用户也可以把iPPOTV文件夹拷贝到USB Pen Drive上随身携带。使用时只需将USB Pen Drive插在任何一个Windows电脑上,然后双击“iPPOTV.exe”文件就可以打开爱 博电视了。

爱博电视在中国大陆,使用的人越多,突破封锁效果越好,请大家广传爱博电视, 共同突破网路封锁。

如果拿不到频道列表,而又不是防火墙设置问题,请用海外邮箱,给 ippotv.abcd@gmail.com发一封电子邮件,主题为abcd, 以获得新的结点文件。 由于封锁严重,有时会出现点击频道列表没有反应的情况,此时可以试一试播放 不同的频道,如果都没有反应,请关闭 iPPOTV等十几分钟后再打开。

需要最新版本的爱博电视软件,可通过动态网、无界等翻墙软件登录爱博电视网站 http://www.starp2p.com下载;或发封电子邮件给ippotv2011@gmail.com,主题为1234,十分钟左右即可收到回复。 如有技术问题,可发邮件给: support@starp2p.com

iPPOTV Ver.12(0944c)下载:

http://www.starp2p.com/download/GreeniPPOTV_Setup_Ver12Build944C.exe
or
http://www.starp2p.com/download/Green_iPPOTV.exe

MD5:dc15f28572c83bc5aa998a6e54c80ee7
SHA1:8ee9e41d77cc38f707652def55e161d649ca1ef5

原文:http://forums.internetfreedom.org/index.php?topic=21656.msg75298#msg75298

无界火狐扩展测试版0.2d (2016年9月1日)

更新内容:
1. 启动时自动关闭WebRTC, Java, Flash, SilverLight (Windows) 以避免泄露IP。关闭时自动恢复原来的设置。

最近更新内容:
1. 修复了有时掉线的问题(更换服务器时还是会掉线,这是正常的)
2. 修复了SSL警告 (请测试)

请将旧版卸载再安装新版以免有冲突。

自带破网功能,无需运行其他破网软件,支持Windows, Mac, Linux, 32/64 (不需要再运行wine).

安装: 可以用火狐直接下载安装,点击“允许”。如火狐禁止下载,可用其他浏览器下载后用鼠标拉到火狐浏览器,点击“安装”。

使用:点击火狐右上角的无界图标,点击开关即可开启或关闭。 连接成功后,无界图标变成彩色。

http://wujieliulan.com/download/uf002d.xpi
SHA1: b54e59b1f86eb0cce2580d629b948fe55f5e6fd8
MD5: b7d9b12b6a75905f9317326ee976239a

原文:http://forums.internetfreedom.org/index.php?topic=21650.0

Linux VPN 测试版 16.04e (2016年8月31日)

更新内容:
1. 启动VPN模式时自动关闭火狐浏览器,并关闭WebRTC, 以避免在不用私有IP时泄露IP。
2. VPN模式关闭时自动关闭火狐浏览器,同时回复WebRTC设定。

最近更新内容:
1. 增加了“VPN 安全模式”
2. 修复了有时掉线的问题(更换服务器时还是会掉线,这是正常的)
3. 修复了SSL警告 (请测试)
4. 加速https连接
5. VPN模式下显示监听地址。

请大家测试并反馈:
http://wujieliulan.com/download/u1604e
SHA1: e67a4050a6a72992bcb3f60b47a4082f0d9518ff
MD5: 685d481579cb3cde6fd25b3b20b41a9b

使用方法:
下载后在下载的文件夹右键打开一个终端,在终端执行:chmod +x u1604e,然后执行:./u1604e, 终端出现以下信息:
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
Connecting … (正在连接)
CONNECTED (连接成功)
需要手动设置浏览器代理。

如需要监听 0.0.0.0,在终端执行: ./u1604e -L :9666
如需要通过代理, 执行: ./u1604e -P 1.2.3.4:8080 或 ./u1604e -P socks://1.2.3.4:1080

运行VPN模式,需要root或sudo, 执行:sudo ./u1604e -M vpn, 输入密码, 终端出现以下信息 (顺序可能不同):
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
VPN MODE (VPN模式)

如需要在VPN下分享:sudo ./u1604e -M vpn -L :9666
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 0.0.0.0:9666 (监听 0.0.0.0:9666 )
VPN MODE (VPN模式)

在VPN模式下不需要设置代理,整机都通过无界加密翻墙,不会出现直连。我们还是建议设置代理以避免退出无界后直连,这样更安全。建议使用浏览器的“隐私模式”,这样不会留下历史纪录。退出无界前,最好关闭所有浏览器,以免退出后直连敏感网站。

VPN 安全模式:
为了确保安全,新增了VPN 安全模式: sudo ./u1604e -M vpn -S safe
终端出现以下信息 (顺序可能不同):
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
VPN SAFE MODE (VPN 安全模式)

一旦运行了 VPN 安全模式,电脑一直处于网络隔离状态,即使关闭了无界,也无法联网。这样消除了所有泄露IP的隐患,以确保安全。不过还是建议设置无界代理,进一步增加安全性,即使恢复到非网络隔离状态也不会泄露IP。也建议使用浏览器的“隐私模式”,最好使用定制版的浏览器,以避免留下历史纪录。

需要重新启动电脑才能恢复到非网络隔离状态。

原文:http://forums.internetfreedom.org/index.php?topic=21649.0

无界火狐扩展测试版0.2c (2016年8月25日)

更新内容:
修复了更换服务器·时可能出现的SSL超长警告 (请测试)。

请将旧版卸载再安装新版以免有冲突。

自带破网功能,无需运行其他破网软件,支持Windows, Mac, Linux, 32/64 (不需要再运行wine).

安装: 可以用火狐直接下载安装,点击“允许”。如火狐禁止下载,可用其他浏览器下载后用鼠标拉到火狐浏览器,点击“安装”。

使用:点击火狐右上角的无界图标,点击开关即可开启或关闭。 连接成功后,无界图标变成彩色。

http://wujieliulan.com/download/uf002c.xpi
SHA1: cc7a4581e2c039b51836a82b96215bd7b8528b02
MD5: b3b8a96bda281b5a8f0566000c8b69ee

原文:http://forums.internetfreedom.org/index.php?topic=21637.0

无界英文手机测试版 1.0.2 (2016年8月24日)

封锁严重时,主要是针对中文版,英文版可能不是封锁重点,所以把英文安卓手机版提供給大家,以便在封锁严重时备用。正常情况下,可以继续使用无界一点通或动态手机版。

http://wujieliulan.com/download/ua102.apk
SHA1: ce4ef2badf9f637d810fbe9bd76c2de6f2e76213
MD5: 3a1b54ac7301a36c25f21bac3d602b53

如能连上谷歌应用商店,可以搜索“ultrasurf vpn”, 或用以下链接:
play.google.com/store/apps/details?id=us.ultrasurf.mobile.ultrasurf

安装与无界一点通类似:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的ua102.apk文件拷贝到手机SD卡(或内置SD卡)上。在安卓手机上点击ua102.apk文件便可安装.

