V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
terrytw
V2EX  ›  程序员

既然 socks5 proxy credentials 都是明文的,那么 authentication 意义何在?

  •  1
     
  •   terrytw · 2022-10-26 20:34:29 +08:00 · 5116 次点击
    这是一个创建于 760 天前的主题,其中的信息可能已经有所发展或是发生改变。

    不是非常理解这个逻辑

    大佬们求教

    30 条回复    2024-03-13 18:12:45 +08:00
    ZhenShaw
        1
    ZhenShaw  
       2022-10-26 20:37:02 +08:00 via Android   ❤️ 5
    http 也是明文的,所以账号密码的意义何在?
    terrytw
        2
    terrytw  
    OP
       2022-10-26 20:50:23 +08:00
    @ZhenShaw 那么意义何在呢?
    诚心求教
    既然随便一抓包就知道用户名和密码了,那么和无用户名和密码有何区别呢?
    cppc
        3
    cppc  
       2022-10-26 21:20:03 +08:00   ❤️ 2
    认证是认证,加密是加密
    lambdaq
        4
    lambdaq  
       2022-10-26 21:24:06 +08:00
    @terrytw 你硬要讨论有什么区别,比如我可以约定一个账号只能建立一个 tcp 连接;你拿到用户名密码也没法发起新的连接。
    bybyte
        5
    bybyte  
       2022-10-26 21:25:43 +08:00
    没有认证,谁都可以用你的来 proxy ,有了认证,知道账号密码的人才能用你的服务器 proxy
    shansing
        6
    shansing  
       2022-10-26 21:28:11 +08:00
    因为能恶意用户能不能抓到包是一个分水岭,只有很少的用户才能在网络中抓到包。
    rekulas
        7
    rekulas  
       2022-10-26 21:30:38 +08:00
    可能因为 socks5 被设计出来就不是为了做 proxy 的,主要功能应该是用于协助数据交换
    正确来说应该是 socks5 协议而不是代理
    masker
        8
    masker  
       2022-10-26 21:32:06 +08:00 via Android
    2012 年的老账号了,还是程序员,问这个问题感觉有点抖机灵
    hahasong
        9
    hahasong  
       2022-10-26 21:41:44 +08:00
    授权、访问控制、加密实现了安全三素:数据完整性、可用性、机密性。克服了篡改、伪造、泄密

    计算机安全基础知识
    Aliencn
        10
    Aliencn  
       2022-10-26 21:49:31 +08:00   ❤️ 1
    确实不了解这个,查了一下资料。
    socks5 的账号密码的认证方式确实是明文的,有泄漏的风险。
    不过 socks5 有 GSSAPI 和 SOCKS5 over TLS 的方式来保证安全的。
    https://zh.m.wikipedia.org/zh-hans/SOCKS#SOCKS5
    账号密码用的比较广泛的原因还是用起来比较简单吧,为了方便牺牲了安全性。



