#315 开始讲虚假 wifi 热点了

拨个vpn 就可以了

@cchange 我知道VPN是全程加密的 但目前没有VPN服务 只有通过搬瓦工一键安装的ShadowSocks 全局模式是否可以代替VPN 进行加密？

如果邮箱没有用 TLS 保护 IMAP 和 POP3 时就会在后台自动检查新邮件时泄露密码。

应该会有加密吧？

@Dreams 可以。。ss的加密足够了，不过好像可以劫持，不过基本上都没人能做到，因为用的人少。有那么多没加密的数据都吃不完了还去破解你的。。

@sandideas 了解了 像315 那种蜜罐 除了出门关wifi 还有可能防吗？

话说左下角技术支持360才是亮点吧...

真没有人觉得其中部分数据被抓到是因为用户手机上装了360吗?(笑

我觉得这个科普还是很有意义的，对于小白用户来说，根本就不知道背后这些乱七八糟的原理，看到有免费 WIFI 可以用就连上了，然后就被「吓尿」了。

那两个演示原理也很简单，照片那个是抓 HTTP 包，现场观众一刷朋友圈，新拉下来的照片就被扒到了；邮箱账号那个是抓 IMAP/POP3 包，只要没启用 TLS，密码都是明文传输的。是否启用 TLS，取决于客户端和服务端的设置，好的客户端一般都默认 TLS 加密的（当然用户可以自己修改），而 不少邮箱服务（特别是企业自己搭建的）压根就不提供 TLS 加密功能，所以客户端只能通过非加密方式连接。还有一点不安全的因素是，国内邮箱服务提供商没有一个是提供 oauth 支持的，意味着每次和邮箱服务器的交互都需要传递邮箱原始密码。而从目前国内邮箱服务竞争的尿性来看（你看，前段时间网易邮箱不是关闭了 IMAP 协议访问来屏蔽第三方客户端嘛），想要国内服务商提供 oauth 支持就只能呵呵了。

@ryd994

WIFI不加密意味着你的设备在自行向外界明文广播今天它干了啥

有一个类似例子：

某国规定
警探不能在没有搜查令的情况下强迫嫌疑人开启汽车后备箱进行搜查
但是已经开了一条缝的后备箱警探就有权利搜查

怎么没把wifi万能密码给爆了

那请问如果我开启vpn 或者ss全局 是不是就可以解决这个问题

WIFI劫持还是一方面..关键是国内的手机有些是会自动连接某些名为CMCC的热点。。http://www.infog.cn/2014/12/975

@Dreams 没看315，不过防止蜜罐的话，只要把自己的WIFI密码改长一点和复杂一点，关闭路由器的wps 功能。基本上就没事了。。然后把登录名和密码改复杂就行。
其实不用太担心，我这整栋楼都是计算机相关专业的，都没个会破解别人wifi的，唯一会的几个还是我教他们的，更别说抓包了

@ryd994 首先，PSK 公开后，就无法防止中间人攻击了。
其次，在已知 PSK 的情况下，监听握手时的数据是能够得到用于数据加密的密码的，也就能够知道通讯内容了。

@xierch 和完全不加密随便抓包差很远了

WiFi万能钥匙没上榜？既然谈到这个话题。

我来说说我的观点：1.这其中有些故意夸大网警和网络审查系统能力的成分，有些纯粹是黑科技。2.央视竟敢在这么公开的场合演示黑客技术，对于一个信息安全研究者来说就是侮辱。3.看着那些设置了如此简单密码而被盗或者被查水表的人，毫无安全意识，我只能呵呵呵呵呵呵呵……

@ryd994 嗯是。
监听从技术上来讲应该没啥问题，如果有人写了一个比较方便的程序，输入 PSK 随手就能抓包，想想也是挺可怕的..
说不定已经有了呢..

@ryd994 确实已经有了，Wireshark 就能做了
https://wiki.wireshark.org/HowToDecrypt802.11
简直轻轻松松啊

之前写的一篇关于嗅探的东西
http://www.right.com.cn/forum/thread-155213-1-1.html