Re: [新聞] 第二類電信開放 NCC：無國安疑慮 - traume板

看板 Gossiping
作者 HowLeeHi (處處留心皆正妹)
標題 Re: [新聞] 第二類電信開放 NCC：無國安疑慮
時間 Mon Apr 14 16:38:00 2014

: : 我們回到數據交換通信服務來專注討論。這業務，典型誰在用？例如我有企業，而我的分
: : 公司或特別重要的客戶在中國。那兩者之間可以建立一個專線，讓兩地之間看起來像是同
: : 一個網路。注意，這時候兩個是被視為一個封閉的網路。這次開放主要的目的就是讓提供
: : 這服務的公司在中國有據點。而且中資也可以投資。坦白說，你只要就算用純臺資的二類
: : 電信業者連到中國好了，在中國的那一頭難道會是臺資的嗎？因此任何合理的業者都會用
: : 加密來保護。如果有人不介意，那是企業自己的選擇。這早就超過國家保護的合理範圍。
: : 到這邊我們就知道所謂的絕不能開放，根本只是炒出來的議題，因為他是讓你可以用中國
: : 人投資的二類電信公司連到中國。你如果擔心中國，你必然會加密。那二類電信業者是否
: : 有中資，真的不是你要擔心的。

其實政府在講什麼加密就很安全之類的鬼話...那就是在騙人不懂 0rz

幾年前就有個網路界大事，就是對岸的 CNNIC 組織取得 Root CA的資格

這組織根據對岸的某位來台演講的人士說這在大陸是個很奇怪的組織.

反正根據網路上查到的資料，這組織過去的歷史就是....罄竹難書 = =

如果你的封包會經過這些對岸來台開的公司的話，那麼你的SSL(web,mail..)等連線

內容完全就會在對方的掌控之中.(看對方要不要而已,而且你一定不會發現)

不信的人去這個網站測試一下

https://www.cnnic.net.cn/hlwfzyj/

中国互联网络信息中心

如果你可以正常瀏覽，而且完全沒有任何警告視窗的話

那麼你就是潛在的受害對象了.

當然你可以另外把它擋下來啦...

問題是知道要擋的人很少

而且如果你電腦重灌, IE 跟 Chrome還要記得再去系統設定(因為他們是吃os的設定)

Firefox的允許CA清單(就是憑證管理中心)是自己管的,ff重灌後也要另外去擋一遍.

簡單來講，就是很麻煩又很危險....

--
你的行動或許沒有意義，但你還是非做不可。

這不是為了改變世界，而是為了讓你成為不會被世界改變的那個人.

– 甘地(Mahatma Gandhi)

--

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.167.60.49
※ 文章網址: http://www.ptt.cc/bbs/Gossiping/M.1397464687.A.5A4.html

※ 同主題文章:

Re: [新聞] 第二類電信開放 NCC：無國安疑慮

04-10 14:43 alan99

Re: [新聞] 第二類電信開放 NCC：無國安疑慮

04-14 16:38 HowLeeHi.

→ ctx705f:幹不敢點啦1F 04/14 16:39

→ KillQB:猶豫要不要複製貼上試看看....2F 04/14 16:40

→ martintp6:糟了3F 04/14 16:41

推 ctx705f:完蛋了我只有跳出“你要翻譯此網頁嗎?”4F 04/14 16:42

推 seeback:可以點勒～我是學校網路5F 04/14 16:43

→ simonohmygod:你又沒講怎麼設定誰敢點6F 04/14 16:43

推 Absioute:糟了它只問我"是不是只開啟安全部分的內容"7F 04/14 16:43

推 mbtvsbmp:請問元po要怎麼擋?8F 04/14 16:44

推 yichenglee:講清楚一點啦...9F 04/14 16:45

→ jhbgybj123:safari不會擋啊阿啊阿啊阿啊阿啊啊10F 04/14 16:50

safari我好久沒用了,不知道你系統是哪個,我幫你找另一篇文
http://0rz.tw/t5PuK

为Mac的Safari浏览器屏蔽CNNIC证书 » 爱折腾

啊...講著講著就忘了提供擋法 sorry

其實網路上很多教學，我貼一篇連結上來

http://0rz.tw/J7TO3

請刪除/移除瀏覽器中 CNNIC 的 CA 根憑證 @ 討生活 :: 隨意窩 Xuite日誌
先前曾有網友貼了篇關於 Firefox 根憑證 CA 的安全性可疑的中國互聯網絡信息中心 SSL 憑證   最近發現 Firefox 更新後， CNNIC 的認證竟然無法刪除!! 由於 CNNIC 曾有過"不良記錄"，所以...這下子事情大條了。 ---------------------------------------------------------------------------------------------- 在網路上傳輸的任何訊息都可能被惡意攔截。因此，如果網站需要用戶傳輸資料很敏感，譬如銀行金融的交易，個人 @ Open,Source,MIS,高雄,IT ...

※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 16:51:41

推 adwowcuthand:完了我辦公室的電腦可以正常瀏覽沒跳出任何訊息11F 04/14 16:52

推 Dheroblood: 已取消瀏覽該網頁12F 04/14 16:53

※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 16:56:07

推 jhbgybj123:10.9 maverisks13F 04/14 17:00

mac預設承認的root ca很少，瀏覽該網站應該會跳出警告視窗
不過網路上也有一篇教學
http://jclin.blogspot.tw/2010/02/mac-os-x-key-chain-cnnic-root.html

I'm just what I am: 刪除 Mac OS X Key chain 的 CNNIC 根憑證 Root Certifications

※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 17:02:49

推 martintp6:chrome呢14F 04/14 17:06

推 jeta890119:那篇教學的作者我認識...15F 04/14 17:07

XDD

→ martintp6:我找到了0.016F 04/14 17:07

推 s86871144:chrome應該就照IE的擋法吧?17F 04/14 17:08

沒錯，因為chrome和IE是吃系統的設定
※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 17:11:15

推 jeta890119:CHROME是抓系統的憑證18F 04/14 17:10

推 martintp6:工具==>設定==>憑證然後找上述那幾個19F 04/14 17:10

對了，這還只是電腦上的設定，想想大家身邊的手機和平板...