功能与使用:

1. 只支持安卓4.0以上。
2. 只支持整机VPN模式, 不支持代理模式。
3. 开启后,轻触或滑动开关,显示“Connecting …”,同时时上面会出现一个小钥匙和闪动的无界图标,表示正在连接。
4. 连接成功后无界图标停止闪动,显示“Connected”(连接成功)。此时您可以使用任何浏览器或app,都在无界加密保护下。
5. 使用时,只要无界图标和小钥匙都在,就在在无界加密保护下。
6. 如果要停止使用,轻触或滑动开关即可。关闭后,无界图标和小钥匙会消失,这时手机直接联网,不在无界加密保护下。
7. 在某些安卓版本的主机上,升级或重新安装后需要重启手机,这时会显示“Android Bug!” ,请要重启手机再运行无界。
8. 在3G/4G下使用,系统会显示无界耗电量比较大,这是因为在无界VPN下所有应用程序(app)都用过无界加密并驱动无线信号,整机耗电量不会增加很多。

注意事项:
1. 建议使用浏览器的“隐私模式”浏览敏感网站,这样不会留下历史纪录。
2. 如果浏览器不支持“隐私模式”,请手动清除所有历史纪录,或使用清除所有历史纪录的工具。
3. 为安全起见,建议关闭所有浏览器和其他app,再关闭无界,以免直连敏感网站。也可以直接重启手机, 这样最安全。

请大家测试并反馈, 谢谢

原文:http://forums.internetfreedom.org/index.php?topic=21633.0

无界浏览 Linux VPN 测试版 16.04c (2016年8月24日)

更新内容:
1. 修复了http不设置代理无法联网的问题 (还是建议设置代理以避免退出无界后直连)
2. 修复了SSL警告
3. 加速https连接
4. VPN模式下显示监听地址。

请大家测试并反馈:
http://wujieliulan.com/download/u1604c
SHA1: 0e47c835ad40d4dde484926abc94462b4eba8c6d
MD5: e11f030c449df106a8c3be7ee7056dad

使用方法:
下载后在下载的文件夹右键打开一个终端,在终端执行:chmod +x u1604c,然后执行:./u1604c, 终端出现以下信息:
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
Connecting … (正在连接)
CONNECTED (连接成功)
需要手动设置浏览器代理。

如需要监听 0.0.0.0,在终端执行: ./u1604c-L :9666
如需要通过代理, 执行: ./u1604c -P 1.2.3.4:8080 或 ./u1604c -P socks://1.2.3.4:1080

运行VPN模式,需要root或sudo, 执行:sudo ./u1604c -M vpn, 输入密码, 终端出现以下信息:
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 127.0.0.1:9666 (监听 127.0.0.1:9666 )
VPN MODE (VPN模式)

如需要在VPN下分享:sudo ./u1604c -M vpn -L :9666
Connecting … (正在连接)
CONNECTED (连接成功)
LISTENING 0.0.0.0:9666 (监听 0.0.0.0:9666 )
VPN MODE (VPN模式)

在VPN模式下不需要设置代理,整机都通过无界加密翻墙,不会出现直连。我们还是建议设置代理以避免退出无界后直连,这样更安全。建议使用浏览器的“隐私模式”,这样不会留下历史纪录。退出无界前,最好关闭所有浏览器,以免退出后直连敏感网站。

原文:http://forums.internetfreedom.org/index.php?topic=21634.0

使用ShadowSocks科学上网及突破公司内网

什么是ShadowSocks

ShadowSocks是基于Socks5协议,使用类似SSH隧道的方式收发网络请求的一款开源软件,该软件由 @clowwindy 开发,最初只有Python版本,随后出现C++、C#、Go等多语言版本。ShadowSocks最大的特点是可以保护网络流量、加密数据传输,可有效防止GFW(Great Firewall of China)封杀网络请求。

用ShadowSocks科学上网的概念

在以前,我们访问互联网的资源都是简单而直接的,用户的请求发送到资源服务方,比如Google、Facebook等,然后资源服务方直接将内容响应给用户,世界多么美好。

但是,在1998年时候,中国创建了互联网边界审查系统,称之为中国国家防火墙(GFW),这堵墙横在了用户和互联网资源服务方之间,用于监控和过滤互联网国际出口上的内容,监控国际网关的通讯,对认为不匹配国家官方要求的传输内容,进行干扰、阻断、屏蔽。

从此之后好多有价值的网站就被堵在了墙后。

但是由于对知识的渴望,人们想到了绕过GFW的办法,那就是在境外搭建一个国内用户的代理,国内用户与代理之间建立加密的通道,由境外代理请求被墙的网络资源,再通过加密通道返回给国内用户。代理的类型也有多种,像HTTP、Socks、VPN、SSH等。以SSH隧道为例:

因为SSH本身基于RSA加密技术,所以GFW就无法对数据传输过程加密的数据进行分析,从而避免被重置链接、阻断、屏蔽等问题。

但是GFW也不会懵B一世,人家也会学习,由于在创建SSH隧道的过程中有较为明显的特性,所以GFW还是可以通过分析连接的特性进行干扰。此时ShadowSocks横空出世,先看看图示:

简单来说,ShadowSocks分为客户端和服务端,用户发出的请求基于Socks5协议与ShadowSocks客户端进行通信,一般情况下SS客户端都在本机,通过ShadowSocksX、GoAgentX等应用启动,所以这一步是不会经过GFW的,然后ShadowSocks提供了多种加密方式供客户端和服务端之间进行通信,并且在经过GFW时是普通的TCP协议数据包,没有明显的特征,而且GFW也无法解密分析,从而实现绕墙访问资源。

搭建ShadowSocks服务器

根据上文描述的ShadowSocks的实现原理,我们首先需要搭建一个境外的ShadowSocks服务器,这部分也是唯一需要我们花点小钱的地方。

以下文章内容均在MacOS下实践。

购买VPS

我使用的是Vultr的VPS,他家的VPS可选的地域较为丰富,而且有日本东京,这对于家里是联通网络的比较亲和,速度较好:

Server Location


在系统和应用方面Vultr提供的种类也比较丰富:

Server Type


 

Application


在价格方面,Vultr提供的最低价格为每月5美元,对应的性能足够满足ShadowSocks服务端的需求:

Server Price


注册Vultr账号,绑定信用卡,选择自己中意的系统和价格后立即就会为你部署好VPS:

当VPS的状态为Running后,就表示VPS已经启动了,然后为该VPS配置我们的SSH公钥:

大家可以看看北京联通ping东京VPS的速度,还是很给力的:

使用该链接注册可获得20美元的优惠卷。

安装ShadowSocks

我们使用Python版的ShadowSocks进行安装,首先需要下载pip-8.1.2.tar.gz,然后使用工具将其上传至VPS,我使用的是Commander One,通过SFTP连接VPS:

使用Terminal连接VPS,一步一步输入以下命令解压安装pip:

tar -xzvf pip-8.1.2.tar.gz
cd pip-8.1.2
python setup.py install

然后通过pip安装ShadowSocks:

pip install shadowsocks

成功后可以看到如下信息:

Collecting shadowsocks
  Downloading shadowsocks-2.8.2.tar.gz
Installing collected packages: shadowsocks
  Running setup.py install for shadowsocks ... done
Successfully installed shadowsocks-2.8.2

配置ShadowSocks

进入到etc目录下,创建shadowsocks.json文件,并添加如下内容:

{
    "server":"你的VPS的IP",
    "server_port":8388,
    "local_port":1080,
    "password":"设置一个连接密码",
    "timeout":600,
    "method":"aes-256-cfb",
    "auth": true
}

