博客 / 詳情

返回

讀捍衞隱私03同步

讀捍衞隱私03同步

1. 隱私預期

1.1. expectation of privacy

1.2. 隱私預期應該從傳統的紙質信件時代擴展到數字時代

1.3. 在美國,執法部門在沒有得到收信人許可的情況下不能打開密封的實體信函

1.4. 隱私預期是一種司法測試,用於確定美國憲法《第四修正案》聲明的隱私保護是否適用

2. 短信技術

2.1. 短信技術(也稱短消息服務,即SMS)自1992年以來就一直存在

2.2. 所有手機都能發送簡短的短信,甚至功能手機(非智能手機)也不例外

2.3. 短信不一定是點對點的

  • 2.3.1. 短信並非真正地從一部手機直接到達另一部手機

  • 2.3.2. 短信並不是直接傳輸的

2.4. 你在手機上輸入的消息會以未加密的明文形式發送到一個短消息服務中心(short message service center,簡稱SMSC)​,這是移動網絡中用於存儲、轉發和遞送短信的部分

  • 2.4.1. 有時候這個過程會長達幾個小時

2.5. NSA設立秘密房間的目的是引導所有互聯網、電子郵件和手機流量通過一個特殊的過濾器,這個過濾器會搜查其中的關鍵詞

3. 第三方應用

3.1. 不要使用經由你的無線運營商傳輸的原生的短信服務,而是使用一個第三方應用

3.2. 一般來説,開源和非營利性組織提供的可能就是最安全的軟件和服務,因為有數千雙眼睛檢查過這些代碼,標記了任何看起來可疑或容易遭受攻擊的地方

3.3. 使用專有軟件時,你或多或少得聽供應商的話

3.4. 評測者也不會告訴你是否可以信任這個軟件

  • 3.4.1. 不會對產品的安全和隱私方面進行審查

3.5. 產品有一個馳名品牌也並不意味着它就是安全的

  • 3.5.1. 應該對流行品牌保持警惕,因為那可能會誘使我們產生虛假的安全感

  • 3.5.2. 不能供應商説什麼你就信什麼

4. 運動中的數據

4.1. 無記錄才是好記錄

4.2. 好消息是今天所有流行的消息應用都在發送和接收文本時提供了某種形式的加密

  • 4.2.1. 它們會保護所謂的“運動中的數據”​(data in motion)​

4.3. 壞消息是它們並非全都使用了強加密

4.4. 存檔數據即“靜態數據”​(data at rest)的遭遇

  • 4.4.1. 大多數移動消息應用並不加密存檔的數據,不管這些數據是在你的設備上還是在第三方系統上

  • 4.4.2. AIM、Skype等應用在儲存你的消息時都沒有加密

4.5. AOL可能是每個美國人使用過的第一個即時消息服務

  • 4.5.1. AIM會存檔經由其服務發送的所有消息

  • 4.5.2. 會掃描這些消息的內容

  • 4.5.3. 會將這些消息的記錄保存在雲中,以便在你使用一台不同於上次會話使用的終端或設備時也能讀取聊天曆史記錄

  • 4.5.4. AOL有日誌

5. 強加密的方法

5.1. 類型

  • 5.1.1. 完全不提供加密

    • 5.1.1.1. 意味着任何人都可以讀取你的文本消息

  • 5.1.2. 提供加密,但不是端到端加密

    • 5.1.2.1. 意味着通信可以被服務提供商等具有加密密鑰的第三方截取

  • 5.1.3. 提供端到端加密

