中国在信息保护方面到底有多弱?
就比如最近那个泄露十亿公民信息,我看到后续有人扒了发密匙的人的情况,好像真的是他失误
这是大一统专制的体制性Bug,
信息集中,意味着泄漏风险极大提高;
为了安全,而限制使用信息的话,又使得信息集中失去意义。
大一统有一个漂亮的口号叫做集中力量办大事,
也就是说中国人有一个潜意识里的错误观念,就是 —— 把资源集中起来,就能提高生产效率。
这件事就是一个绝佳的返例。
建立人口库,并且让各地公安机关可以方便地调用个人信息,无视公民权力,看似好像可以提升破案效率,提高治安水平。
但是反而导致人口泄漏,大家更不安全了。
好了,这么这件事的解决方案,当然就是提高安保级别,限制公安局的人去查人口库资料。也就是不让所有用户都有权限去接触生产数据。
按照中共官员的智力水平,它们能想出来的办法,最多就是你想查某个人的资料,你得填申请,不能像过去那样,你有个密钥然后说查就查了。
结果最后你搞这么个人口库,并不能让你的工作效率更高。反而多了更多的无谓的工作。
信息集中,意味着泄漏风险极大提高;
为了安全,而限制使用信息的话,又使得信息集中失去意义。
大一统有一个漂亮的口号叫做集中力量办大事,
也就是说中国人有一个潜意识里的错误观念,就是 —— 把资源集中起来,就能提高生产效率。
这件事就是一个绝佳的返例。
建立人口库,并且让各地公安机关可以方便地调用个人信息,无视公民权力,看似好像可以提升破案效率,提高治安水平。
但是反而导致人口泄漏,大家更不安全了。
好了,这么这件事的解决方案,当然就是提高安保级别,限制公安局的人去查人口库资料。也就是不让所有用户都有权限去接触生产数据。
按照中共官员的智力水平,它们能想出来的办法,最多就是你想查某个人的资料,你得填申请,不能像过去那样,你有个密钥然后说查就查了。
结果最后你搞这么个人口库,并不能让你的工作效率更高。反而多了更多的无谓的工作。
csdn开源的代码里到底是不是有效密钥,现在谁也没法确定,所以还不能根据这个判断结论。 而且csdn是实名平台,如果真是因为这种失误导致的这次泄漏,估计连人带帖子早就被紧急“处理”了,不会让大家去围观。
政府的信息平台基本都是靠外包,老爷们是懒得理这些东西的。 最后外包公司干活就是凭员工良心了,比如大家都知道现在国内住酒店都需要经过公安的身份登记,这套登记系统总是需要人维护的,所以外包的运维就会有查看当地所有酒店开房的身份信息的权限,要不要用这些信息搞事情,一是看个人的良心,二是看个人的胆量。
前面@muromi 说
服务器内外网隔离,这个是肯定的,只有堡垒机才有权限登录也是有可能的。 但是关键是运营维护是外包的,所以一定要给运维人员堡垒机的权限,最后的结果也就和我上面说的开房身份信息情况差不多了。
其实说实话,就国内目前的这种疯狂实名的做法,信息不泄漏是不可能的,因为权限滥用太严重了,连去个公园都需要实名,也就意味着,全国各种实名信息库分布在各种机构和公司手中。 目前想改变现状,多泄漏信息是个很好的办法,当全国人手一份全国居民身份信息库的时候,当大家都学会混淆信息保护自己的时候,也就是中国实名制度破产的时刻。
政府的信息平台基本都是靠外包,老爷们是懒得理这些东西的。 最后外包公司干活就是凭员工良心了,比如大家都知道现在国内住酒店都需要经过公安的身份登记,这套登记系统总是需要人维护的,所以外包的运维就会有查看当地所有酒店开房的身份信息的权限,要不要用这些信息搞事情,一是看个人的良心,二是看个人的胆量。
前面@muromi 说
公安网络和互联网是物理上独立的,ip也是独立的一套,一般人拿到密钥也无法连接。这说明要么有内鬼,要么就是有既接入公安网又接入互联网的机器被攻破了
服务器内外网隔离,这个是肯定的,只有堡垒机才有权限登录也是有可能的。 但是关键是运营维护是外包的,所以一定要给运维人员堡垒机的权限,最后的结果也就和我上面说的开房身份信息情况差不多了。
其实说实话,就国内目前的这种疯狂实名的做法,信息不泄漏是不可能的,因为权限滥用太严重了,连去个公园都需要实名,也就意味着,全国各种实名信息库分布在各种机构和公司手中。 目前想改变现状,多泄漏信息是个很好的办法,当全国人手一份全国居民身份信息库的时候,当大家都学会混淆信息保护自己的时候,也就是中国实名制度破产的时刻。
公安网络和民用网络物理隔离似乎并无必要,你把公安网络做成一个私用网络(私用IP空间),用NAT 连到互联网上就可以了。这样,外面不能访问公安网,公安网可以访问外网。