该文件就是ShadowSocks的配置文件。
然后输入如下命令启动ShadowSocks服务:

ssserver -c /etc/shadowsocks.json -d start

最后清空防火墙规则:

iptables -F

至此ShadowSocks服务端就配置完成并可以使用了。

ShadowSocks客户端

Mac上ShadowSocks客户端的选择无非就是ShadowSocksX、GoAgentX、Surge这三个,前两者配置起来都大同小异,ShadowSocksX本身就是专门开启SS客户端服务的应用:

GoAgentX提供的服务类型更多,包括SS服务:

配置项都是一样的,把ShadowSocks服务端的配置信息一一对应就可以了。

Surge启SS服务的方式有点不同,因为应用在界面操作上没有提供创建SS服务的选项,但其实它是支持SS服务的,可能因为怕被请喝茶吧。所以需要在Surge的配置文件里添加SS服务相关的信息,如何配置网上有很多,这里就不再累赘了。

至此就打通了ShadowSocks客户端与服务端的通道,可以畅游墙外的世界了。

突破公司内网

一般情况在家我们在本机启着ShadowSocks客户端就可以了,但是如果在公司上外网需要走HTTP代理的话就不行了,因为ShadowSocks客户端需要走公司提供的代理才能连接到服务端,而上文中的客户端应用统统不支持额外代理功能,所以此时就需要用到另外一个工具Proxifier,该工具的作用就是接管运行中的所有应用发出的所有请求,然后通过代理进行转发,这样就可以让不支持代理的应用也可以走代理了。

打开Proxifier,选择Proxies选项卡设置公司的HTTP代理以及本地Socks5代理:


然后启动ShadowSocks客户端,比如启动GoAgentX,此时选择Proxifier的Rules选项卡,就会发现Proxifier自动捕获到了名为ss-local的应用,就是由GoAgentX开启的SS客户端,将其的代理规则设置为之前创建好的公司代理:

然后将Default的代理规则设置为之前创建好的本地Socks5代理:

这样就可以让ShadowSocks客户端通过公司代理连接服务端了:

你还可以设置其他的规则,让特定的应用走特定的代理,比如我让Git还是走了公司代理,这样Git服务就会从Default规则里剔除掉,相当于加了走SS服务的例外。

原文:http://www.devtalking.com/articles/shadowsocks-guide/

Hyper:无预付 免费20美元(用邀请链接为30美元)的类Docker 可搭建 shadowsocks | vps博士

注册

www.hyper.sh

直接到官网注册送20$。

使用邀请链接注册送30$

邀请链接: https://console.hyper.sh/register/invite/RnwKL02PKeF87ebQ4Y3nsaP2wrzKKgTa

注册成功后,请到:https://console.hyper.sh/billing 查看赠送的美元。

22

价格

容器价格:

Size CPU Core Mem Disk Network Per Second Per Hour Monthly
S1 1 64MB 10GB FREE $0.0000004 $0.00144 $1.03
S2 1 128MB 10GB FREE $0.0000006 $0.00216 $1.55
S3 1 256MB 10GB FREE $0.000001 $0.0036 $2.59
S4 1 512MB 10GB FREE $0.000002 $0.0072 $5.18
M1 1 1GB 10GB FREE $0.000004 $0.0144 $10.36
M2 2 2GB 10GB FREE $0.000008 $0.0288 $20.73
M3 2 4GB 10GB FREE $0.000015 $0.054 $38.88
L1 4 4GB 10GB FREE $0.00003 $0.108 $77.76
L2 4 8GB 10GB FREE $0.00006 $0.216 $155.52
L3 8 16GB 10GB FREE $0.00012 $0.432 $311.04

外网IP价格:

$1/IP/month

自己算一下 那30美刀 能用多久!!!

详细说明: https://hyper.sh/pricing.html

必备

  1. 有一个Linux系统。可以是VPS, 也可以是自己电脑安装虚拟机装一个Linux。如果你有MAC,那就更OK了。
  2. 注册账号,见上面。

PS: 没有Linux系统,也没有mac怎么办?

谢谢朋友提醒使用WebIDE  :

IDE地址: https://ide.coding.net/ws/?ownerName=duwan&projectName=WordPress&isTry=true

该IDE使用可参考历史文章:http://www.vpsdr.com/2016/08/14/using-shadowsocks-getcarina-set-free/

配置步骤和下面的是一样的。大家快去撸吧!!!

static-res.ruyo.net/wp-content/uploads/2016/08/998-300×208.png 300w, static-res.ruyo.net/wp-content/uploads/2016/08/998-768×533.png 768w” alt=”998″ width=”787″ height=”546″ class=”” style=””>

步骤

激活密钥

首先,登录账号。将自己的Key和密钥 激活!

https://console.hyper.sh/account/credential

33 44

安装环境

目前只支持Linux 和 MAC OS。

本次演示使用的是Linux Centos6 系统。

安装CLI环境

Linux

国外VPS可用下面的命令。

 

wget https://hyper-install.s3.amazonaws.com/hyper-linux-x86_64.tar.gz

tar xzf hyperlinuxx86_64.tar.gz

chmod +x hyper

./hyper

原文:http://www.chinagfw.org/2016/08/hyper-2030-docker-shadowsocks.html

V2Ray 一周年记 & V2Ray 完全使用教程

V2Ray 用户手册

欢迎使用 V2Ray 来连接世界的另一端。
  • 语言: Chinese English
  • 下载: GitHub release BT Sync
  • 聊天: Telegram Twitter Gitter Google+
  • 联系: Email PGP 公钥



来源:https://www.v2ray.com/blog/2016/one-year.html
官网:
https://www.v2ray.com/
GitHub:https://github.com/v2ray/v2ray-core
V2Ray 完全使用教程来源:https://yuan.ga/v2ray-complete-tutorial/

V2Ray 是在 Shadowsocks 被删之后开始的一个项目,到今天差不多一年了。
为什么要做这个项目?尽管我已经身在国外,享受着高速流畅的网络,但总有一天是要回国的。无论长期还是短期,目睹着国内日益恶劣网络环境,我并不想一回去就与世隔绝了。未雨绸缪,这是先辈们总结出来的教训。
一年来 V2Ray 基本是按照最初的构想在逐步完善中,尽管进度比最初的计划要慢了许多。一些关键问题一直没有解决,导致部分计划迟迟不能实施。面对强大的国家机器,谨慎一些没什么坏处,先把能做的都做了。
这一年中,最突出的变化就是翻墙工具越来越多,不同的开发者尝试着不同的方式来解除封锁。这其中有成功的,也有失败的。
V2Ray 并不是这些工具的直接竞争者。V2Ray 是一个平台,它支持各种各样的通讯协议,灵活的组合搭配。现在有 Shadowsocks、VMess、mKCP,以后会有更多。对于开发者而言,V2Ray 是一个实验场,你可以在其之上快速开发和实验新的功能,而不需要把时间浪费在重复的代码上。对于用户而言,每一个基于 V2Ray 的翻墙工具,都具有着同样强大的功能和稳定性。
下一年的计划,简单来说,V2Ray 会支持更多协议和伪装功能,提供编程接口,使二次开发变得轻而易举。
在此感谢这一年来对 V2Ray 项目做出贡献的朋友们,有你们的支持,V2Ray 项目才会变得更好。
Darien Raymond, Founder of V2Ray