    • 5.1.3.1. 意味着通信無法被第三方讀取,因為密鑰存儲在各自的設備上

5.2. 非原生文本消息應用也許可以説它們有加密,但可能也並不是好加密或強加密

5.3. 提供了端到端加密的消息應用

  • 5.3.1. 沒有第三方能獲取它的密鑰

  • 5.3.2. 這些密鑰應該僅存在於各自的設備上

  • 5.3.3. 如果其中一台設備被惡意軟件攻破,那麼使用任何類型的加密都無濟於事

5.4. AIM等最流行的文本消息應用都不太私密

5.5. Whisper和Secret可能也並非完全私密的

  • 5.5.1. Whisper會追蹤自己的用户

  • 5.5.2. Secret用户的身份有時候也會暴露

5.6. Telegram是另一個提供了加密的消息應用,而且它也被看作是替代WhatsApp的一個流行選擇

5.7. 尋找使用了所謂的無記錄消息傳輸(off-the-record messaging,簡稱OTR)的應用

  • 5.7.1. 一種更高標準的文本消息端到端加密協議,而且有很多產品都使用了它

  • 5.7.2. 你的完美文本消息應用還應該包含PFS

    • 5.7.2.1. 使用了隨機生成的會話密鑰,而且針對未來進行了彈性設計

    • 5.7.2.2. 如果一個密鑰泄露了,那麼它就不能再被用於讀取你未來的文本消息

5.8. 同時使用了OTR和PFS的應用

  • 5.8.1. Chat Secure

    • 5.8.1.1. 一款可在安卓和iOS上使用的安全的文本消息應用

    • 5.8.1.2. 提供了一種被稱為“證書鎖定”​(certificate pinning)的功能

    • 5.8.1.3. 包含了一個身份認證證書,這個證書保存在設備上

    • 5.8.1.4. 做得很好的另一件事是加密存儲在設備上的對話記錄,即靜態數據

  • 5.8.2. Signal

    • 5.8.2.1. 最好的開源選擇

    • 5.8.2.2. 來自Open Whisper Systems

    • 5.8.2.3. 可以在iOS和安卓上使用

  • 5.8.3. Cryptocat

5.9. 端到端加密的商業應用

  • 5.9.1. 它們的軟件是專有的,而且沒有獨立的評測,其安全性和完整性不能得到證實

  • 5.9.2. Silent Phone就提供了端到端加密的文本消息,但它確實會記錄一些數據,儘管只是用於改進服務

    • 5.9.2.1. 加密密鑰還是存儲在設備上

    • 5.9.2.2. 把密鑰存儲在設備上意味着,某些機構或執法部門無法強迫該軟件的開發商Silent Circle交出任何用户的密鑰

6. 關閉同步

6.1. 在美國,你不被允許清除你在自己計算機上做的任何事

  • 6.1.1. 檢察官想查看你所有的瀏覽記錄

  • 6.1.2. 瀏覽器歷史記錄必須保留

6.2. 無痕瀏覽

  • 6.2.1. 從一開始就避開對這些歷史記錄的收集

  • 6.2.2. Mozilla的火狐、谷歌的Chrome、蘋果的Safari、微軟的Internet Explorer和Edge等瀏覽器全都提供了內置的匿名搜索選擇,不管你想使用什麼設備,傳統個人電腦還是移動設備

