Don't be evil. 技术可以造福人类, 技术也可以造核弹

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2033 天前的主题，其中的信息可能已经有所发展或是发生改变。

本文讨论 ServiceWorker 模式代理的可行性: https://www.v2ex.com/t/557870

对于代理服务器, 首先关注下面几个问题:

代理是否有能力向目标页面注入 JS 代码?
代理能否获取目标页面的 Cookie?
代理能否获取目标页面内密码框的内容?

对于 ServiceWorker 模式的代理:

可以
可以
可以

作为一个技术人员, 在尝试新技术时候, 不仅要考虑新技术带来的便利, 更重要是需要考虑新技术可能带来的问题.

想象一下, 一旦 SW 代理变成用户主流的代理模式, 大家大量架设这种模式的代理, 其中肯定不乏各种心怀不轨的人, 故意在代理中植入各种盗取用户信息的脚本. 这种情况下普通用户有能力分辨哪些代理是干净的, 哪些是盗号的么? 一旦大众习惯这种模式代理, 大量普通用户网上搜寻各种此类代理, 各种盗取用户信息的代理就会油然而生, 国内互联网环境只会更差.

开发制作 GFW 的人员, 可能仅仅是研究开发技术, 但是出来却必须面对万人唾骂, 原因就是他们在一个错误的道路上越走越远.

@mytry 你需要仔细考虑一下, 是否把这个项目继续下去, 然后变成黑产的核心工具?

代理

技术

模式

盗取

17 条回复 • 2019-04-24 12:46:36 +08:00

mytry

2019-04-23 16:20:14 +08:00

不用 ServiceWorker 同样能实现类似的效果，只是让服务器做这些操作而已。记得之前有个叫 zmirror 的代理，没用 ServiceWorker 但也能实现类似的效果，也能获取 Cookie，插入 JS。

用 ServiceWorker 不过是为了节省服务器的 CPU 资源而已，利用客户端剩余的计算力。此外没什么特殊的区别。

66beta

2019-04-23 16:27:48 +08:00 via Android

核弹避免了好几回第三次世界大战

邪恶的一直都是人类

zealot0630

2019-04-23 16:28:01 +08:00

@mytry 你有什么办法防止别人的 fork 不会从页面上获取用户的敏感信息么？

leavic

2019-04-23 16:29:23 +08:00

这些问题，似乎在任何一个代理的服务器端都可以实现，甚至路由器上都可以实现。

zealot0630

2019-04-23 16:30:41 +08:00

@leavic https 能免疫中间人代理攻击

leavic

2019-04-23 16:31:21 +08:00

@zealot0630 你这个要求真奇怪，就好像要求钢铁厂商保证他的客户不用他家的钢铁来造武器一样。

leavic

2019-04-23 16:32:11 +08:00

@zealot0630 所以 ServiceWorker 模式的代理，是可以绕过服务器的证书验证而使用任意证书吗？那确实有很大风险。

zealot0630

2019-04-23 16:32:45 +08:00

@mytry 有没有想过一种更差的场景，这个代理变成了某个特定网站（比如某些银行网站）的欺诈站点，打开就完全克隆那个银行网站。

zealot0630

2019-04-23 16:36:20 +08:00

我先去给 chromium 那边 file 一个 security bug, 看看能否改进 sw 的安全性

leavic

2019-04-23 16:37:02 +08:00

试了一下，证书确实不是来自网站源端而是代理本身，这种东西，自己用用可。
但至于被黑产利用，我觉得这个最多是节约了黑产克隆网站的时间而已，这种代理一旦应用的多了，可能会直接被浏览器当成钓鱼网站封杀。

hornets

2019-04-23 16:53:40 +08:00

@某个 GWF 开发，阶级公敌，看到在群里艾特我一下，让我知道我在这里 diss 你了被你看到了

EPr2hh6LADQWqRVH

2019-04-23 17:05:54 +08:00

其实同理当年的 goagent，为了方便用户提供的默认根证书，同时也造成了巨大的安全问题。

有人提供这样的工具，具有这样的安全问题，并没什么好大惊小怪的，想办法控制住就可以了。

随你做点什么，除了初心以外，必定有其副作用，更有被滥用的可能，现实世界本来如此。
畏首畏尾因噎废食，那最后只能啥都不做，憋气等死。