================================================

V2Ray 完全使用教程


这是一个较新的上网工具,主要目的就是上谷歌、推特等网站。由于在今天推出的新版本支持shadowsocks协议,暂时弥补了目前没有手机端的缺陷。这个工具目前还比较小众,所以不会成为研究对象,也正因为比较小众,目前还没有比较多而详细的教程供参考,所以就提高了初学者使用门槛。这里写下我的搭建过程供后人参考。

需要工具:

  • vps一台
  • 加油+努力+勇气

一、服务端搭建过程

1-1自动安装脚本(推荐)

curl -L -s https://raw.githubusercontent.com/v2ray/v2ray-core/master/release/install-release.sh |bash  
运行以上命令需要root权限,所以需要切换到root账户下,如果是ubuntu系统,也可以使用sudo 命令,如下:
sudo curl -L -s https://raw.githubusercontent.com/v2ray/v2ray-core/master/release/install-release.sh |sudo bash  
该脚本会自动安装unzip和deamon,并自动安装以下两个文件:
  • /usr/bin/v2ray/v2ray:V2Ray 程序;
  • /etc/v2ray/config.json:配置文件;
官方说明:此脚本会配置自动运行脚本。自动运行脚本目前仅适用于 SysV 模式,不支持 Debian 7 的 systemd。
脚本安装完成无误后,可以进行如下操作:
  1. 编辑 /etc/v2ray/config.json 文件来配置你需要的代理方式;
  2. 运行 service v2ray start 来启动 V2Ray 进程;
  3. 之后可以使用 service v2ray start|stop|status|reload|restart|force-reload 控制 V2Ray 的运行。
以上命令均需要root权限。至于第一步编辑配置文件,也可以偷懒不进行改动,不过最好改动一下端口以及id,改动id是为了安全不被蹿用,改动端口为三位数或更少,对速度有所改善(这一点不是很确定,但我本人认为如此)。如果需要shadowscoks代理,则需要进一步配置,可以参考下面章节 1-2手动安装 中的部分。

1-2手动安装

如果你从按照以上方法安装失败,那么可以尝试手动安装。这里列出主要过程,下面是详细解说:
wget 下载链接
unzip v2ray*.zip
cd v2ray*
chmod +x v2ray
./v2ray -config vpoint_vmess_freedom.json
首先ssh连接上自己的vps,然后到这里找到适合自己vps的版本,直接在下载链接上右键复制链接。然后切回ssh窗口,输入命令 wget 粘贴之前复制的链接进行下载,下载完成后使用 unzip xxx.zip以解压文件。使用cd命令进入解压出的文件夹。
首先使用vim vpoint_vmess_freedom.json命令编辑配置文件,其实id和端口如果图省事可以不换,如果想要换掉id可以通过Online UUID Generator这给网站生成。注:服务端的id需要和客户端保持一致。
不过想要需要支持shadownsocks,还需要再进行配置。顺便一提,shadowsocks的端口配置支持1000-1010这种形式的多端口配置。可以参考官方文档shadoowsocks配置样例
  "inboundDetour": [
    {
      "protocol": "shadowsocks",   // 开启 Shadowsocks
      "port": 30001, // 监听 30001 端口
      "settings": {
        "method": "aes-256-cfb", // 加密方式,支持 aes-256-cfb 和 aes-128-cfb
        "password": "v2ray",     // 密码,必须和客户端相同
        "udp": false             // 是否开启 UDP 转发
      }
    }
  ],
注意需要删掉注释,然后把这段配置粘贴进配置文件中,端口、密码可以适当修改。修改好后保存,使用chmod +x v2ray给它加上执行权限,这样就完成了。之后可以通过./v2ray -h查看使用方法,或者直接通过 sudo ./v2ray -config vpoint_vmess_freedom.json执行就成了。不过这样在关闭ssh窗口时,v2ray也就关闭了,所以需要让它维持后台运行。这里的官方教程讲的非常详细,
sudo vim /etc/init.d/v2ray #创建配置文件并粘贴下列内容  
#!/bin/sh
### BEGIN INIT INFO
# Provides:          v2ray
# Required-Start:    $network $local_fs $remote_fs
# Required-Stop:     $remote_fs
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: socksv5 based proxy written by go.
# Description:       v2ray is a socksv5 proxy written by go. Connection can be crypto by aes or
#            des. this might help for people in China to corss GFW.
### END INIT INFO

# Author: Shell Xu <shell909090@gmail.com>
# Modify: Isulew Li <netcookies@gmail.com>

# PATH should only include /usr/* if it runs after the mountnfs.sh script
PATH=/sbin:/usr/sbin:/bin:/usr/bin  
DESC=v2ray             # Introduce a short description here  
NAME=v2ray             # Introduce the short server's name here  
DAEMON=/usr/bin/v2ray  #这里改成v2ray程序的完整位置  
PIDFILE=/var/run/$NAME.pid  
LOGFILE=/var/log/$NAME.log  
SCRIPTNAME=/etc/init.d/$NAME

DAEMON_OPTS="-config /etc/v2ray/config.json" #这里改成配置文件完整位置

# Exit if the package is not installed
[ -x $DAEMON ] || exit 0

# Read configuration variable file if it is present
[ -r /etc/default/$NAME ] && . /etc/default/$NAME

# Load the VERBOSE setting and other rcS variables
. /lib/init/vars.sh

# Define LSB log_* functions.
# Depend on lsb-base (>= 3.0-6) to ensure that this file is present.
. /lib/lsb/init-functions

#
# Function that starts the daemon/service
#
do_start()  
{
    # Return
    #   0 if daemon has been started
    #   1 if daemon was already running
    #   2 if daemon could not be started
    #   3 if configuration file not ready for daemon
    start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON --test > /dev/null 
        || return 1
    start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON --background 
         --no-close -m -- $DAEMON_OPTS >> $LOGFILE 2>&1 
        || return 2
    chmod -f 600 $LOGFILE
    # Add code here, if necessary, that waits for the process to be ready
    # to handle requests from services started subsequently which depend
    # on this one.  As a last resort, sleep for some time.
}

#
# Function that stops the daemon/service
#
do_stop()  
{
    # Return
    #   0 if daemon has been stopped
    #   1 if daemon was already stopped
    #   2 if daemon could not be stopped
    #   other if a failure occurred
    start-stop-daemon --stop --quiet --retry=TERM/30/KILL/5 --pidfile $PIDFILE
    RETVAL="$?"
    [ "$RETVAL" = 2 ] && return 2
    # Wait for children to finish too if this is a daemon that forks
    # and if the daemon is only ever run from this initscript.
    # If the above conditions are not satisfied then add some other code
    # that waits for the process to drop all resources that could be
    # needed by services started subsequently.  A last resort is to
    # sleep for some time.
    start-stop-daemon --stop --quiet --oknodo --retry=0/30/KILL/5 --exec $DAEMON
    [ "$?" = 2 ] && return 2
    # Many daemons don't delete their pidfiles when they exit.
    rm -f $PIDFILE
    return "$RETVAL"
}

