本文讨论 ServiceWorker 模式代理的可行性: t/557870
对于代理服务器, 首先关注下面几个问题:
对于 ServiceWorker 模式的代理:
作为一个技术人员, 在尝试新技术时候, 不仅要考虑新技术带来的便利, 更重要是需要考虑新技术可能带来的问题.
想象一下, 一旦 SW 代理变成用户主流的代理模式, 大家大量架设这种模式的代理, 其中肯定不乏各种心怀不轨的人, 故意在代理中植入各种盗取用户信息的脚本. 这种情况下普通用户有能力分辨哪些代理是干净的, 哪些是盗号的么? 一旦大众习惯这种模式代理, 大量普通用户网上搜寻各种此类代理, 各种盗取用户信息的代理就会油然而生, 国内互联网环境只会更差.
开发制作 GFW 的人员, 可能仅仅是研究开发技术, 但是出来却必须面对万人唾骂, 原因就是他们在一个错误的道路上越走越远.
@mytry 你需要仔细考虑一下, 是否把这个项目继续下去, 然后变成黑产的核心工具?
 | 1 mytry Apr 23, 2019 不用 ServiceWorker 同样能实现类似的效果,只是让服务器做这些操作而已。记得之前有个叫 zmirror 的代理,没用 ServiceWorker 但也能实现类似的效果,也能获取 Cookie,插入 JS。 用 ServiceWorker 不过是为了节省服务器的 CPU 资源而已,利用客户端剩余的计算力。此外没什么特殊的区别。 |
 | 2 66beta Apr 23, 2019 via Android 核弹避免了好几回第三次世界大战 邪恶的一直都是人类 |
 | 3 zealot0630 OP @mytry 你有什么办法防止别人的 fork 不会从页面上获取用户的敏感信息么? |
 | 4 leavic Apr 23, 2019 这些问题,似乎在任何一个代理的服务器端都可以实现,甚至路由器上都可以实现。 |
| 5 zealot0630 OP @leavic https 能免疫中间人代理攻击 |
| 6 leavic Apr 23, 2019  3 @zealot0630 你这个要求真奇怪,就好像要求钢铁厂商保证他的客户不用他家的钢铁来造武器一样。 |
| 7 leavic Apr 23, 2019 @zealot0630 所以 ServiceWorker 模式的代理,是可以绕过服务器的证书验证而使用任意证书吗?那确实有很大风险。 |
| 8 zealot0630 OP @mytry 有没有想过一种更差的场景,这个代理变成了某个特定网站(比如某些银行网站)的欺诈站点,打开就完全克隆那个银行网站。 |
| 9 zealot0630 OP 我先去给 chromium 那边 file 一个 security bug, 看看能否改进 sw 的安全性 |
| 10 leavic Apr 23, 2019 试了一下,证书确实不是来自网站源端而是代理本身,这种东西,自己用用可。 但至于被黑产利用,我觉得这个最多是节约了黑产克隆网站的时间而已,这种代理一旦应用的多了,可能会直接被浏览器当成钓鱼网站封杀。 |
 | 11 hornets Apr 23, 2019 @某个 GWF 开发,阶级公敌,看到在群里艾特我一下,让我知道我在这里 diss 你了被你看到了 |
 | 12 EPr2hh6LADQWqRVH Apr 23, 2019 1 其实同理当年的 goagent,为了方便用户提供的默认根证书,同时也造成了巨大的安全问题。 有人提供这样的工具,具有这样的安全问题,并没什么好大惊小怪的,想办法控制住就可以了。 随你做点什么,除了初心以外,必定有其副作用,更有被滥用的可能,现实世界本来如此。 畏首畏尾因噎废食,那最后只能啥都不做,憋气等死。 |
 | 13 passerbytiny Apr 23, 2019 你的担心是多余的,它这个是应用层的代理,根本就不可能成为主流。 |
 | 14 lslqtz Apr 23, 2019 via iPhone 不能因为说一个技术可能被滥用就不去发展这个技术… 就如 HTTPS 一样,对于某些人来说能提高安全性,对于另一部分人来说则只是方便了逃脱监管。 |
 | 15 Stain5 Apr 23, 2019 给非核心用户用的东西而已 数据有价值的人 不会用这种东西的 |
 | 16 crazzy Apr 24, 2019 技术无罪 |
 | 17 HangoX Apr 24, 2019 其实很简单吧,不开源就好了 |
Select Language