win10+多個 openwrt 路由, 有 socks5 dante server. 配合 sandboxie plus, proxifier 可以做到半 air gap 嗎?
walterdarrell063 · 2 天前 · 542 次点击思路: 最上的 openwrt 路由 block 了 win10, 但容許 local LAN local LAN 也是 openwrt 路由, 設了 dante socks5 server, 有 username , passwd. 可是 socks5 是明文 packet.
win10 中, 用 ssh tunnel/ stunnel 等等連上 socks5 server, 再用 socks5 上去, 這樣 spyware 就看不到 socks5 的 username, passed.
这是建基於 win10 本身沒有人工智能的情況下。
能當作一個方案嗎? 老美國防部的電腦也不會是 100% 安全。
 |
1
walterdarrell063 OP 就是說, 建基於 win10 絕大部份時間是可信,
假設 win10 本身"不是"spyware. |
 |
2
yankebupt 2 天前
看不到 socks5 的 password 会影响反向打洞么?比如 spyware 开个 http(s)长链接反向隧道?
也是……全依赖沙盒不爆 0day......不过换成 VM 也好不了多少,万一 CPU 漏洞……而且侧信道什么的…… 什么是侧信道?侧信道现在已经很普及了。如果你浏览器不 block tracker,你用沙盒和宿主机访问一个广告 tracker ,大概率判定的是同一个人或者一家人,很可能会根据你沙盒中的行为推断你在宿主机上的一些习惯。虽然没有直接信息泄露,但也可以看作是一种信息泄露。 |
|
3
walterdarrell063 OP @yankebupt 最上的 openwrt 路由 block 了 win10, 但容許 local LAN
|
|
4
walterdarrell063 OP @yankebupt spyware 會知道我設立了那條 SSL tunnel/stunnel ma?
|
|
5
yankebupt 2 天前
你把浏览器和 spyware 分开装在不同的沙盒么?如果浏览器能用 proxifier ,spyware 能读到设定啊
|
|
6
yankebupt 2 天前
你 proxifier 套在沙盒外面?有点懂了,我再想想
|
|
7
yankebupt 2 天前
http 连接是你连对方的 80 (或某些)端口,同时开放一个临时端口接受返回信息,反向隧道就利用这个临时端口。你应该保证 spyware 不能访问网络或者不能像浏览器一样访问网络
|
|
8
yankebupt 2 天前
spyware 如果能劫持已经挂载了 proxifier 的浏览器,就能知道开的那个临时端口是多少(经过多次 map 映射在沙盒里面的那个端口),然后可以劫持那个端口。
所以要么分开关押,要么还是依赖沙盒强度,我觉得 |
|
9
walterdarrell063 OP 我也不清楚, 看有沒有高手分享吧。
|
|
10
walterdarrell063 OP @yankebupt 这个可以, 加个 foss 的 simplewall.
|
|
11
walterdarrell063 OP windows 比 linux 好用太多。
即使 win 版,linux 版 chrome 都有, 我都 tmd 不想用 linux. 而事實是, 很多都只有 win 版 e.g. mindmanager. 可我是中國人, 是老美的死对頭的子民。 唯有出此下計。 |
|
12
walterdarrell063 OP @yankebupt 另外, 昨天我已問过 claude 3.5 sonnet 了, 他也主动說了要用 firewall.
|
Select Language