在上述构架上,再加一个VPN,那么情况就有所不同了。这里VPN可以把你在外网上的机器连到公安网上,你的机器里面一个虚拟网卡的IP是公安网IP。很多公司远程办公都是那么干的,这种安全事故已经出过多起了。都是从VPN进去的。
这里面说明刀把子数字安全做得挺差的,不如普通跨国公司的水平。首先,那么多数据下载居然没有报警,说明他们基本的安全制度都没有。其次,黑客还攻破了好几个数据库(一个数据库放不了那么多数据),这说明黑客已经掌握了内部机器,泄漏出来的可能不只是网上那些东西。
说句题外话,内鬼作案的可能性极其小。因为首先查的就是内鬼,谁能访问数据库,就查谁。看访问日志,立刻就可以锁定哪个帐户有问题,然后直接可以查那个人了。但是如果是账户被盗,那么只是账户有问题,账户拥有者没有问题,自然也查不出什么。
刀把子就这水平,军队估计也好不到哪里去,那些大大小小的军头都不想守规矩而且无知,等着打仗的时候出丑吧。
在上述构架上,再加一个VPN,那么情况就有所不同了。这里VPN可以把你在外网上的机器连到公安网上,你的机器里面一个虚拟网卡的IP是公安网IP。很多公司远程办公都是那么干的,这种安全事故已经出过多起了。都是从VPN进去的。
这里面说明刀把子数字安全做得挺差的,不如普通跨国公司的水平。首先,那么多数据下载居然没有报警,说明他们基本的安全制度都没有。其次,黑客还攻破了好几个数据库(一个数据库放不了那么多数据),这说明黑客已经掌握了内部机器,泄漏出来的可能不只是网上那些东西。
说句题外话,内鬼作案的可能性极其小。因为首先查的就是内鬼,谁能访问数据库,就查谁。看访问日志,立刻就可以锁定哪个帐户有问题,然后直接可以查那个人了。但是如果是账户被盗,那么只是账户有问题,账户拥有者没有问题,自然也查不出什么。
刀把子就这水平,军队估计也好不到哪里去,那些大大小小的军头都不想守规矩而且无知,等着打仗的时候出丑吧。
颇为讽刺的是,如果不是中共强制推行实名制,个人信息根本不会被如此泛滥地见诸大大小小鱼龙混杂的各种机构。
也就是说,实名制反而保证了攻破数据库以后能保证拿到大量实名数据-就好像强制存款可以保证抢银行能抢到很多钱一样。
除中共国外,韩国也曾经实行过网络实名制,结果5000万韩国人中有3500万韩国人的信用卡信息泄漏,之后这种实名制被韩国宪法法庭裁定违宪并被终止。
也就是说,实名制反而保证了攻破数据库以后能保证拿到大量实名数据-就好像强制存款可以保证抢银行能抢到很多钱一样。
除中共国外,韩国也曾经实行过网络实名制,结果5000万韩国人中有3500万韩国人的信用卡信息泄漏,之后这种实名制被韩国宪法法庭裁定违宪并被终止。
公安网络和互联网是物理上独立的,ip也是独立的一套,一般人拿到密钥也无法连接。这说明要么有内鬼,要么就是有既接入公安网又接入互联网的机器被攻破了(原则上不允许存在这样的机器)
但不管是哪种可能,一个密钥可以接触到所有数据,说明权限管理有大问题;一个密钥可以一口气成功申请23个TB的数据,说明安全机制也有大问题
总之就是千疮百孔
但或许屁民的信息安全并不是问题,也就没有了上述问题
但不管是哪种可能,一个密钥可以接触到所有数据,说明权限管理有大问题;一个密钥可以一口气成功申请23个TB的数据,说明安全机制也有大问题
总之就是千疮百孔
但或许屁民的信息安全并不是问题,也就没有了上述问题
@weibao
你发问题的那楼被折叠了,我只能在别的地方回复了。
这篇博客说 "Firefox 85 replaces ESNI with ECH draft-08, and another update to draft-09 (which is targeted for wider interoperability testing and deployment) is forthcoming." 。还有我没法知道是不是所有开过 ESNI 的服务器都不再支持 ESNI 了。
这个文件只是个ECHConfig,定义在
浏览器查询 tls-ech.dev 的 HTTPS 记录的时候也能看到,我猜没什么用。
firefox在有设置socks代理的时候也能用ECH。tor browser只是没开ECH和DoH,开发者好像还在讨论DNS的部分要怎么办(firefox没开DoH的时候不会查询HTTPS记录)。
你发问题的那楼被折叠了,我只能在别的地方回复了。
1.现在firefox最新版127.0.2从about:config里面进去还可以看到esni的条目,你说的「至于 ESNI ,现在firefox和chromium已经不支持了」是说服务器端已经不支持了吗?还是说服务器客户端都不支持了,在浏览器里面设置了相关条目也没有用?
