tg某频道的“番茄安全提示“，有大佬说说？

b66667777 · 发表于 2020-2-12 16:13:55

本帖最后由 b66667777 于 2020-2-12 16:27 编辑

来自tg https://t.me/iyouport

研究人员发现了shadowsocks协议中的一个漏洞，该漏洞打破了shadowsocks流密码的机密性。攻击者可以使用重定向攻击轻松解密所有加密的shadowsocks 数据包。

由于该漏洞很明显、并且易于利用。研究人员认为zgzf已经知道这点了。因此，使用 shadowsocks 可能无法使您免受监视。

对于防御，研究人员指出：不要使用：shadowsocks-py，shadowsocoks-go，go-shadowsocks2，shadowsocoks-nodejs；仅使用：shadowsocks-libev，并且仅使用AEAD加密方式。

下面我们上传这份研究报告

Redirect attack on Shadowsocks stream ciphers.pdf
(294.49 KB, 下载次数: 51)

2020-2-12 16:11 上传
点击文件名下载附件

岁月去堂堂 · 发表于 2020-2-12 16:33:36

本帖最后由岁月去堂堂于 2020-2-12 16:38 编辑

研究报告360的人写的，还建议你使用aead?黄鼠狼给鸡拜年？

问题是go2和py版也支持aead啊。

一位不知名网友 · 发表于 2020-2-12 16:16:27

紫薯布丁

h2o · 发表于 2020-2-12 16:26:03

一直用的AEAD加密方式

b66667777 · 发表于 2020-2-12 16:28:57

md5走天下

口吐芬芳 · 发表于 2020-2-12 16:32:06

意思就是说我的ph会员账号密码有被盗风险？

hehe · 发表于 2020-2-12 16:34:03

类似于重放攻击吧, 不好防御, v2也是根据时间戳来判断的

		自动登录	找回密码
密码			立即注册