#
# Function that sends a SIGHUP to the daemon/service
#
do_reload() {  
    #
    # If the daemon can reload its configuration without
    # restarting (for example, when it is sent a SIGHUP),
    # then implement that here.
    #
    start-stop-daemon --stop --signal 1 --quiet --pidfile $PIDFILE
    return 0
}

case "$1" in  
  start)
    [ "$VERBOSE" != no ] && log_daemon_msg "Starting $DESC " "$NAME"
    do_start
    case "$?" in
        0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;;
        2) [ "$VERBOSE" != no ] && log_end_msg 1 ;;
    esac
  ;;
  stop)
    [ "$VERBOSE" != no ] && log_daemon_msg "Stopping $DESC" "$NAME"
    do_stop
    case "$?" in
        0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;;
        2) [ "$VERBOSE" != no ] && log_end_msg 1 ;;
    esac
    ;;
  status)
       status_of_proc "$DAEMON" "$NAME" && exit 0 || exit $?
       ;;
  reload|force-reload)
    #
    # If do_reload() is not implemented then leave this commented out
    # and leave 'force-reload' as an alias for 'restart'.
    #
    log_daemon_msg "Reloading $DESC" "$NAME"
    do_reload
    log_end_msg $?
    ;;
  restart|force-reload)
    #
    # If the "reload" option is implemented then remove the
    # 'force-reload' alias
    #
    log_daemon_msg "Restarting $DESC" "$NAME"
    do_stop
    case "$?" in
      0|1)
        do_start
        case "$?" in
            0) log_end_msg 0 ;;
            1) log_end_msg 1 ;; # Old process is still running
            *) log_end_msg 1 ;; # Failed to start
        esac
        ;;
      *)
        # Failed to stop
        log_end_msg 1
        ;;
    esac
    ;;
  *)
    #echo "Usage: $SCRIPTNAME {start|stop|restart|reload|force-reload}" >&2
    echo "Usage: $SCRIPTNAME {start|stop|status|reload|restart|force-reload}" >&2
    exit 3
    ;;
esac
在配置的/etc/init.d/v2ray中只需要修改两个地方就可以了,一个是主程序位置,一个是配置文件位置,都需要使用绝对位置。DAEMON=/usr/bin/v2ray这里填入主程序位置,假如自己的程序在/home/xxx/v2ray/v2ray中,需要 完整填入,这里的前一个v2ray为文件夹名,后一个v2ray为程序名。然后在DAEMON_OPTS="-config /etc/v2ray/config.json"这行后面的位置改成自己的配置文件位置,就变成了DAEMON_OPTS="-config /home/xxx/v2ray/vpoint_vmess_freedom.json
配置好保存后需要:
sudo chmod +x /etc/init.d/v2ray #更改权限  
sudo update-rc.d v2ray defaults #设置开机启动  
官方的示例配置还告诉了如何使用shadowsocks协议以及各种其他协议使用方法。可以选择性的配置。

二、客户端的使用

这里主要就是从之前的下载v2ray服务端的网站,下载windows抑或是其他适合自己目前系统的客户端(客户端和服务端是一体的)。在配置中如果没其他变动,配置文件中也就改个ip就能用了,原本Id也需要相同,但是如果服务端没有修改是默认的,那么客户端也无需修改。之后在浏览器也需要个扩展插件配合,chrome的扩展omega或者firefox的autoproxy,其中配置成socks 127.0.0.1:1080就好了。
如果在服务端配置中还加上了shadowsocks的支持,那么也可以直接使用shadowsocks的客户端。

三、遇到什么问题?

1)vps硬盘被v2ray的日志占满了。
/var/log/v2ray/error.log的日志文件过大,这个不确定是否是普遍性的问题,但是我确实遇到过,可以通过修改/etc/v2ray/config.json 中的
   "log" : {
     "access": "/var/log/v2ray/access.log",
     "error": "/var/log/v2ray/error.log",
删除error,成为下列内容:
   "log" : {
     "access": "/var/log/v2ray/access.log",
     "": "/var/log/v2ray/error.log",
修改保存后可以取消输出日志。我知道,这并不是一个好办法,不过可以暂时解决问题。

Just Proxy VPN 安全、快速免費連線工具,可用美國、英國等國家 IP 位址

有時候上網需要繞過被封鎖的網路,或者瀏覽一些限定國家來源網站、網路服務,我們可以利用最簡單的 VPN(Virtual Private Network,虛擬私人網路)技術來達成,沒有複雜難懂的設定方法,只要在瀏覽器安裝與 VPN 相關擴充功能就能一鍵開關,非常方便!之前我也介紹過一些附屬於 Google Chrome 或 Firefox 下的免費 VPN 功能,例如:TunnelBearBetternetTunlr VPN,如有需要相關工具的話都能到這些文章找找是不是符合自己需求。

本文要再來介紹一個最近新推出的「Just Proxy VPN」免費工具,讓你能夠更安全、快速、簡單瀏覽任何網路,用這項服務只要下載、安裝 Google Chrome 擴充功能,即可一鍵開啟 VPN 加密連線,讓你直接隱藏真實 IP 位址,或從其他國家節點來進行連線。
Just Proxy VPN 目前支援 19 個節點,遍及美國、英國、新加坡、加拿大、德國、法國、荷蘭、澳洲、印度和日本,不過免費方案僅能使用紐約、倫敦及新加坡三個節點,但用來應急的話倒是個可以考慮的選擇,只是缺點是速度不快,如太多人使用的話延遲會非常明顯。
網站名稱:Just Proxy VPN
網站鏈結:
https://www.justproxy.io/
免費下載:
從 Chrome 線上應用程式商店下載

使用教學

STEP 1
開啟 Just Proxy VPN 網站可以找到 Chrome 擴充功能下載頁面,或是直接從本文上方提供的擴充功能頁面鏈結點擊進入,安裝後右上角會出現一個 Just Proxy VPN 按鈕,點選後就能開啟相關連線功能。
Just Proxy VPN
STEP 2
點選按鈕開啟 Just Proxy 後,預設為關閉(Off)狀態,將開關切換至開啟(On)就會自動連線到預設的 VPN 美國紐約節點。
Just Proxy VPN
當開啟 Just Proxy 的 VPN 連線功能後,才能從下方來選擇連線節點,文章前面有提到,免費版只能連結紐約、倫敦和新加坡,如果要使用其他節點必須付費升級為 Premium 帳號。
每個節點後方的顏色圈圈代表該節點目前的使用率,如果是綠色代表使用者較少,紅色的話則代表目前用戶較多,可能會影響速度。
Just Proxy VPN
STEP 3
試著以 Just Proxy VPN 連線到新加坡後,當出現如下圖的畫面時,所有瀏覽網頁的動作都會自動走你所指定的節點。
Just Proxy VPN
當我連線到其他網站時,對方也會看到我來自新加坡的 IP 位址,而非我的真實 IP,一來可以隱藏你的來源身分,二來 VPN 本身就是一個加密通訊協定,能確保資料在傳輸過程中是全程以加密狀態傳送,避免中途被劫取而洩漏資料。
Just Proxy VPN
STEP 4
如果你想付費升級為 Just Proxy VPN 的 Premium 帳號,可以使用超過 16 個 Premium 付費專用節點,以及更快速度和低延遲,並且有 14 天的不滿意全額退費保證!價格為每月 $5 USD 或者年費 $50 USD,其實價格上還不算太高,適合少量使用者選用,只是我沒使用過付費節點不太確定速度如何,若不滿意也可以隨時取消要求退款。
Just Proxy VPN
若你覺得 Just Proxy VPN 無法滿足你的需求,無論在連線國家、速度或操作上,那麼也可以考慮選擇 Opera 提供的免費服務,我在「Opera 免費無限流量 VPN 一鍵翻牆隱藏 IP 教學」一文有詳細深入介紹,不妨參考看看。