愈想愈恐怖0rz
※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 17:14:02

推 dtdon1699:好恐怖20F 04/14 17:15

※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 17:18:09

推 jhbgybj123:QQ 方法的版本跟我的版本不同找不到21F 04/14 17:17

→ HowLeeHi:可以找到keychain嗎?22F 04/14 17:18

推 after1:輕鬆瀏覽無障礙~~ 幹!!!!23F 04/14 17:21

推 locklose:我記得當時ff納入該ca的原因是無罪推論原則24F 04/14 17:23

→ HowLeeHi:嗯嗯,目前還沒辦法證明沒錯，就看個人相不相信它囉25F 04/14 17:28

推 locklose:bugzilla 542689 從2010/1吵到2013/12
標題就直接please remove CNNIC CA root26F 04/14 17:38

推 odsan:ok 設定完畢...太可怕了28F 04/14 17:40

推 locklose:bugzilla 476766 這篇也很精彩29F 04/14 17:42

→ HowLeeHi:哇靠，真的吵好久,可是還是很多使用者不知道這件事
不過想想,ff還有得吵,chrome直接吃ms的設定..30F 04/14 17:44

推 locklose:某期T客幫好像也有放這一篇文章32F 04/14 17:46

→ HowLeeHi:微軟認哪些...他就跟著認哪些...唉33F 04/14 17:47

→ locklose:反正就是神人跟中國國家機器間的戰爭34F 04/14 17:48

→ HowLeeHi:是哦，t客幫那篇文章我google不到@@
嗯,知道這件事的人還可以擋一下,不知道的就只好多燒香了我在想如果中國硬要來，除了CNNIC這招應該還會有其它招..35F 04/14 17:50

推 locklose:我是從學校圖書館看雜誌得知，但是有沒有網路版我就不確定了
工作一年多要回想爽爽大學生看雜誌的內容有點辛苦38F 04/14 17:53

→ HowLeeHi:原來如此,不過現在全球駭客在忙著另外一件事XDD41F 04/14 18:00

推 XuanA:GJ42F 04/14 18:00

推 DDD2002:Mac OSX safari也沒擋 QQ43F 04/14 18:16

→ HowLeeHi:唉唉..mac應該要進keychain來擋,手邊沒mac可以試唉44F 04/14 18:28

推 msbdhdfceb:我剛剛直接從certmgr.msc把那兩個憑證拉到不受信任
這樣就ok了嗎? 我目前連不上去了45F 04/14 18:29

沒錯

推 kenick:設完後 cnnic.net的網站還是上得去....
我是用CHROME47F 04/14 18:34

請問你有把CNNIC ROOT拉到不受信任的資料夾嗎
我還額外去點內容來停用它

推 APC:推49F 04/14 18:41

※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 18:42:05

推 locklose:說真的，要擋連Entrust也一起擋，這家記錄也不太好50F 04/14 18:43

其實紀錄不佳的公司一堆,還有人的私鑰被偷過拿來亂簽XDD

推 kenick:有我連同估狗來上說的Entrust.net那個也移到不受信任的資料夾並且都停用了
剛剛重開CHROME 發現加密HTTS的cnnic.net 沒跳警告但連不上但沒打HTTPS 卻連得上所以這設定是取消對CNNIC的HTTPS連線?51F 04/14 18:44

嗯，是取消有網站使用CNNIC憑證的連線
感覺您這情況有點怪，那用ie 連https會跳警告嗎?

推 msbdhdfceb:感謝　帥，讚56F 04/14 18:47

※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 18:50:35

※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 18:53:09

推 kenick:https連的話就是連不上出現您與 www.cnnic.net.cn 之間的安全連線正因為不明原因受到干擾
IE8 有跳警告XD 就CHROME沒有57F 04/14 18:52

→ HowLeeHi:看到鬼了XDDD60F 04/14 18:57

推 kenick:我也覺得看到鬼xdddd61F 04/14 18:59

※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 19:12:00

推 kenick:所以只要CHROME連不上透過https加密管道到用cnnic憑證的網站就沒事了? 就算沒跳警告62F 04/14 20:02

基本上算是少了一個被可能監控的方法,但是監控的花招幾百種,擋不勝擋0rz

→ DRIariel:服貿2電26要抓在手裡可能也是想監控來台的26..?64F 04/14 20:50

這我就不知道了...只能說這個CNNIC可以是監控的手段之一
※ 編輯: HowLeeHi (118.167.60.49), 04/14/2014 21:06:04

推 wgst88w:唉~~早就被看光光了 XDDD65F 04/14 21:05

推 Dulcia:ff移除了之後重開機進去內文的網站還是沒跳出警告視窗 Orz66F 04/14 21:21

→ HowLeeHi:是從「編輯信任」那邊勾掉的嗎67F 04/14 21:57

推 sharkimage:看不懂耶68F 04/14 23:11

→ HowLeeHi:哪邊不懂@@69F 04/15 00:30

(HowLeeHi.): Re: [新聞] 第二類電信開放 NCC：無國安疑慮 - traume板