6.3. https連接更加安全

  • 6.3.1. 它是點對點的,但只有你直接連接到網站本身才會這樣

6.4. 只相信互聯網的安全證書

  • 6.4.1. 隱私瀏覽不會創建臨時文件,因此不會在你的筆記本電腦或移動設備上保存你的瀏覽歷史

  • 6.4.2. 安全連接還有另一個標準:每個網站都應該有一個證書,這是你在連接網站時得到的一種第三方的保證

    • 6.4.2.1. 當你訪問一個沒有得到合適認證的網站時,你的瀏覽器會發出一個警告,詢問你是否足夠信任這個網站並且繼續訪問

    • 6.4.2.2. 你完全可以自己決定是否破例一次

    • 6.4.2.3. 除非你瞭解這個網站,否則絕對不要破例

  • 6.4.3. 互聯網上的證書也不止一種,證書還分很多級別

    • 6.4.3.1. 最常見的證書,也是你一直會看到的證書,僅僅用來確認域名屬於請求該證書的人,這個使用電子郵件認證即可

    • 6.4.3.2. 組織證書(organizational certificate)​

      6.4.3.2.1. 意味着該網站與連接到同一域名的其他網站共享自己的證書

    • 6.4.3.3. 最嚴格的證書認證是所謂的擴展認證證書(extended verification certificate)​

      6.4.3.3.1. 在所有瀏覽器上,當一個URL有一個擴展認證證書時,該URL的某些部分會變成綠色

      6.4.3.3.2. 持有該URL的公司是合規的,並且已經得到了一個可信的第三方證書認證機構的確認

6.5. HTTPS Everywhere的瀏覽器插件

  • 6.5.1. 在連接的前幾秒裏首先考慮安全,瀏覽器和網站會協商要使用哪種安全策略

  • 6.5.2. HTTPS Everywhere可以在任何可能的時候都強制使用https,即使沒有使用PFS也一樣

6.6. 關閉或偽造你的位置

  • 6.6.1. 當你第一次訪問特定要求你的位置數據的網站(比如一家天氣網站)時,你的瀏覽器應該會詢問你是否要向該網站分享你的位置

  • 6.6.2. 當你在上網時,你不僅可以掩蓋你的物理位置,還能隱藏你的IP地址

  • 6.6.3. 開放代理(open proxy)是一種位於你和互聯網之間的服務器

  • 6.6.4. 可以使用代理來訪問地理上受限的網站

    • 6.6.4.1. 使用代理時要記住,每個瀏覽器都必須手動配置,以指向代理服務器

    • 6.6.4.2. 就算是最好的代理網站也承認,聰明的Flash或JavaScript技巧仍然可以檢測到你的底層IP地址,即你一開始用於連接代理的IP地址

    • 6.6.4.3. 通過阻止或限制瀏覽器使用Flash或JavaScript,你能限制這些技巧的效果

    • 6.6.4.4. 防止JavaScript監控你的最好方式是使用HTTPS Everywhere插件

  • 6.6.5. 要小心提防免費代理

    • 6.6.5.1. 免費的東西都是有代價的

6.7. 如果你使用的代理使用了https協議,那麼執法部門或某些機構就只能看到代理的IP地址,而看不到你在訪問的網站上的活動

  • 6.7.1. 信息是加密的

6.8. 要確保敏感信息沒有自動同步

  • 6.8.1. 為了方便,人們常常會在不同的設備上同步他們的瀏覽器設置

  • 6.8.2. 同步的缺點是,攻擊者只需要引誘你登錄Chrome或火狐瀏覽器上的賬號就行了,然後你的所有搜索歷史都會被加載到他們的設備上

  • 6.8.3. 同步的另一個缺點是,所有互連的設備都將顯示同樣的內容

    • 6.8.3.1. 如果你獨自生活,那倒還好

    • 6.8.3.2. 設置不同的用户,這在Windows上是一個相對簡單的步驟

6.9. 照片是離我們的記憶最近的東西

  • 6.9.1. 數字媒體讓你無須太過費力就能獲取數以千計的高清照片,這會帶來新的問題

6.10. 今天搜索過的東西在明天可能會變成你的麻煩

  • 6.10.1. DuckDuckGo並不追蹤用户的使用情況,所以你的搜索結果不會根據你的搜索歷史被過濾

  • 6.10.2. DuckDuckGo確實會傾向有關聯的搜索結果,但它的過濾方式是根據主題,而不是你的歷史記錄

  • 6.10.3. 無須遭受太多性能滯後就能使用Tor在DuckDuckGo上進行搜索

6.11. 大多數人沒有意識到,過去在谷歌、雅虎和必應上搜索過的一切會過濾眼前看到的結果

  • 6.11.1. 很少有人會麻煩地查閲搜索結果的第2頁

  • 6.11.2. 一些人可能喜歡略過那些看似無關的結果的便利性,但與此同時,這相當於把自己可能對什麼感興趣、對什麼不感興趣的決定權交給了搜索引擎

網絡安全
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.