免费代理服务是否伤害了我们的安全?[译文]

[原文地址]http://www.theprivacyblog.com/anonymity/are-free-proxies-hurting-your-security/

arefreeproxyhurtingsecurity

我早就说过隐私服务最重要的是信任.本文演示了如何使用一个简单的网页代理来危害使用该代理的用户.当然,这些操作都是不可信的,但这正是本文要说的问题.如果你没有充分的理由来相信你的隐私服务,你得假设他们都试图伤害你.当然了,这同样适用于Tor代理.确实,任何人都可能以任何目的来提供一个代理服务.

为什么会有免费的代理?

我最近偶然发现一个Chema Alonso在第20届黑客大会上的报告.他谈到了他是如何从零开始创建一个Javascript僵尸网络并且用它来发现骗子和骇客的.

所有的工作只是对过时的SQUID代理做一些小小的配置改动.

思路非常简单:

  1. [服务器]在Linux服务器安装SQUID.
  2. [负载]修改服务器以在所有JAVA脚本文件的最后加上一行额外的代码.这行代码可以做一些邪恶的事情,比如将所有输入到网页中表格的数据发送到你自己的服务器.
  3. [缓存]设置修改后的.js文件的缓存优先级尽可能的高.