    PS:楼上的几个人的回答无力吐槽。
    eason1874
        11
    eason1874  
       2022-10-26 22:17:27 +08:00   ❤️ 3
    因为鉴权跟加密是两码事,身份验证是用来区分用户身份的,不是用来保证链路安全的
    bigboyq
        12
    bigboyq  
       2022-10-26 22:24:18 +08:00   ❤️ 1
    “SOCKS5 RFC1928”, 发布于 1996 https://www.rfc-editor.org/rfc/rfc1928
    “RFC 2818: HTTP Over TLS”,发布于 2000 https://www.rfc-editor.org/rfc/rfc2818
    “既然 socks5 proxy credentials 都是明文的,那么 authentication 意义何在”,发布于 2022
    Jooooooooo
        13
    Jooooooooo  
       2022-10-26 22:25:48 +08:00
    @terrytw 你要不抓包获得我这个账号的用户名和密码然后用我这个账号发个帖子. 你发现做不到的时候就知道登录的意义在哪了.
    sujin190
        14
    sujin190  
       2022-10-26 22:31:33 +08:00 via Android
    能用代理的又不一定能抓包,既然都有权限整个网络抓包了还要啥代理啊,直接改网络配置就是了呗,现实场景很多的,再说加密和权限认真本来就不是一回事,难道有了 https 就不要登录了,内网部分机器需要外网给代理也没问题吧
    CCIP
        15
    CCIP  
       2022-10-26 22:32:24 +08:00
    @bigboyq 笑死我了
    8520ccc
        16
    8520ccc  
       2022-10-26 22:44:42 +08:00
    抓包你又不能抓别人的包。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
    heiher
        17
    heiher  
       2022-10-26 23:48:35 +08:00
    我的 socks5 就是明文传输的简单的用户、密码认证,你也能到抓到包,但是客户端和服务端约定了动态生成算法是一次一密。嘿嘿,意义是不是来了~
    neptuno
        18
    neptuno  
       2022-10-26 23:49:58 +08:00 via iPhone
    我能找你电脑上的包吗?
    yankebupt
        19
    yankebupt  
       2022-10-27 02:07:42 +08:00
    先不说 SOCKS5 over TLS 了,你可以说那是过度使用了。
    就假设禁用 TLS ,还没 TLS 的时代

    假设我的 proxy 密码是个网易将军令,根据时间动态生成的那种。

    你抓了包看了我访问的全部内容又有什么用呢?不还是不能用这个 proxy 。
    所以网易将军令这样的 token 2FA 直播时可以把密码打在公屏上的意义何在?不是都让人看光了么?
    MFWT
        20
    MFWT  
       2022-10-27 08:53:00 +08:00
    因为 authentication 和 encryption 是两个独立的概念啊
    superrichman
        21
    superrichman  
       2022-10-27 09:36:16 +08:00
    你公司的保险柜密码门都没防偷窥措施(明文),那要密码( authentication )做什么呢?
    fkdog
        22
    fkdog  
       2022-10-27 10:14:35 +08:00
    你平时开发有没有用到 mysql 、redis 、kafka 这些中间件?
    一般他们默认链接都是 tcp+明文协议,不是照样有用户名和密码?
    照你的理解,是不是没有 tls 包一下的协议,都不需要用户名和密码了?
    Kinnice
        23
    Kinnice  
       2022-10-27 10:19:02 +08:00
    首先你假定了你能抓到别人的认证包,但是你没这么大的能耐。
    adoal
        24
    adoal  
       2022-10-27 10:35:23 +08:00
    authentication 和 encryption 是两件事。
    byte10
        25
    byte10  
       2022-10-27 11:07:38 +08:00   ❤️ 1
    @Aliencn 有意思。不仅仅楼上,还有楼下,估计都没明白楼主要表达的意思。

    楼主的担心是密码被别人看到,导致代理服务器被别人利用。

    楼主想要的答案应该是:SOCKS5 over TLS 。
    terrytw
        26
    terrytw  
    OP
       2022-10-27 13:46:02 +08:00
    2012 年的老账户为啥一定就是程序员了...
    nmap
        27
    nmap  
       2022-10-27 22:15:09 +08:00
    笑话,你来抓我的包试试😆
    Ipsum
        28
    Ipsum  
       2022-10-28 14:04:53 +08:00
    你控制不到网关,抓个我的包试试?
    lingex
        29
    lingex  
       2022-10-29 12:05:44 +08:00
    会抓包的是少数,真去抓包的又是少数里的少数。

    就像家里的大门,拧一下就开和压根没装门,差别还是有的。

    再如公司的代码,规定是不允许带出公司,虽然可能有很多漏洞可以带出去,但是有规定和没规定性质和后果也是不一样的。
    hzj629206717
        30
    hzj629206717  
       256 天前
    看了大家的回复。

    没有绝对的安全,安全是有等级的,大多数的时候是防君子不防小人。
    正常人能抓的是有线局域网 Hub 碰撞域的包( Switch 隔离了碰撞域),或知道密码的无线局域网的包。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3179 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 00:45 · PVG 08:45 · LAX 16:45 · JFK 19:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.