这是一个创建于 751 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近看到一个帖子,搜索了一下,也确实如此,就是类似一些国内 steam 第三方平台,为了达到正常访问 steam 并不受用户网络环境问题,会使用自己搭建的比如:steamproxy.net ,打开页面可见就是 steam 一摸一样,但确实又不是钓鱼网址,这是类似反向代理吗?以及很多手机 app 上比如登录 steam 也可以发现根本不用开加速器,估计也是类似远离,所以这种网站,如果抛开信任他们公司外,是否安全?毕竟是一个自己的域名,完全可以在某一时刻变成钓鱼网站用户也不知道。
那如果是游戏加速器呢?开了加速器,再访问官方域名,是否安全呢?加速器上有没可能把账号密码盗取?
那如果是游戏加速器呢?开了加速器,再访问官方域名,是否安全呢?加速器上有没可能把账号密码盗取?
 |
1
AoEiuV020CN 2022-10-19 14:16:54 +08:00  1
只要加速器不要求你信任证书,那么 https 网站就是安全的,加速器那怕完全接管网络接口也盗不了你账号,
|
 |
2
neptuno 2022-10-19 14:28:28 +08:00
steam 第三方平台,你说的是那些长得跟 steam 一样,其实是租 steam 号给你的网站吗
|
 |
4
LinePro 2022-10-19 14:53:38 +08:00
@AoEiuV020CN #1 之前用过的几款加速器,基本上都会在用户不知情的情况下信任证书(利用管理员权限静默安装证书),只能说普通用户难以察觉 233
所以 OP 提到的开了加速器以后,还需要手动检查证书是否是官方证书,比如查看证书信任链和比对证书指纹。 当然这只是从网络层面考虑。毕竟你都本地运行加速器的程序了,加速器在本地作恶也不是不可以。 |
|
5
LinePro 2022-10-19 15:06:58 +08:00 1
补充反向代理的问题,反向代理服务器比如 steamproxy.net 其实就是相当于一个中间人,你和中间人建立连接发送账号密码等数据,中间人再和 Steam 官方服务器建立连接发送数据。你是和 https://steamproxy.net 建立 https 连接,你只能保证你到中间人服务器这段链路的数据不会被其他人窃取。中间人是能够解密获取这些数据的,这段加密链路并没有覆盖到 Steam 官方服务器。同样的,你也不能保证中间人不会在 Steam 网站代码里 “加料”,比如登录时只传输明文密码之类的。所以 OP 的第一个问题回答是并不安全,如果你必须要使用这类网站则大前提是信任他们不会作恶。
|
 |
6
XIU2 2022-10-19 15:44:10 +08:00 1
反向代理是有安全风险的,因为所有传输的数据对于反代服务器来说都是明文的。
你用 钥匙 A 把数据锁在 箱子 A 里,然后把 箱子 A 给反代服务器, 反代服务器用 钥匙 A 打开 箱子 A (此时反代服务器能明文看到)把数据拿出来放到另一个 箱子 B 里并用 钥匙 B 锁上,然后将其发给目标网站, 目标网站收到后用 钥匙 B 打开 箱子 B 查看数据,处理后再原路返回。 用户 <=证书 B 加密=> 网站 用户 <=证书 A 加密=> 反(明文)代 <=证书 B 加密=> 网站 用户 和 反代 单独用一套 公匙和私匙,反代 和 目标 单独用一套 公匙和私匙,都是独立的。 上面说的是不同域名反代,如果是同域名(即使用 Steam 的官方域名),那么需要你信任对方自签根证书,这样才能建立 SSL 链接,当然依然是有安全风险。 |
 |
7
mxT52CRuqR6o5 2022-10-19 16:49:44 +08:00 1
加速器大多数都会想办法劫持安装包更新包来节省跨境流量,就会去静默安装证书,
|
 |
8
CSGO OP |
Select Language