基于GAE的GoAgent代理的安全提醒

2012年5月24日 | 分类: 翻墙相关 | 标签: , , , ,

在有很多天朝网友在学在用GoAgent翻墙,原因是GoAgent把GAE架设代理过程简单化了,基本上是都能够学会,也时不时有网友关注GoAgent的安全问题,美博园觉的有必要专题说明如下:

美博园认为使用GoAgent的安全原则是(至少目前是这样):适合一般网友翻墙浏览海外一般被墙的网站,或者是facebook、twitter、google+、youtube等等。对于国内安全性要求高的敏感人士最好不要使用GoAgent翻墙,原因如下:

1、其实GAE(google appengine)并不是用来做代理翻墙的,只是google被赶出后,google默认了用它来做代理翻墙。

2、要使用GAE(包括GoAgent)首先需要手机验证帐号,那么对安全要求高的网友,就要注意这点,这是有记录可查的了。

3、当使用GoAgent或GAE时,利用查ip等工具可以查看到使用者的 google gae id,那么也就是说这并不是隐蔽运行,google是将其公开的;

4、有网友说:GAE不是被墙了吗,为什么还能用它翻墙?其实这就是goagent的一大安全隐患了。GAE代理为保障速度和可用性,保障网友快速 使用google产品,多是使用google在北京的服务器,查IP大家可以看得出来,在goagent的源文件中也可以看到。

虽然google与北京GFW的关系目前很一般,但毕竟ip是在“北京”,那么安全上是否绝对到达有些敏感朋友的要求就不得而知了。

5、goagent作者说过:为提高速度其默认传输数据没有加密只是简单的压缩以绕过GFW,这也是很大的安全隐患;

6、GAE原本就不支持https的访问,GAE平台上的代理都是通过导入伪造证书实现 https 网站不再提示证书错误,这样做当然是对ssl加密的https浏览人为的失去安全防范。

所以,作者也提醒并警告:对安全有考虑的用户,请务必使用自己搭建的goagent服务端并且设置proxy.ini的mode=https 。

也就是说,gogaent与hosts翻墙的安全性,可以大略归类在一个水平级上,当然比hosts要高一些。所以,美博园一直没有推荐安全性要求高的网友使用goagent翻墙。如果是作为一般翻墙之用,不失为一个很好的代理工具。

原文http://allinfa.com/gae-goagent-security-reminder.html

在“翻墙代理goagent常见问题摘要及搭建使用详细教程:http://igfw.net/archives/7759 ”一文中我也曾对GoAgent代理的安全性有过三个安全提示,有兴趣的可以看看。

goagent 1.8.6 稳定版下载 http://goo.gl/pTt0W

[0518 是] 1.8.6发布,GAE/PHP服务端优化,建议重新上传。客户端尝试忽略失效的hosts文件。

简易教程 http://code.google.com/p/goagent/

  1. 2012年6月2日15:05

    学习了

  2. 2012年5月26日20:50

    部署apjp受挫了,跟着教程一步一步做就是不能用,完全受打击了,感觉我技术不能这么烂啊。

  3. 匿名
    2012年5月25日10:29

    apjp + heroku,表示神速,自信的飘过~

  4. 2012年5月25日09:36

    菜鸟 :翻墙;在技术上挺重要的,但但更重要的是翻越心中那道无形的墙.

    受教了

  5. 菜鸟
    2012年5月25日07:00

    翻墙;在技术上挺重要的,但但更重要的是翻越心中那道无形的墙.

  6. 2012年5月25日00:15

    对于我等小民,安全要求没那么高,就算发敏感信息也是在墙外,goagent的速度优势很明显。

    和諧不是一百個人在說同一番話,和諧是一百個人在有一百句不同的話的同時,互相尊重。

    • goagent
      2012年5月25日08:01

      这点你就错了,正如GoAgent作者所说谷歌都能被党国入侵,我等小民防党国是有些天方夜谭。
      平时注意安全问题不只是针对党国的,主要还有防止一般黑客,GoAgent没有任何加密,一般黑客监听窥视其都是小菜一碟。
      所以不要使用GoAgent登录含有重要信息的网站,比如你的重要邮箱(比如gmail)、重要社交网络(比如推特、非死不可等)和支付平台等含有个人重要信息的网站。
      goagent的速度没有wallproxy-plugins快,这一点在校园网IPv6环境下表现更明显。
      goagent没有snova傻关易用(snova内置网友共享的gae帐号,用户无需自己搭建服务器端即可使用),更没有其好看实用的外观。

      • 匿名
        2012年5月25日09:19

        更正一下,谷歌被入侵不是党国的最大战绩,貌似党国曾成功入侵过美国白宫、卫星发射中心。貌似apjp也是伪造证书浏览https网站。

        • iGFW
          2012年5月25日09:49

          snova有些云平台可以原生支持https网站无需伪造证书。

  7. 菜鸟
    2012年5月24日23:15

    wallproxy 很久没更新了,还能用,还是安全的吗?APJP 如果配制简单一些,是绿色版就好了.

  8. google
    2012年5月24日22:22

    还是wallproxy 、 APJP 、 Snova 更安全。
    谢谢博主分享。 这个安全提醒很重要。 GoAgent的数据确实没有加密, 只是压缩