云风的 BLOG: 有点神经过敏

最近网上流传着许多关于 SSL 安全性的传言。由于大多数相关链接由于总所周知(?)的原因，不能访问。大家自己搜索 "GFW发飙，SSL窃听?" 这篇文章读。里面提到这么一个东西，据说 "妄想使用Gmail等采用HTTPS登录的Webmail逃避检查也是徒劳的，UTM Plus内置的SSL代理可以截断所有单向验证的SSL请求，对解密后的内容进行控制、审计。也就是说，利用这个代理，一切基于SSL隧道的应用协议都被纳入控管范围，不会再有漏网之鱼。"

我初看时，不以为然。不就是做个假证书做中间人攻击么？关键还在于用的人自己要有足够的安全意识。

前两天我爸过生日，买了个 HTC Hero 送他。配置机器的过程中，我加了个连接到 https://reader.google.com 的书签。没想到，刚一访问，浏览器就警告：这可能不是您要查找的网站。

我想我是神经有些过敏，仔细检查了一下证书。发现是签给 www.google.com 的，而不是 reader.google.com 。真是奇怪啊。有点不放心，再检查了签发 CA 的 Thawte ，貌似不是家山寨 CA 。

DNS 换到 openDNS 也没有问题。还是不放心，问了国外的朋友，google 的证书的确是这家公司认证的。另外，我再用 tor 看了一下，也没有问题，这才放心。

btw, 最近 tor 终于沦陷了一半。回想起去年 twitter 上的同学给我转的有关 tor 的安全问题的几篇 paper 。不过似乎只是公开目录被墙了，搞到些匿名的 tor bridge 的 ip 加上去还能工作。

刚好，最近两天相关的帖子突然在我的 reader 里出现了许多，有兴趣的可以参考阅读。

理解SSL窃听

SSL窃听攻击实操

注：开放自己公司域名下的 email 注册是个很糟糕的安全隐患。记得刚到网易时就有同事跟我聊起这个。可惜早期网易以 163 邮箱起家，即使很早发现这个问题，也已经晚了。

国庆休假，不过还有些工作要做。下个月要去帝都参加 csdn 组织的软件开发大会，得准备一下幻灯片。这次我计划的题目是： C/C++ 与 Lua 的混合编程。

还想花点时间理一下项目里不是我写的那部分代码。

闲余时间在读杨小凯的《牛鬼蛇神录》，还不错吧。