不是非常理解这个逻辑
大佬们求教
1
ZhenShaw 2022-10-26 20:37:02 +08:00 via Android 5
http 也是明文的,所以账号密码的意义何在?
|
3
cppc 2022-10-26 21:20:03 +08:00 2
认证是认证,加密是加密
|
4
lambdaq 2022-10-26 21:24:06 +08:00
@terrytw 你硬要讨论有什么区别,比如我可以约定一个账号只能建立一个 tcp 连接;你拿到用户名密码也没法发起新的连接。
|
5
bybyte 2022-10-26 21:25:43 +08:00
没有认证,谁都可以用你的来 proxy ,有了认证,知道账号密码的人才能用你的服务器 proxy
|
6
shansing 2022-10-26 21:28:11 +08:00
因为能恶意用户能不能抓到包是一个分水岭,只有很少的用户才能在网络中抓到包。
|
7
rekulas 2022-10-26 21:30:38 +08:00
可能因为 socks5 被设计出来就不是为了做 proxy 的,主要功能应该是用于协助数据交换
正确来说应该是 socks5 协议而不是代理 |
8
masker 2022-10-26 21:32:06 +08:00 via Android
2012 年的老账号了,还是程序员,问这个问题感觉有点抖机灵
|
9
hahasong 2022-10-26 21:41:44 +08:00
授权、访问控制、加密实现了安全三素:数据完整性、可用性、机密性。克服了篡改、伪造、泄密
计算机安全基础知识 |
10
Aliencn 2022-10-26 21:49:31 +08:00 1
确实不了解这个,查了一下资料。
socks5 的账号密码的认证方式确实是明文的,有泄漏的风险。 不过 socks5 有 GSSAPI 和 SOCKS5 over TLS 的方式来保证安全的。 https://zh.m.wikipedia.org/zh-hans/SOCKS#SOCKS5 账号密码用的比较广泛的原因还是用起来比较简单吧,为了方便牺牲了安全性。 PS:楼上的几个人的回答无力吐槽。 |
11
eason1874 2022-10-26 22:17:27 +08:00 3
因为鉴权跟加密是两码事,身份验证是用来区分用户身份的,不是用来保证链路安全的
|
12
bigboyq 2022-10-26 22:24:18 +08:00 1
“SOCKS5 RFC1928”, 发布于 1996 https://www.rfc-editor.org/rfc/rfc1928
“RFC 2818: HTTP Over TLS”,发布于 2000 https://www.rfc-editor.org/rfc/rfc2818 “既然 socks5 proxy credentials 都是明文的,那么 authentication 意义何在”,发布于 2022 |
13
Jooooooooo 2022-10-26 22:25:48 +08:00
@terrytw 你要不抓包获得我这个账号的用户名和密码然后用我这个账号发个帖子. 你发现做不到的时候就知道登录的意义在哪了.
|
14
sujin190 2022-10-26 22:31:33 +08:00 via Android
能用代理的又不一定能抓包,既然都有权限整个网络抓包了还要啥代理啊,直接改网络配置就是了呗,现实场景很多的,再说加密和权限认真本来就不是一回事,难道有了 https 就不要登录了,内网部分机器需要外网给代理也没问题吧
|
16
8520ccc 2022-10-26 22:44:42 +08:00
抓包你又不能抓别人的包。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
|
17
heiher 2022-10-26 23:48:35 +08:00
我的 socks5 就是明文传输的简单的用户、密码认证,你也能到抓到包,但是客户端和服务端约定了动态生成算法是一次一密。嘿嘿,意义是不是来了~
|
18
neptuno 2022-10-26 23:49:58 +08:00 via iPhone
我能找你电脑上的包吗?
|
19
yankebupt 2022-10-27 02:07:42 +08:00
先不说 SOCKS5 over TLS 了,你可以说那是过度使用了。
就假设禁用 TLS ,还没 TLS 的时代 假设我的 proxy 密码是个网易将军令,根据时间动态生成的那种。 你抓了包看了我访问的全部内容又有什么用呢?不还是不能用这个 proxy 。 所以网易将军令这样的 token 2FA 直播时可以把密码打在公屏上的意义何在?不是都让人看光了么? |
20
MFWT 2022-10-27 08:53:00 +08:00
因为 authentication 和 encryption 是两个独立的概念啊
|
21
superrichman 2022-10-27 09:36:16 +08:00
你公司的保险柜密码门都没防偷窥措施(明文),那要密码( authentication )做什么呢?
|
22
fkdog 2022-10-27 10:14:35 +08:00
你平时开发有没有用到 mysql 、redis 、kafka 这些中间件?
一般他们默认链接都是 tcp+明文协议,不是照样有用户名和密码? 照你的理解,是不是没有 tls 包一下的协议,都不需要用户名和密码了? |
23
Kinnice 2022-10-27 10:19:02 +08:00
首先你假定了你能抓到别人的认证包,但是你没这么大的能耐。
|
24
adoal 2022-10-27 10:35:23 +08:00
authentication 和 encryption 是两件事。
|
25
byte10 2022-10-27 11:07:38 +08:00 1
|
26
terrytw OP 2012 年的老账户为啥一定就是程序员了...
|
27
nmap 2022-10-27 22:15:09 +08:00
笑话,你来抓我的包试试😆
|
28
Ipsum 2022-10-28 14:04:53 +08:00
你控制不到网关,抓个我的包试试?
|
29
lingex 2022-10-29 12:05:44 +08:00
会抓包的是少数,真去抓包的又是少数里的少数。
就像家里的大门,拧一下就开和压根没装门,差别还是有的。 再如公司的代码,规定是不允许带出公司,虽然可能有很多漏洞可以带出去,但是有规定和没规定性质和后果也是不一样的。 |
30
hzj629206717 246 天前
看了大家的回复。
没有绝对的安全,安全是有等级的,大多数的时候是防君子不防小人。 正常人能抓的是有线局域网 Hub 碰撞域的包( Switch 隔离了碰撞域),或知道密码的无线局域网的包。 |