https://blog.mozilla.org/security/2021/01/07/encrypted-client-hello-the-future-of-esni-in-firefox/
这篇博客说 "Firefox 85 replaces ESNI with ECH draft-08, and another update to draft-09 (which is targeted for wider interoperability testing and deployment) is forthcoming." 。还有我没法知道是不是所有开过 ESNI 的服务器都不再支持 ESNI 了。
2.进入https://tls-ech.dev这个网站上面显示链接active ech config,指向一个ech.dns文件,下载之后好像是个binary文件,这个文件是起什么作用,下载之后怎么使用?
这个文件只是个ECHConfig,定义在
https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni-18#section-4
浏览器查询 tls-ech.dev 的 HTTPS 记录的时候也能看到,我猜没什么用。
3.使用最新版ff不带任何socks5代理进入https://tls-ech.dev的话显示ech开启,说明配置正常,但是使用最新版torbrowser会显示ech没有开启,好像是socks5的问题,有没有办法在使用socks5代理的同时开启ech呢?
firefox在有设置socks代理的时候也能用ECH。tor browser只是没开ECH和DoH,开发者好像还在讨论DNS的部分要怎么办(firefox没开DoH的时候不会查询HTTPS记录)。
https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/42144
一个国家,人口有多少不知道,GDP是多少不知道,财政收入多少不知道,官员上上下下的多少吃皇粮的不知道,吃皇粮的拿了国库多少钱不知道,国籍户籍多本护照的人有多少不知道,拿着多本护照在外国银行开户的多少不知道,在国外买球队游艇的多少不知道,拿着国字号招牌开矿的多少不知道,被小三情人儿女转移出去多少钱不知道,鸦片种植贩毒卖了多少钱不知道。。。
然后他们说要坚决清零。。。。我家娃都知道清零是个要会数数的活。。。。。
然后他们说要坚决清零。。。。我家娃都知道清零是个要会数数的活。。。。。
这个事情和武汉病毒研究所发生意外释放出武汉病毒的性质非常类似
只要实名制,谁也不能保证不犯这种错,尤其是政府这种效率低下的组织。韩国以前也搞过实名上网,最后不了了之就是因为安全隐患太大。
可能中國人的身份信息不值錢。我以前在隔離酒店住時酒店送餐的門號碼貼紙是用記有隔離人身份信息(姓名,身份證號,電話,家庭住址)的表格紙貼的。
隐私作为基本人权的一部分对欧美已经是几十年的议题了,对老中来说还是太早了一点。在共匪垮台之前不会有好转。
我发现问卷星无论你舍不设置匿名模式,在后台发布者都可以看到投票人账号和IP
我发现问卷星无论你舍不设置匿名模式,在后台发布者都可以看到投票人账号和IP
1.屏蔽所有使用tls1.3标准加密的网站,因为这样看不全你浏览网站内容
2.禁止所有端到端加密聊天软件,因为这样完全没法从运营商端破解内容
3.屏蔽国际大型dns服务商,因为用了之后甚至不知道你浏览了什么网站
4.屏蔽所有使用ESNI标准对https网页加密的网站,还是因为这样就看不全你浏览什么了
这都是明晃晃的恶,也就是说,就因为中共心虚,中国人就将永远用不上国际普遍使用的隐私技术,必须沿用上一代技术暴露信息给全球黑客和广告商
这些技术不是为了翻墙而生的,而是防止黑客和广告商。中共一样封杀,粉红还敢洗地说“墙只管政治内容,别的不管”吗?