值得一試的三個理由:

  1. 使用方便簡單,下載安裝 Chrome 擴充功能即可開啟 VPN 連線
  2. 免費帳號可使用三個節點:美國、英國及新加坡
  3. 無流量限制,但僅限於瀏覽網頁時使用

维基百科免翻墙插件

1.需要的软件:

  1. 狐火浏览器,在这里可以下载最新版:https://www.mozilla.org/zh-CN/firefox/new/
  2. 免翻墙浏览维基百科插件:https://raw.githubusercontent.com/p3rcya/Wikipedia_zh/master/Wikipedia.xpi
 
2.安装步骤:
  1. 安装好并启动火狐浏览器;
  2. 下载免翻墙浏览维基百科插件,可以下载到桌面方便查找;
  3. 把插件用鼠标拖动到浏览器页面任何位置,见下图:

  4. 然后会显示要求确认安装的窗口,点击 安装

  5. 不一会就会显示安装完成,显示如下信息窗口:

  6. 然后也会在浏览器上方右侧的工具条显示维基百科的图标,如下红圈中:

  7. 点击这个图标就可以在免翻墙状态下启动维基百科,显示如下:


3.维基百科图标的高级玩法 
 
  1. 你可以把工具条中的维基百科图标移动到菜单中,只要把鼠标放到工具条维基百科的图标的上面,点击右键,然后点 移动到菜单 就可以,如下图:

  2. 这样,维基百科的图标就会被移动到右侧三横杆的菜单工具里面,如下图:

  3. 从这个位置,可以把图标移动到工具栏,或者删除,如果删除以后,会转到菜单工具栏的定制里面。点击菜单下面的 定制 ,会出现包括维基百科的图标的 “更多工具和功能”,并通过这里可以把图标再添加到工具栏或菜单两个地方,如下图所示:

  4. 总之就是:一个工具图标可以在浏览器的 工具栏菜单图标库(更多工具或功能)三个地方轮流循环。

原文:http://www.chinagfw.org/2016/08/blog-post_23.html

用 ASUS Merlin 路由器 VPN 科学上网

作者:左耳朵 http://coolshell.cn 更新时间:2016-08-10

这篇文章及其脚本可以写的更好,欢迎到 https://github.com/haoel/haoel.github.io 更新

准备

首先,你应该对英文读写没什么问题

为什么这么说?逻辑是这样的,如果你上了Google还是在用中文关键词,那么你科学上网有什么意义呢? 换言之,科学上网的目的是为了进入广阔的世界范围与全世界的人交流,所以,英文是必备的,如果你英文有问题,VPN过去也的用处也不大。

所以,我把这个前提条件放在第一的位置,就是说—— 真正的墙不是GFW,而是人的大脑

然后,你需要一个VPN

这里我用的是PPTP,可以上AWS日本申请个免费试用一年的EC2 VPS,或是Linode买个一月USD10刀的VPS,然后自建一个PPTP的VPN。

我在北京,感觉日本的VPS是比较快,其本上ping值可以在100ms以内,linode的似乎可以在50ms左右。Anyway,现在你买一台VPS也不贵了,也就是一个月10美金左右(60-70元),千万别告诉我,一个月你花60-70元钱对你是件很奢侈的事

关于PPTP服务器的设置,请参看 《How To Setup Your Own VPN With PPTP

最后,你需要一台ASUS的路由器

用这台路由器的目的是为了用路由器科学上网,这样全家或全公司就科学上网了。

朋友安利我的是 华硕(ASUS) RT-AC68U 1900M AC 双频智能无线路由路,可能这个路由器对你来说有点贵,你也可以看看别的,比如:RT-AC66U,大约600元。

当然,不用这样的路由器也没有什么问题,在所有的客户端设备上设置VPN也没有问题。

路由器设置

给路由器刷 merlin 固件

首先Asuswrt是华硕公司为他的路由器所开发的固件。Asuswrt-merlin是一个对Asuswrt固件二次开发进行各种改进和修正的项目。源代码在这里:https://github.com/RMerl/asuswrt-merlin

Merlin固件拥有更多的功能,由于第三方不断维护代码,各种新功能也在不断增加。Merlin固件的升级并不需要反复的操作过程,方法与官方固件的升级相同,有很好的硬件软件兼容性。继承了Asuswrt官方固件优秀的交互界面。

另外,不必担心把路由器刷废了,华硕的路由器可以让你一键重置回来

1)下载固件。先到 https://asuswrt.lostrealm.ca/download 下载相应的固件,并解压。(我下载的是 RT-AC68U_380.61_0.zip 

2)升级固件。登录到你的路由器后台 http://192.168.1.1/ ,在 系统管理 -> 固件升级中上传固件文件(我上传的是:RT-AC68U_380.61_0.trx

3)打开 JFFS 分区系统管理 -> 系统设置 -> Persistent JFFS2 partition

  • Format JFFS partition at next boot  
  • Enable JFFS custom scripts and configs  

4)打开 ssh 登录 系统管理 -> 系统设置 -> SSH Daemon

  • Allow SSH password login  

连接 VPN

1)到 VPN -> PPTP/L2TP Client 中 添加设置文件。

注:最好使用PPTP,设置起来比较简单。L2TP不支持PEK的共享密码。

2)保存配置后,点 Active, 如果一切正确,可以看到连接成功。

设置路由

此时,你的路由器就VPN了,但是,包括访问中国的网站也被代理了。所以,还要设置一下路由表。

ssh admin@192.168.1.1

输入你设置的路由器后台的登录口令,你就可以进入路由器的操作系统了。

下载路由表

为什么要设置路由表?

路由器VPN后,你所有的网络访问都得多国外绕一圈了。所以,需要把国内的IP给过滤出来,所以,需要设置静态路由表。

cd /jffs/scripts
wget https://haoel.github.io/downloads/route.sh
echo -e "#!/bin/sh\n\n/jffs/scripts/route.sh delete\n/jffs/scripts/route.sh add" > /jffs/scripts/wan-start
chmod a+rx /jffs/scripts/*

wan-start 是什么?

注:wan-start 是一个事件脚本,在wan口连上后会运行,这里的运行指令是,先删除路由,再加入(因为WAN口的IP可能会换了)

route.sh 怎么来的?

下载动态DNS配置

为什么要设置动态DNS?

因为很多网站都会使用CDN,使用CDN的通常都会用DNS的CNAME做解析,所以,你的路由器VPN后,你的DNS服务器也会变了,我们这里默认使用的是Google的8.8.8.8,当然,这台服务器在国外,所以,用这台服务器解析域名的时候,就会解析到国外。所以,我们还需要一个动态的DNS配置,对于国内的站点,使用国内的DNS,对于国外的站点,使用8.8.8.8

cd /jffs/configs
wget https://haoel.github.io/downloads/dnsmasq.conf.add

dnsmasq.conf.add怎么来的?

