1、开场
- 知乎存在XSS漏洞,利用漏洞可以做到窃取他人隐私。例如:你只要收到我发送的消息,我就可以完全控制你的APP账号权限,这是在iPhone上
- 因为:iPhone 上的这个 App 把页面加载进 file 协议,而 Android 不是这样干。file 协议是本地的协议,权限高,可以跨域影响 http/https
2、新手环节
- 2个手机(iphone,一加),iphone非越狱,关闭icloud,指纹解锁
- iphone购买优质付费APP,强烈推荐iFiles2和1Password。iFiles2可以存储自己的私人东西,任何文件,视频,图片等。注意在iPhone中要把iFile2的网络禁用掉,以防这货偷偷把数据上传到云端。1Password,密码管理器,唯一推荐,在iPhone中把网络禁用掉。一切能不上云的都不上云。
- 出门一定要把iPhone的wifi开关关闭。因为有一类攻击叫做Wi-Fi钓鱼攻击,专门采集手机连过的SSID,然后伪造SSID,坐等你的接入
- Wi-Fi钓鱼攻击自行搜索关键字:Karma
- Mac电脑下,磁盘加密FileVault必须开启,加密磁盘是个好习惯,网易电脑丢了,里面的资料是安全的
- 除了Mac自带的Safari浏览器,还建议安装Chrome和Firefox。为什么?因为上网习惯要开始分离了。
- Mac也会付费购买优质软件,比如虚拟机的Parallels Desktop,贵。虚拟机免费安装需要Virtualbox。同样关闭iCloud
- 传输共享文件一般人都是通过QQ,微信传输。如果是Apple系列,AirDrop蓝牙传输的内置编辑解决方案实在太赞
- Windows10自带的BitLocker作为磁盘加密也是非常的赞,可以只加密一个分区,更棒的是可以加密U盘,移动硬盘
- 除了Windows10上自带的浏览器外,我也会安装Chrome和Firefox
- Windows上虚拟机建议使用Vmware Workstsation,注册码激活,注册码自己找
- Windows如果非得用盗版,如果是仅通过注册码方式就可以激活,那么OK。如果是给你一个激活工具去激活,我想你还是悠着点。实在不行把盗版软件扔进虚拟机里。
- Windows10的隐私设置好好看一遍,把什么定位,信息收集全部关掉。
- 杀毒软件尽量安装国际知名的
- Mac上基本没杀毒软件说法,为什么?默认安全策略,严格安全策略。但是这不意味着Mac绝对安全。开头说iPhone上的App XSS,以及Mac电脑很多用户实际上会乱安装软件的,出问题都不知道去哪里哭
- 马甲的重要性!包括多一台手机,多一台电脑,分离出来做特别的事
- 比如专门的手机和手机号用来注册不重要的事情
- 密码管理非常重要,重要的密码记在心里,不重要的丢到1Password
- 比如我之前说过,我喜欢一本书,书里的人名都可以成为我的密码体系的组成部分,很难忘记
- 收邮件用Outlook客户端,电脑和手机都有。不要去登陆Web端查看邮件,因为你很难再Web防御XSS
- 当然Gmail是肯定可以的,哈哈哈!
- 线下,不轻易给名片、信用卡,微信。手机号
3、老司机篇
- 通信方面我使用Signal,Gmail,ProtonMail,PGP Encrypt。Signal,嗯,目前还没被墙,通信加密我信任,你要问我为什么信任?因为我做过深度的研究
- Gmail为什么可靠?就Web安全而言,在对抗XSS,CSRF策略,这在邮件攻击力是最常用的手法,另外在很多细节上都具有前瞻性,如:全域HTTPS策略,Cookie策略,内容分离策略,账号风控策略,图片安全策略,恶意内容对抗策略
- ProtonMail,现在在网页端就可以注册,不需要什么手机号,可以做到拥有个匿名邮箱
- PGP Encrypt这个是我iPhone上的一个APP,你们可以买一个看看,以后微信发消息用这个加密下,神仙也破解不了。除非有算法后门
- 关于磁盘加密,在新手篇提到的FileVault和BitLocker,那么想要更高强度加密磁盘,可以使用TrueCrypt和VeraCrypt
- 老司机必须熟悉Wireshark,BurpSuite,Fiddler2
- 在咖啡厅连接公共Wifi如果做到安全?走VPN隧道
- 下面介绍黑手。强烈推荐黑手解决方案:一加一代手机(淘宝可以买到2手,足矣)
- 黑手不是拿来自己使用的,而是用来把这个Wi-Fi网络黑一遍的
- 一加一代刷机非常稳定,只需掌握好adb,fastboot两个命令
- 自由上网注意下:不要使用免费VPN
- 当你的隐私受到侵犯时,注意使用法律维护自己的隐私
- 浏览器的隐私模式好过直接浏览
- JavaScript
这是js抓取浏览器的指纹相关信息,这个技术在各大统计js中都有,可以用于跟踪用户习惯 如果有Firefox浏览器并且安装了Firebug可以来个测试,例如:http://xssor.io/s/firebug1.html http://xssor.io/s/firebug2.html,http://xssor.io/s/firebug3.html,这是我发现的可以探测你的浏览器安装了什么插件
如果你安装了firefox插件,就会弹出上面这个提示
- Firefox推荐安装的一些安全扩展 见手机笔记,我首推:NoScript,Adblock Plus,Ghostery
推荐上面这些插件
- 关于PGP,电脑上大家可以用https://www.gnupg.org/ ,Gpg4win(专为windows而生的),GPG Suite(前提是要掌握好gpg这个命令,掌握后,就非常方便使用PGP来加密传输共享内容了)
- 关于匿名,“没有约束的自由诞生不了文明”
- 匿名货币推荐:比特币<门罗币<Zcash(匿名程度由小到大)
- 玩技术的同学推荐用VPS搭建VPN,SS,强烈推荐
- TOR浏览器 国内是用不了的,VPN出去才行,他是打开暗网世界的钥匙
- 匿名方面推荐Whonix
- 还有一款就是为匿名而生的操作系统,Qubes OS。斯诺登的图片
- 一些忠告,只说一次
- 现在泄露的都泄露了,但你还有未来
- 假设你的隐私都泄露了,万一泄露了,会造成什么影响
- 互联网那头和你聊天的也许是只狗
- 免费,他们图什么?
- 从现在开始懂点法律,学点安全技能,技多不压身