Skip to content

研经工具——或者为什么需要 HTTPS Everywhere

阅读本文大约需要: 5 分钟

CIU 要新建一所商学院,一所信息学院。上一次见到校董许长老,他甚至劝我考虑要不要留下来做教授。

从前Haddon W. Robinson 做哥顿神学院院长时,有一次学生问他,Dr. Robinson,怎样才能知道神的呼召?

Dr. Robinson回答说,你的恩赐在哪里,你的呼召就在哪里。

于是学生诘问说,我没有任何恩赐……

那么,请首先寻找恩赐,而不是寻找呼召。Dr. Robinson回答说。

许长老用这个故事告诉我,有必要考虑使用这么多年的IT经验来服侍神。


当然,我还是快乐的做着翻译,因为我或许也有翻译的恩赐。上次提到三本译作在一个叫做“研经工具”的网站上线了,自然我很欣慰,因为所做的工有了果效,至少大家都能看到这些文字了。


Sean提醒我,这个网站还是http协议在访问,是不是不安全呢?

当时一高兴,没有太介意,直接写了一篇博客,推荐了研经工具的网站。

当然,即使算上我所有的twitter followers,这篇文章也不过数百人读过而已。但今天因为花粉季节过敏太严重,完全无法工作,突然心血来潮,就测试了一下这个网站,然后我就把自己吓出了一声冷汗。


首先,这是一个没有用https的网站,所以本质上是不能用来做电子商务的。然而,这个网站却要求注册和登录才能访问全部资源。问题就在这里,我试了一下注册的过程,得到这样一个http报文:

 U6rE~/@Pl%uUvPDGET /b/include/ajax.asp?action=newmember&client=CMZ&id=eddy%40eddyemma.com&password=12345678&name=eddy&email=eddy%40eddyemma.com HTTP/1.1
 Host: yanjinggongju.com
 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0
 Accept: application/json, text/javascript, */*; q=0.01
 Accept-Language: en-US,en;q=0.5
 Accept-Encoding: gzip, deflate
 Referer: http://yanjinggongju.com/b/web/?op=register
 X-Requested-With: XMLHttpRequest
 Cookie: CMZRef=65001; CMZBibleID=OUV; LangCode=CHS; ASPSESSIONIDAARAAQTA=KAEFMIBAIPMEBDEHIPPFMEDE
 DNT: 1
 Connection: keep-alive

 

好吧,我的用户名,邮箱,密码,采用的操作系统,采用的语言,浏览器型号和版本,等等关键信息全部明文传输到网络上了。所以,任何一个中间路由都可以读取这些信息,并可能对我进行中间人攻击

而每次登录的画风是这样的:

1146 219.381579 192.168.1.17 218.255.146.218 HTTP 647 
GET /b/include/ajax.asp?action=LoginMember&client=CMZ&id=eddy%40eddyemma.com&password=12345678 HTTP/1.1

OK, 亲爱的Eddy,我们知道你在某年某月某日,用某IP某邮箱某密码上了这个网站,访问了这样几节经文。

网络安全和加密的基本原则就是算法和代码开源,用密码来保护数据。

当年NSA推出DES的时候,限定在64位上,一定是有什么后门的。所以后来制定AES标准,采用了公开竞赛的方式投标,一下子出来了一大堆对称加密的新算法,最后确定现在的AES-256标准。

同样,白帽黑客的工作,就是不停地寻找并公开各种安全漏洞。

对于“研经工具”网站的问题,没什么太多要说的,无非是缺少经验吧。当然,即使使用HTTPS,后台是不是明文存储密码,还是另说。


从网站可以看出,这家机构花了很大的精力在内容上,有许多非常有价值的注释书和参考资料;但是,这个机构似乎完全忽略了网络安全的问题(或者,这就是CIU需要建立一所信息技术学院的理由)。

所以,一方面,我给机构的领袖写了邮件,请他仔细评估这个问题,另一方面,这是一个公共安全问题,所以需要公开讨论。

当然, 我也见过比这更靠谱的事情,比如有一家大数据分析公司,综合了facebook, twitter, linkedin等各大网站的数据,保存在amazon s3上,居然没有加密,任何人都可以去下载一份1T以上,4000万人的个人信息下来;或者加拿大某政府网站,连续用户id后面不加盐,一个小孩用修改id的方式下载了一大堆公开个人数据下来,反而被政府抓来起诉“不正当访问数据”。

……


最近在推动主内的群不要再用微信了。我逐渐会退掉所有微信群,只保留同学群和家族群,只听不发言,不给群主找麻烦。

但是海外的事工若需要联络,完全应该建立signal或者wire群,没必要在微信上吆呼。

我的翻译项目组,已经全面迁移到Signal通讯了。今后不采用或者技术上不能采用Signal通讯的译者,也许连合作的机会也没有了。

采用其他通讯方式,有的时候技术门槛会高一点,操作会麻烦一点。例如俄罗斯最近一次性封锁了1900万个IP地址,因为不准采用telegram聊天。但是,技术门槛高并不是我们放弃隐私的借口,也许有一天大家要像罗马帝国的基督徒一样,用脚画一条鱼才能彼此识别,就像段友们现在已经不得不采用“一长两短”才能碰头了。


有一天我给几位朋友说,其实许多人不使用signal的原因,并不是技术障碍,而是认识问题。大家总觉得安全无所谓,放弃隐私没问题,反正都是在国内裸奔着。

算了,我过敏得眼睛都睁不开了,还是不说了,早点睡觉吧。

%d bloggers like this: