这是一个创建于 333 天前的主题,其中的信息可能已经有所发展或是发生改变。
不是非常理解这个逻辑
大佬们求教
 |
1
ZhenShaw 333 天前 via Android  5
http 也是明文的,所以账号密码的意义何在?
|
 |
3
cppc 333 天前 2
认证是认证,加密是加密
|
 |
5
bybyte 333 天前
没有认证,谁都可以用你的来 proxy ,有了认证,知道账号密码的人才能用你的服务器 proxy
|
 |
6
shansing 333 天前
因为能恶意用户能不能抓到包是一个分水岭,只有很少的用户才能在网络中抓到包。
|
 |
7
rekulas 333 天前
可能因为 socks5 被设计出来就不是为了做 proxy 的,主要功能应该是用于协助数据交换
正确来说应该是 socks5 协议而不是代理 |
 |
8
masker 333 天前 via Android
2012 年的老账号了,还是程序员,问这个问题感觉有点抖机灵
|
 |
9
hahasong 333 天前
授权、访问控制、加密实现了安全三素:数据完整性、可用性、机密性。克服了篡改、伪造、泄密
计算机安全基础知识 |
 |
10
Aliencn 333 天前 1
确实不了解这个,查了一下资料。
socks5 的账号密码的认证方式确实是明文的,有泄漏的风险。 不过 socks5 有 GSSAPI 和 SOCKS5 over TLS 的方式来保证安全的。 https://zh.m.wikipedia.org/zh-hans/SOCKS#SOCKS5 账号密码用的比较广泛的原因还是用起来比较简单吧,为了方便牺牲了安全性。 PS:楼上的几个人的回答无力吐槽。 |
 |
11
eason1874 333 天前 3
因为鉴权跟加密是两码事,身份验证是用来区分用户身份的,不是用来保证链路安全的
|
 |
12
bigboyq 333 天前 1
“SOCKS5 RFC1928”, 发布于 1996 https://www.rfc-editor.org/rfc/rfc1928
“RFC 2818: HTTP Over TLS”,发布于 2000 https://www.rfc-editor.org/rfc/rfc2818 “既然 socks5 proxy credentials 都是明文的,那么 authentication 意义何在”,发布于 2022 |
 |
13
Jooooooooo 333 天前
@terrytw 你要不抓包获得我这个账号的用户名和密码然后用我这个账号发个帖子. 你发现做不到的时候就知道登录的意义在哪了.
|
 |
14
sujin190 333 天前 via Android
能用代理的又不一定能抓包,既然都有权限整个网络抓包了还要啥代理啊,直接改网络配置就是了呗,现实场景很多的,再说加密和权限认真本来就不是一回事,难道有了 https 就不要登录了,内网部分机器需要外网给代理也没问题吧
|
 |
16
8520ccc 333 天前
抓包你又不能抓别人的包。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
|
 |
17
heiher 333 天前
我的 socks5 就是明文传输的简单的用户、密码认证,你也能到抓到包,但是客户端和服务端约定了动态生成算法是一次一密。嘿嘿,意义是不是来了~
|
 |
18
neptuno 333 天前 via iPhone
我能找你电脑上的包吗?
|
 |
19
yankebupt 333 天前
先不说 SOCKS5 over TLS 了,你可以说那是过度使用了。
就假设禁用 TLS ,还没 TLS 的时代 假设我的 proxy 密码是个网易将军令,根据时间动态生成的那种。 你抓了包看了我访问的全部内容又有什么用呢?不还是不能用这个 proxy 。 所以网易将军令这样的 token 2FA 直播时可以把密码打在公屏上的意义何在?不是都让人看光了么? |
 |
20
MFWT 332 天前
因为 authentication 和 encryption 是两个独立的概念啊
|
 |
21
superrichman 332 天前
你公司的保险柜密码门都没防偷窥措施(明文),那要密码( authentication )做什么呢?
|
 |
22
fkdog 332 天前
你平时开发有没有用到 mysql 、redis 、kafka 这些中间件?
一般他们默认链接都是 tcp+明文协议,不是照样有用户名和密码? 照你的理解,是不是没有 tls 包一下的协议,都不需要用户名和密码了? |
 |
23
Kinnice 332 天前
首先你假定了你能抓到别人的认证包,但是你没这么大的能耐。
|
 |
24
adoal 332 天前
authentication 和 encryption 是两件事。
|
 |
25
byte10 332 天前 1
|
 |
26
terrytw OP 2012 年的老账户为啥一定就是程序员了...
|
 |
27
nmap 332 天前
笑话,你来抓我的包试试😆
|
 |
28
thank243577 331 天前
你控制不到网关,抓个我的包试试?
|
 |
29
lingex 330 天前
会抓包的是少数,真去抓包的又是少数里的少数。
就像家里的大门,拧一下就开和压根没装门,差别还是有的。 再如公司的代码,规定是不允许带出公司,虽然可能有很多漏洞可以带出去,但是有规定和没规定性质和后果也是不一样的。 |
Select Language