研经工具——或者为什么需要 HTTPS Everywhere

CIU 要新建一所商学院，一所信息学院。上一次见到校董许长老，他甚至劝我考虑要不要留下来做教授。

从前Haddon W. Robinson 做哥顿神学院院长时，有一次学生问他，Dr. Robinson，怎样才能知道神的呼召？

Dr. Robinson回答说，你的恩赐在哪里，你的呼召就在哪里。

于是学生诘问说，我没有任何恩赐……

那么，请首先寻找恩赐，而不是寻找呼召。Dr. Robinson回答说。

许长老用这个故事告诉我，有必要考虑使用这么多年的IT经验来服侍神。

---

当然，我还是快乐的做着翻译，因为我或许也有翻译的恩赐。上次提到三本译作在一个叫做“研经工具”的网站上线了，自然我很欣慰，因为所做的工有了果效，至少大家都能看到这些文字了。

---

Sean提醒我，这个网站还是http协议在访问，是不是不安全呢？

当时一高兴，没有太介意，直接写了一篇博客，推荐了研经工具的网站。

当然，即使算上我所有的twitter followers，这篇文章也不过数百人读过而已。但今天因为花粉季节过敏太严重，完全无法工作，突然心血来潮，就测试了一下这个网站，然后我就把自己吓出了一声冷汗。

---

首先，这是一个没有用https的网站，所以本质上是不能用来做电子商务的。然而，这个网站却要求注册和登录才能访问全部资源。问题就在这里，我试了一下注册的过程，得到这样一个http报文：

 U6rE~/@Pl%uUvPDGET /b/include/ajax.asp?action=newmember&client=CMZ&id=eddy%40eddyemma.com&password=12345678&name=eddy&email=eddy%40eddyemma.com HTTP/1.1
 Host: yanjinggongju.com
 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0
 Accept: application/json, text/javascript, */*; q=0.01
 Accept-Language: en-US,en;q=0.5
 Accept-Encoding: gzip, deflate
 Referer: http://yanjinggongju.com/b/web/?op=register
 X-Requested-With: XMLHttpRequest
 Cookie: CMZRef=65001; CMZBibleID=OUV; LangCode=CHS; ASPSESSIONIDAARAAQTA=KAEFMIBAIPMEBDEHIPPFMEDE
 DNT: 1
 Connection: keep-alive

好吧，我的用户名，邮箱，密码，采用的操作系统，采用的语言，浏览器型号和版本，等等关键信息全部明文传输到网络上了。所以，任何一个中间路由都可以读取这些信息，并可能对我进行中间人攻击。

而每次登录的画风是这样的：

1146 219.381579 192.168.1.17 218.255.146.218 HTTP 647 
GET /b/include/ajax.asp?action=LoginMember&client=CMZ&id=eddy%40eddyemma.com&password=12345678 HTTP/1.1

OK, 亲爱的Eddy，我们知道你在某年某月某日，用某IP某邮箱某密码上了这个网站，访问了这样几节经文。

---

网络安全和加密的基本原则就是算法和代码开源，用密码来保护数据。

当年NSA推出DES的时候，限定在64位上，一定是有什么后门的。所以后来制定AES标准，采用了公开竞赛的方式投标，一下子出来了一大堆对称加密的新算法，最后确定现在的AES-256标准。

同样，白帽黑客的工作，就是不停地寻找并公开各种安全漏洞。

对于“研经工具”网站的问题，没什么太多要说的，无非是缺少经验吧。当然，即使使用HTTPS，后台是不是明文存储密码，还是另说。

---

从网站可以看出，这家机构花了很大的精力在内容上，有许多非常有价值的注释书和参考资料；但是，这个机构似乎完全忽略了网络安全的问题（或者，这就是CIU需要建立一所信息技术学院的理由）。

所以，一方面，我给机构的领袖写了邮件，请他仔细评估这个问题，另一方面，这是一个公共安全问题，所以需要公开讨论。

当然， 我也见过比这更靠谱的事情，比如有一家大数据分析公司，综合了facebook, twitter, linkedin等各大网站的数据，保存在amazon s3上，居然没有加密，任何人都可以去下载一份1T以上，4000万人的个人信息下来；或者加拿大某政府网站，连续用户id后面不加盐，一个小孩用修改id的方式下载了一大堆公开个人数据下来，反而被政府抓来起诉“不正当访问数据”。

……

---

最近在推动主内的群不要再用微信了。我逐渐会退掉所有微信群，只保留同学群和家族群，只听不发言，不给群主找麻烦。

但是海外的事工若需要联络，完全应该建立signal或者wire群，没必要在微信上吆呼。

我的翻译项目组，已经全面迁移到Signal通讯了。今后不采用或者技术上不能采用Signal通讯的译者，也许连合作的机会也没有了。

采用其他通讯方式，有的时候技术门槛会高一点，操作会麻烦一点。例如俄罗斯最近一次性封锁了1900万个IP地址，因为不准采用telegram聊天。但是，技术门槛高并不是我们放弃隐私的借口，也许有一天大家要像罗马帝国的基督徒一样，用脚画一条鱼才能彼此识别，就像段友们现在已经不得不采用“一长两短”才能碰头了。

---

有一天我给几位朋友说，其实许多人不使用signal的原因，并不是技术障碍，而是认识问题。大家总觉得安全无所谓，放弃隐私没问题，反正都是在国内裸奔着。

算了，我过敏得眼睛都睁不开了，还是不说了，早点睡觉吧。