使用 VPS 降低开放 WiFi 网络上 HTTP 会话劫持的风险

使用 VPS 降低开放 WiFi 网络上 HTTP 会话劫持的风险

新的 Firefox 扩展火羊强调了一个事实,如果数据可以被嗅探,HTTP 登录会话很容易被劫持,这在开放的 WiFi 网络上是小菜一碟。

我想设置一些东西来减轻我家人的这种风险。我有一个小型 VPS(256M,当前运行 lighttpd 和 SpamAssassin),我可以利用它来实现这个目的,基本思路是,当我们使用不受信任的网络时,流量(至少是 HTTP)会通过加密隧道传输到 VPS,然后再发布到开放的互联网上。

有了这些资源我有哪些选择?如果这很重要的话,客户端都是 Mac。我知道的可能性是 OpenVPN(关键问题是,在隧道全流量配置中,它会破坏到开放网络的 DHCP 服务器的路由)和 HTTP 代理(我对此一无所知)。还有其他选择吗?我应该注意哪些注意事项和陷阱?

我希望客户端上有一些易于打开的功能(我是技术人员,但我的家人不是),并且可以适用于所有网站,无论它们是否支持 HTTPS。

答案1

运行 HTTPS 怎么样?

答案2

穿梭巴士性能优于 SSH 自己的 SOCKS 代理,配置要求也低得多。只需将其复制到每台 Mac 并在访问网络之前运行./sshuttle -r user@sshserver 0.0.0.0/0(如 中所述)。README.md

它仅隧道传输 TCP 流量,因此 DNS 和 DHCP 仍在本地网络上发生。

答案3

配置一个已保存的 putty 会话,并启用 ssh 隧道连接到您的 vps,并使用 localhost:8000(或其他)动态转发。

在 Firefox 上安装 proxybutton 扩展并将您的代理配置为 localhost:8000(或其他)。

为它们设置两个 Firefox 快捷方式“firefox.exe -proxy 0”和另一个批处理文件,其中包含命令“putty.exe -load“saved session name””,然后是“firefox -proxy 1”

firefox 快捷方式 #1 适用于安全网络,并以标准方式运行。#2 适用于不安全网络,所有流量都通过加密的 ssh 隧道路由,然后在您的 VPS 上解密,并成为您的 VPS 和 Web 服务器之间的纯 http 流量。

使用这种方法,他们必须对您的 VPS 进行身份验证才能使其真正发挥作用。您可以使用密钥自动进行身份验证,但当您无法保证端点的安全时,这会带来自身的风险。

或者,您可以设置类似 OpenVPN 的东西。不过,我不确定您的托管服务提供商对此有何看法,甚至不知道是否允许这样做。

答案4

我最终在客户端上用 Tunnelblick 设置了 OpenVPN。我们将看看它在实践中表现如何。

相关内容