余弦知乎living

1、开场

• 知乎存在XSS漏洞，利用漏洞可以做到窃取他人隐私。例如：你只要收到我发送的消息，我就可以完全控制你的APP账号权限，这是在iPhone上
• 因为：iPhone 上的这个 App 把页面加载进 file 协议，而 Android 不是这样干。file 协议是本地的协议，权限高，可以跨域影响 http/https

2、新手环节

• 2个手机（iphone,一加），iphone非越狱，关闭icloud,指纹解锁
• iphone购买优质付费APP,强烈推荐iFiles2和1Password。iFiles2可以存储自己的私人东西，任何文件，视频，图片等。注意在iPhone中要把iFile2的网络禁用掉，以防这货偷偷把数据上传到云端。1Password，密码管理器，唯一推荐，在iPhone中把网络禁用掉。一切能不上云的都不上云。
• 出门一定要把iPhone的wifi开关关闭。因为有一类攻击叫做Wi-Fi钓鱼攻击，专门采集手机连过的SSID,然后伪造SSID,坐等你的接入
• Wi-Fi钓鱼攻击自行搜索关键字：Karma
• Mac电脑下，磁盘加密FileVault必须开启，加密磁盘是个好习惯，网易电脑丢了，里面的资料是安全的
• 除了Mac自带的Safari浏览器，还建议安装Chrome和Firefox。为什么？因为上网习惯要开始分离了。
• Mac也会付费购买优质软件，比如虚拟机的Parallels Desktop,贵。虚拟机免费安装需要Virtualbox。同样关闭iCloud
• 传输共享文件一般人都是通过QQ,微信传输。如果是Apple系列，AirDrop蓝牙传输的内置编辑解决方案实在太赞
• Windows10自带的BitLocker作为磁盘加密也是非常的赞，可以只加密一个分区，更棒的是可以加密U盘，移动硬盘
• 除了Windows10上自带的浏览器外，我也会安装Chrome和Firefox
• Windows上虚拟机建议使用Vmware Workstsation，注册码激活，注册码自己找
• Windows如果非得用盗版，如果是仅通过注册码方式就可以激活，那么OK。如果是给你一个激活工具去激活，我想你还是悠着点。实在不行把盗版软件扔进虚拟机里。
• Windows10的隐私设置好好看一遍，把什么定位，信息收集全部关掉。
• 杀毒软件尽量安装国际知名的
• Mac上基本没杀毒软件说法，为什么？默认安全策略，严格安全策略。但是这不意味着Mac绝对安全。开头说iPhone上的App XSS,以及Mac电脑很多用户实际上会乱安装软件的，出问题都不知道去哪里哭
• 马甲的重要性！包括多一台手机，多一台电脑，分离出来做特别的事
• 比如专门的手机和手机号用来注册不重要的事情
• 密码管理非常重要，重要的密码记在心里，不重要的丢到1Password
• 比如我之前说过，我喜欢一本书，书里的人名都可以成为我的密码体系的组成部分，很难忘记
• 收邮件用Outlook客户端，电脑和手机都有。不要去登陆Web端查看邮件，因为你很难再Web防御XSS
• 当然Gmail是肯定可以的，哈哈哈！
• 线下，不轻易给名片、信用卡，微信。手机号

3、老司机篇

• 通信方面我使用Signal,Gmail,ProtonMail,PGP Encrypt。Signal,嗯，目前还没被墙，通信加密我信任，你要问我为什么信任？因为我做过深度的研究
• Gmail为什么可靠？就Web安全而言，在对抗XSS,CSRF策略，这在邮件攻击力是最常用的手法，另外在很多细节上都具有前瞻性，如：全域HTTPS策略，Cookie策略，内容分离策略，账号风控策略，图片安全策略，恶意内容对抗策略
• ProtonMail，现在在网页端就可以注册，不需要什么手机号，可以做到拥有个匿名邮箱
• PGP Encrypt这个是我iPhone上的一个APP,你们可以买一个看看，以后微信发消息用这个加密下，神仙也破解不了。除非有算法后门
• 关于磁盘加密，在新手篇提到的FileVault和BitLocker,那么想要更高强度加密磁盘，可以使用TrueCrypt和VeraCrypt
• 老司机必须熟悉Wireshark,BurpSuite,Fiddler2
• 在咖啡厅连接公共Wifi如果做到安全？走VPN隧道
• 下面介绍黑手。强烈推荐黑手解决方案：一加一代手机(淘宝可以买到2手，足矣)
• 黑手不是拿来自己使用的，而是用来把这个Wi-Fi网络黑一遍的
• 一加一代刷机非常稳定，只需掌握好adb，fastboot两个命令
• 自由上网注意下：不要使用免费VPN
• 当你的隐私受到侵犯时，注意使用法律维护自己的隐私
• 浏览器的隐私模式好过直接浏览
• JavaScript

https://valve.github.io/fingerprintjs2/

这是js抓取浏览器的指纹相关信息，这个技术在各大统计js中都有，可以用于跟踪用户习惯 如果有Firefox浏览器并且安装了Firebug可以来个测试，例如：http://xssor.io/s/firebug1.html http://xssor.io/s/firebug2.html，http://xssor.io/s/firebug3.html,这是我发现的可以探测你的浏览器安装了什么插件

如果你安装了firefox插件，就会弹出上面这个提示

• Firefox推荐安装的一些安全扩展 见手机笔记，我首推：NoScript,Adblock Plus,Ghostery

推荐上面这些插件

• 关于PGP,电脑上大家可以用https://www.gnupg.org/ ,Gpg4win(专为windows而生的),GPG Suite（前提是要掌握好gpg这个命令，掌握后，就非常方便使用PGP来加密传输共享内容了）
• 关于匿名，“没有约束的自由诞生不了文明”
• 匿名货币推荐：比特币<门罗币
• 玩技术的同学推荐用VPS搭建VPN,SS,强烈推荐
• TOR浏览器 国内是用不了的，VPN出去才行,他是打开暗网世界的钥匙
• 匿名方面推荐Whonix
• 还有一款就是为匿名而生的操作系统，Qubes OS。斯诺登的图片

• 一些忠告，只说一次

• 现在泄露的都泄露了，但你还有未来
• 假设你的隐私都泄露了，万一泄露了，会造成什么影响
• 互联网那头和你聊天的也许是只狗
• 免费，他们图什么？
• 从现在开始懂点法律，学点安全技能，技多不压身