注:文件里用到的是 114.114.114.114 作为国内的DNS解析服务。经网友指出这个不靠谱http://bobao.360.cn/news/detail/1793.html

你可以在路由器上通过 nvram get wan0_dns 查看你自己的DNS,然后替换掉,如:

sed -i "s/114.114.114.114/$(nvram get wan0_dns|awk '{print $1}')/" dnsmasq.conf.add

运行命令生效

/jffs/scripts/route.sh add 
service restart_dnsmasq

接下来,你需要让你的设备重新连接一下WiFi路由器。

检查

你可以使用一些命令在检查,相应的域名是否被CNAME到了正确的地方。

如:

nslookup itunes.apple.com
ping www.google.com
traceroute weibo.com

然后查一查相关的IP是的位置在哪个国家。

已知问题

QUIC 的问题

使用上述配置,在使用Chrome访问Googlet系统的网站时,比如:www.google.com、www.youtube.com 会出现打不开页面的问题。我做了一些调查,发现,这个问题是和Google的 QUIC 协议相关,因为Safari和FireFox是没有这个问题的,因为Safari和Firefox用的是HTTPS而不是QUIC。

Workaround的方式是 Disable Chrome的试验型的QUIC协议,在Chrome里访问chrome://flags/#enable-quic 可以关闭QUIC。

目前,我在ASUS Merlin的官方论坛发了个贴:http://www.snbforums.com/threads/quic-issue.34105/

(全文完)

原文https://haoel.github.io/

HostsHelper一键替换hosts来实现科学上网

首先贴上下载地址吧。压缩包 Jar包

我一直是采用的替换hosts的方法来上谷歌之类的墙外网站,今天早上在替换hosts的时候,突然觉得每次手动替换hosts真的挺麻烦的。因为文件的目录层级比较深找起来比较困难,于是萌生了自己写一个软件来实现的想法。虽然自己基本不会写桌面端的应用,但是觉得这个小玩意儿实现难度应该也并不是很大。由于不熟悉桌面应用的开发,所以也不知道使用什么库来做这个。在Java的SWing和Python的Tkinter之间纠结了很久,最后选择了我稍微接触过一点的SWing。(事实上,这真是一个错误的选择。这个选择注定了我不得不把一个百来行代码的小工具做得体积如此之巨大。)一边学一边做花了小半天终于做出来这个玩意儿。

先说一下这个软件大概是怎么回事吧。由于可以通过替换hosts文件来实现科学上网,我是一直使用这个方法来进行科学上网的,并且我知道一个长期更新稳定hosts的网站,所以今天觉得可以做一个软件来实现一键科学上网。关于替换hosts文件科学上网的原理请看这里 修改hosts文件的原理是什么

先说一下使用吧,我把ipv4和ipv6的hosts都放在了自己博客上,然后客户端会把我放好的hosts的文件信息下载到本地然后写到系统的hosts文件里面去。替换hosts文件需要谨慎,我所放的hosts文件都是我自己用的,并且我已经检查过文件里的内容,但是我不敢保证百分之百的安全,所以如果有需要用到的,可以下载我给的hosts文件信息进行检查。下载地址是:IPV4IPV6
如果有校园网,那么应该是支持IPV6的,建议使用IPV6的hosts,能够获得更好的使用体验。由于替换hosts文件是危险操作,所以这个软件的运行会被360等安全软件警告或者阻止。所以如果需要使用那么请给此软件放行或者暂时关掉360等安全软件。

使用此软件替换hosts成功后,就可以科学上网。如果hosts失效请尝试再次获取hosts并替换文件。如果有hosts更新我会及时更新远程的hosts以保证客户端请求的hosts是有效的。

关于软件的体积,实际上这只是一个很小的工具,代码量也非常少,所以体积应该很小。但是怎奈我选了Java这个天坑,我算是终于明白为什么说Java不适合开发桌面应用了。由于Java开发的应用的运行需要JRE(Java Runtime Environment),但是很多用户电脑都不会安装这个。所以为了能让没有安装JRE的朋友也可以用到并且不需要去安装JRE,我将运行文件做成了exe(这里又是一段悲伤的故事)文件,并且将JRE和exe打包在了一起,从而保证解压就可以使用,但是由于集成了JRE,所以压缩包的体积还是达到了将近40m。另外我也提供了不集成JRE的Jar文件,在安装了JRE的电脑可以直接运行,体积非常小。

这个软件纯粹就是自己突发奇想为了方便自己和练练手而写着玩的。UI很丑,代码很烂,功能很少,可能还会有未知的bug。但是写完以后觉得说不定对于一些讨厌折腾又想要科学上网的人来说,可能会有一点用呢,所以决定将它分享出来,若是这个东西真的能够帮助到需要的人,那也不枉费半天的努力。

原文http://shiguangyin.xyz/2016/07/26/HostsHelper/

挑战网络审查?Firefox扩展程序“No More 404s”将帮你打开消失网页

Firefox可能会用网页缓存代替404。Firefox 开展新项目,将用网页快照代替消失的网页。网页截图

由于网络审查等多种原因,总有一些网页会在发布一段时间后离奇消失,内地网民将这种现象戏谑为“手慢无”。尽管各大搜索引擎都提供网页快照(Web Cache),以便用户查询失效网页内容,但这种方法并不直接,而且能否找到快照取决于搜索关键词的准确度。

为解决用户这一困扰,Mozilla 公司的开源网页浏览器 Firefox 近日在其测试平台 Test Pilot 上启动了名为“No More 404s”的新项目,计划推出一个浏览器扩展程序,让已无法访问网页的快照内容直接替代其失效链接,方便 Firefox 浏览器用户查看。

对上网时遇到死胡同感到厌烦?当某个网页消失时,我们会尝试给你一份快照。

Firefox 测试项目“No More 404s”导语

RFC 2616 规范定义用以表示网页伺服器 HTTP(超文本传输协议)响应状态的 HTTP 状态码由3位数字组成,最常见的包括“403 Forbidden”、“404 Not Found”等错误讯息。

其中,“404 Not Found”代表客户端在浏览网页时,伺服器无法正常提供讯息或无法回应且不知原因,404 错误讯息通常是在目标页面被更改或移除之后出现。

Firefox 正在测试的“No More 404s”扩展功能可以让其用户访问已经快照的内容,这些内容由非营利组织互联网档案馆(Internet Archive)的存有近5000亿网页的 Wayback Machine 提供。不过,该扩展程序不适用于在 Wayback Machine 上没有快照的页面,也不适用于自动跳转至其他页面的链接以及其他 HTTP 错误讯息代码。

3根据 Net Market Share 今年7月的统计数据,Firefox 在全球浏览器市场占有率排在第3位,仅次于 Chrome 和 IE。

互联网档案馆

互联网档案馆(Internet Archive)是一个非牟利性的数码图书馆。成立于1996年,由 Alexa 创始人布鲁斯特·卡利(Brewster Kahle)创办。提供数字数据如网站、音乐、动态图像、和数百万书籍的永久性免费储存及获取。迄至2012年10月,其资讯储量达到10PB。除此之外,该档案馆也是网络开放与自由化的倡议者之一。其数据是由自带的网络爬虫自动搜集的,其网站典藏档案馆网站时光机,抓取了超过1500亿的网页。其年度预算约100万美元,来源则是其网页爬虫服务、合作关系、赞助以及卡利-奥斯丁基金会(Kahle-Austin Foundation)。总部位于美国旧金山里奇蒙德区,此地雇员只有数十人,大部分雇员工作于书籍扫描中心,在雷德伍德城(Redwood City)也有数据中心。该数据库是国际互联网储存联盟成员,2007年被加利福尼亚州选为官方指定图书馆。(资料来自维基百科)

来源:GhacksThe Verge

原文:https://theinitium.com/article/20160808-dailynews-no-404/

Shadowsocks for视窗版客户端(v3.2)

  • Add AES-CTR, blowfish and camellia ciphers support, including aes-256-ctr, aes-192-ctr, aes-128-ctr, bf-cfb, camellia-128-cfb, camellia-192-cfb and camellia-256-cfb.
  • Support one-time authentication in ss urls for sharing by @Mygod
  • Support traffic chart and traffic icon by @celeron533
  • Add proxy support by @Noisyfox
  • Add verbose logging
  • Improve LogForm
  • Delete log file when clicking “Clean Logs” in the LogForm
  • Bug fixes and improvements

Attention: Please clear %TEMP% dir and reconfigure your settings from scratch. If you are using portable mode, just delete temp/ folder.