2.禁止所有端到端加密聊天软件,因为这样完全没法从运营商端破解内容
3.屏蔽国际大型dns服务商,因为用了之后甚至不知道你浏览了什么网站
4.屏蔽所有使用ESNI标准对https网页加密的网站,还是因为这样就看不全你浏览什么了
这都是明晃晃的恶,也就是说,就因为中共心虚,中国人就将永远用不上国际普遍使用的隐私技术,必须沿用上一代技术暴露信息给全球黑客和广告商
这些技术不是为了翻墙而生的,而是防止黑客和广告商。中共一样封杀,粉红还敢洗地说“墙只管政治内容,别的不管”吗?
就算泄漏了这些又怎么样??? 吃亏的还是屁民 他们才不关心这个
个人认为中国注重攻击不注重防御,不然也不会秘密黑客部队都被别人扒出来了。
如果一个无产阶级和资本家都不装安全门, 睡得损失大?
这也是中国在网络安全方面这种状态的原因
这也是中国在网络安全方面这种状态的原因
信息数据泄漏的"中国特色",人人裸奔时代,真是中国互联网美丽的一天。
很強啊
包大帝的長公主現在還沒有準確的生活照片
包大帝的長公主現在還沒有準確的生活照片
中共收集的力度有多大,保护的力度就有多弱。个人信息在共匪眼里是控制社会的资源,不具备任何保护的价值,黑皮狗等部门看到此贴的时候,想想自己也是随时可被牺牲掉的人矿哦嘻嘻
习近平自己的身份证手机号都被挂在网上,你能指望ccp保护你什么呢
_ _ 不是技術問題. 技術上也有問題, 樓中諸位都點到了再展開的話可能會是讓多數人覺得枯燥的技術細節了. 我認爲不是單純的技術問題, 而是共匪漠視制度, 根本不想要完善制度, 想要的是披著制度外皮隨時方便插手的馬鹿體系.
_ _ 要馬鹿爲何不純粹人治完事呢, 有現代社會人治近乎不可行是部分原因, 奴役邏輯較深處卻分明是制度阻擋下級走狗, 奴隸主卻是毫無限制. 能應對複雜現實的現代技術體系無法塞入兩個互相矛盾的使用目的, 有技術人或會說密鑰不就完了, 不同密鑰對應不同訪問權限. 我要說這樣想的人就天真了, 韭菜能要求主子隨身携帶密鑰嗎? 多年前的系統普通使用者密碼八位以上, 可那個最高權限密碼卻是 123456 就這麽荒唐.
_ _ 有很多技術從業者遇到過未携帶密鑰卡卻要求現場立刻處理, 不得不動手拆自己設計的安全系統. 我比較幸運僅協助別人拆過兩次. 一方面不讓留有主或維護密鑰, 另一方面極不自律對主密鑰全無掌控. 奴隸主只是奴役我們的, 對技術和我們沒有絲毫尊重與一絲信任, 另一方面卻是連一丁點自律都做不到的愚蠢無能. 和他們談技術主子或其奴才會提醒你注意尊卑.
_ _ 要馬鹿爲何不純粹人治完事呢, 有現代社會人治近乎不可行是部分原因, 奴役邏輯較深處卻分明是制度阻擋下級走狗, 奴隸主卻是毫無限制. 能應對複雜現實的現代技術體系無法塞入兩個互相矛盾的使用目的, 有技術人或會說密鑰不就完了, 不同密鑰對應不同訪問權限. 我要說這樣想的人就天真了, 韭菜能要求主子隨身携帶密鑰嗎? 多年前的系統普通使用者密碼八位以上, 可那個最高權限密碼卻是 123456 就這麽荒唐.
_ _ 有很多技術從業者遇到過未携帶密鑰卡卻要求現場立刻處理, 不得不動手拆自己設計的安全系統. 我比較幸運僅協助別人拆過兩次. 一方面不讓留有主或維護密鑰, 另一方面極不自律對主密鑰全無掌控. 奴隸主只是奴役我們的, 對技術和我們沒有絲毫尊重與一絲信任, 另一方面卻是連一丁點自律都做不到的愚蠢無能. 和他們談技術主子或其奴才會提醒你注意尊卑.