余弦知乎living

最新推荐文章于 2024-03-03 13:30:00 发布

Aodongq1n丶

最新推荐文章于 2024-03-03 13:30:00 发布

阅读量976

点赞数

分类专栏：安全

安全专栏收录该内容

2 篇文章 0 订阅

订阅专栏

 
 1、开场 

知乎存在XSS漏洞，利用漏洞可以做到窃取他人隐私。例如：你只要收到我发送的消息，我就可以完全控制你的APP账号权限，这是在iPhone上
因为：iPhone 上的这个 App 把页面加载进 file 协议，而 Android 不是这样干。file 协议是本地的协议，权限高，可以跨域影响 http/https

 
 2、新手环节 

2个手机（iphone,一加），iphone非越狱，关闭icloud,指纹解锁
iphone购买优质付费APP,强烈推荐iFiles2和1Password。iFiles2可以存储自己的私人东西，任何文件，视频，图片等。注意在iPhone中要把iFile2的网络禁用掉，以防这货偷偷把数据上传到云端。1Password，密码管理器，唯一推荐，在iPhone中把网络禁用掉。一切能不上云的都不上云。
出门一定要把iPhone的wifi开关关闭。因为有一类攻击叫做Wi-Fi钓鱼攻击，专门采集手机连过的SSID,然后伪造SSID,坐等你的接入
Wi-Fi钓鱼攻击自行搜索关键字：Karma
Mac电脑下，磁盘加密FileVault必须开启，加密磁盘是个好习惯，网易电脑丢了，里面的资料是安全的
除了Mac自带的Safari浏览器，还建议安装Chrome和Firefox。为什么？因为上网习惯要开始分离了。
Mac也会付费购买优质软件，比如虚拟机的Parallels Desktop,贵。虚拟机免费安装需要Virtualbox。同样关闭iCloud
传输共享文件一般人都是通过QQ,微信传输。如果是Apple系列，AirDrop蓝牙传输的内置编辑解决方案实在太赞
Windows10自带的BitLocker作为磁盘加密也是非常的赞，可以只加密一个分区，更棒的是可以加密U盘，移动硬盘
除了Windows10上自带的浏览器外，我也会安装Chrome和Firefox
Windows上虚拟机建议使用Vmware Workstsation，注册码激活，注册码自己找
Windows如果非得用盗版，如果是仅通过注册码方式就可以激活，那么OK。如果是给你一个激活工具去激活，我想你还是悠着点。实在不行把盗版软件扔进虚拟机里。
Windows10的隐私设置好好看一遍，把什么定位，信息收集全部关掉。
杀毒软件尽量安装国际知名的
Mac上基本没杀毒软件说法，为什么？默认安全策略，严格安全策略。但是这不意味着Mac绝对安全。开头说iPhone上的App XSS,以及Mac电脑很多用户实际上会乱安装软件的，出问题都不知道去哪里哭
马甲的重要性！包括多一台手机，多一台电脑，分离出来做特别的事
比如专门的手机和手机号用来注册不重要的事情
密码管理非常重要，重要的密码记在心里，不重要的丢到1Password
比如我之前说过，我喜欢一本书，书里的人名都可以成为我的密码体系的组成部分，很难忘记
收邮件用Outlook客户端，电脑和手机都有。不要去登陆Web端查看邮件，因为你很难再Web防御XSS
当然Gmail是肯定可以的，哈哈哈！
线下，不轻易给名片、信用卡，微信。手机号

 
 3、老司机篇 

通信方面我使用Signal,Gmail,ProtonMail,PGP Encrypt。Signal,嗯，目前还没被墙，通信加密我信任，你要问我为什么信任？因为我做过深度的研究
Gmail为什么可靠？就Web安全而言，在对抗XSS,CSRF策略，这在邮件攻击力是最常用的手法，另外在很多细节上都具有前瞻性，如：全域HTTPS策略，Cookie策略，内容分离策略，账号风控策略，图片安全策略，恶意内容对抗策略
ProtonMail，现在在网页端就可以注册，不需要什么手机号，可以做到拥有个匿名邮箱
PGP Encrypt这个是我iPhone上的一个APP,你们可以买一个看看，以后微信发消息用这个加密下，神仙也破解不了。除非有算法后门
关于磁盘加密，在新手篇提到的FileVault和BitLocker,那么想要更高强度加密磁盘，可以使用TrueCrypt和VeraCrypt
老司机必须熟悉Wireshark,BurpSuite,Fiddler2
在咖啡厅连接公共Wifi如果做到安全？走VPN隧道
下面介绍黑手。强烈推荐黑手解决方案：一加一代手机(淘宝可以买到2手，足矣)
黑手不是拿来自己使用的，而是用来把这个Wi-Fi网络黑一遍的
一加一代刷机非常稳定，只需掌握好adb，fastboot两个命令
自由上网注意下：不要使用免费VPN
当你的隐私受到侵犯时，注意使用法律维护自己的隐私
浏览器的隐私模式好过直接浏览
JavaScript

 
  
 https://valve.github.io/fingerprintjs2/ 

 
 这是js抓取浏览器的指纹相关信息，这个技术在各大统计js中都有，可以用于跟踪用户习惯 如果有Firefox浏览器并且安装了Firebug可以来个测试，例如：http://xssor.io/s/firebug1.html http://xssor.io/s/firebug2.html，http://xssor.io/s/firebug3.html,这是我发现的可以探测你的浏览器安装了什么插件 

 
 如果你安装了firefox插件，就会弹出上面这个提示 

Firefox推荐安装的一些安全扩展见手机笔记，我首推：NoScript,Adblock Plus,Ghostery

 
 推荐上面这些插件 

关于PGP,电脑上大家可以用https://www.gnupg.org/ ,Gpg4win(专为windows而生的),GPG Suite（前提是要掌握好gpg这个命令，掌握后，就非常方便使用PGP来加密传输共享内容了）
关于匿名，“没有约束的自由诞生不了文明”
匿名货币推荐：比特币<门罗币<Zcash(匿名程度由小到大)
玩技术的同学推荐用VPS搭建VPN,SS,强烈推荐
TOR浏览器国内是用不了的，VPN出去才行,他是打开暗网世界的钥匙
匿名方面推荐Whonix
还有一款就是为匿名而生的操作系统，Qubes OS。斯诺登的图片