注意: 请清除临时文件夹 %TEMP% 并且重新配置。如果正在使用便携模式 (portable mode),只需删除和 Shadowsocks.exe 位于同目录的 temp/ 文件夹。

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • Size: 786944 Bytes
  • MD5: B143E87A8F846F4C423F99DEC9C74802
  • SHA1: EAC201E12E12C93F158434342FC4649BECE76CF5

Downloads

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/3.2

安卓版: 无界一点通3.8正式版(2016年8月9日)

无界一点通3.8a测试版升级为正式版。

http://wujieliulan.com/download/um3.8.apk

sha1:5b36e88b4d66e9044695956aba8a984ee6d18392
md5:919f46ad721287f2f251472c898daf23

谢谢!

—————–

“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。

3。详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

原文:http://forums.internetfreedom.org/index.php?topic=21611.0

安卓版: 无界一点通3.8a测试版(2016年8月8日)

无界一点通3.8a测试版, 加强联通能力,请帮忙测试并反馈:

http://wujieliulan.com/download/um3.8a.apk

sha1:5b36e88b4d66e9044695956aba8a984ee6d18392
md5:919f46ad721287f2f251472c898daf23

谢谢!

—————–

“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”测试版:

1.需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。

注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2.将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。

在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。

3.详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

原文:http://forums.internetfreedom.org/index.php?topic=21608.0

无界火狐测试版0.2a (2016年8月8日)

谢谢大家测试反馈,这一版修复了有时需要重启无界火狐扩展才能重新连接的问题。

请将旧版卸载再安装新版以免有冲突。

自带破网功能,无需运行其他破网软件,支持Windows, Mac, Linux, 32/64 (不需要再运行wine).

安装: 可以用火狐直接下载安装,点击“允许”。如火狐禁止下载,可用其他浏览器下载后用鼠标拉到火狐浏览器,点击“安装”。

使用:点击火狐右上角的无界图标,点击开关即可开启或关闭。 连接成功后,无界图标变成彩色。

http://wujieliulan.com/download/uf002a.xpi
SHA1: 1ba8f1fba63d4d100d8e9739a2326df370175694
MD5: b86bf52bca00dbb8b740c534946ccd7c

原文:http://forums.internetfreedom.org/index.php?topic=21607.0

行動者們,別以為Telegram比較安全

今年七一遊行,不少團體大力推薦即時通訊軟件Telegram,但背後的原因大錯特錯。我們在港島遊行,耳邊傳來咪高峰的呼籲:「下載Telegram,因為它比WhatsApp安全。」沿途經過不同政黨和公民團體的街站,他們叫我們將「機械人平台」(bots)加為朋友,其中一個平台計算遊行人數,另一個則統計立法會選舉的投票意向。這些新興的草根組織工具令人振奮,但同時忽略了一個重要的訊息:Telegram並不比WhatsApp安全,在很多情況下甚至更差。
来源:http://www.inmediahk.net/node/1043826

文:Jason Li、Lokman Tsui

Telegram在2013年推出時,主打「快速、免費及安全」,數據保安及加密功能是它的賣點之一。

(Telegram網站2016年7月18日截圖)

然而,加密有幾個層次:

  1. 沒有加密:第三方截取訊息後,可以讀取完整文字內容。
  2. 一般加密:訊息加密後,第三方不能讀取,但網上平台(Google、Facebook等)仍有權限讀取,不少更會應法庭或政府要求,將訊息交予執法機關。
  3. 端對端加密(end-to-end encrypted):只有傳送者及接收者能讀取訊息,網上平台也不能讀取。即使執法機關要求,網絡服務供應商也無法提交訊息。

雖然Telegram以安全聞名,但事實上大部份通話都沒有進行端對端加密。

  1. 只有「私密聊天」是端對端加密。根據原始設定,Telegram對話沒有進行端對端加密,你需要選擇私密聊天,才會啟動端對端加密。然而我們發現很多人不知道此分別,他們以為所有Telegram通訊都「自動地」安全。
  2. Telegram的端對端加密協定不是開源(open source,開放原始程式碼)。正如這個Stack Overflow的討論指出,「密碼學的第一守則,是不要建立自己的密碼」,但這正是Telegram所做的事。行內最佳做法是採用開源加密協定,讓其他程式員及研究員進行獨立測試。(Telegram同時違反了其他加密最佳做法。)
  3. 群組對話沒有端對端加密。超過1人參與的對話沒有「私密聊天」選項。
  4. 與機械人的對話也沒有端對端加密。沒有跡象顯示,任何與機械人的對話和互動有經過端對端加密。

TelegramScreenshot

(Google Play Store 2016年7月18日截圖)

諷刺的是,在遊行中被批評的WhatsApp自動將所有對話作端對端加密,包括群組對話。(這個功能在今年4月才推出,所以你可能沒有聽過。)WhatsApp除了將所有對話加密,更使用由Open Whisper Systems開發的開源Signal Protocol。不過,WhatsApp本身並非開源,所以不能保證協定在實行時沒有被改動。但至目前為止沒有犯規證據,Open Whisper Systems團隊也公開說明它們的合作和實行過程。無論如何,WhatsApp不比沒有開源、採用非開源加密協定的Telegram差。

如果你追求更高、更可靠的保安,我們建議使用Open Whisper Systems自家的Signal Private Messenger。Signal是開源程式,同時使用開源加密協定,不過它是非牟利的開源計劃,軟件特色及用戶數量都不及商業營運的Telegram和WhatsApp。如果Signal不吸引你,我們會推薦WhatsApp——它是唯一對所有對話進行端對端加密、使用開源加密協定,而又被廣泛使用的通訊軟件。

Telegram在2013年推銷其保安功能並沒有錯,當時手機應用程式很少使用端對端加密。但時至今日,其他通訊軟件的保安設定已追上甚至超越Telegram。這不是說Telegram沒有優點,WhatsApp和Signal都不支援頻道(channels)和機械人功能,Telegram也有類似Snapchat、方便的閱後即焚功能。然而,向示威者和行動者毫無保留地推薦Telegram,是不負責任的行為。行動者們,請不要再宣稱Telegram比較安全;繼續使用WhatsApp,或呼籲大家使用Telegram的私密聊天吧。

感謝Citizen Lab和Professor Jeddiah Crandall協助,為本文提供背景資料。

(原文為英文,中文版由獨媒翻譯。)

原文:http://www.chinagfw.org/2016/08/telegram.html