36
群聊里有人分享梯子,对方是租赁服务器自搭,但是在有人与他闹矛盾后拿对方浏览过的站点嘲讽。
我好奇去查找很多vpn服务商的服务条款与隐私政策,但是结果并不理想。许多vpn网站没有完善的条款与政策,有些协议确实是有但是对于信息收集方面模糊,有些写了很多但用户权益根本就是一纸空谈,有些十分简单甚至没有关于信息收集方面的条款,更有甚者根本就没有公示或者转到是空的。
我们对于一个付费vpn一般就是两个主要原因,纯净ip浏览海外网站or软件,隐私安全。虽然网络上能够轻易找到免费的代理软件,但很多时候都不被推荐,原因也是在于隐私安全和ip纯净。当然在国内用户眼里还有一个因素就是价格,国内能够搜索到的小团队vpn也基本很便宜,我最主要看到也是这些vpn商的相关协议。
虽然现在的网站基本都是有着加密的,但是在付费时的支付相关与设备及ip也是隐私的重要部分,那在隐私安全方面与免费的岂不没差,一个是可能为晶格和你一起看黄或者敏感,一个是vpn服务器管理员和你一起看。免费与付费对于隐私安全也都只能看管理方的良心了,或者花更多的钱买条款明确并受法律管制的知名海外vpn。
本文版权遵循 CC BY-NC 协议 和 本站版权政策
15 条回复
你不要觉得使用VPN就有隐私了,其实就算你使用tor代理,还是一样能查得到。只要使用互联网就没有隐私,这一点全世界都是一样
我自己当然不会觉得有隐私,难道没有听过开付费机场为了隐私安全的话吗,见证人强调这一点尤为多,isp也照样能够看到tor服务器和电脑之间的连接
你買到/找到的能在大陸使用的梯子 ≠ VPN (這兩目前的用途,技術細節都存在很大差異,而且海外的商業 VPN 大部分都不能過牆)
大部分的 VPN, Wireshark 現在都能識別了。(因此這裏假定你講的是各種過牆用的代理)
對於大部分公開的代理而言,額外的隱私安全基本上不存在 :
2025/12/19 07:05:26.277561 [Info] [3354524378] proxy/vless/inbound: received request for tcp:ipinfo.io:80
2025/12/19 07:05:26.277612 [Debug] [3354524378] proxy: Xtls Unpadding new block, content 73 padding 199 command 0
2025/12/19 07:05:26.279232 [Info] [3354524378] app/dispatcher: sniffed domain: ipinfo.io
2025/12/19 07:05:26.279266 [Info] [3354524378] app/dispatcher: taking detour [direct] for [tcp:ipinfo.io:80]
2025/12/19 07:05:26.279280 [Info] [3354524378] transport/internet/tcp: dialing TCP to tcp:ipinfo.io:80
2025/12/19 07:05:26.279292 [Debug] [3354524378] transport/internet: dialing to tcp:ipinfo.io:80
2025/12/19 07:05:26.279338 from 192.168.30.129:34996 accepted tcp:ipinfo.io:80 [vless-in -> direct]
2025/12/19 07:05:26.282673 [Info] [3354524378] proxy/freedom: connection opened to tcp:ipinfo.io:80, local endpoint 1
92.168.30.23:44732, remote endpoint 34.117.59.81:80
0000 xx xx xx xx xx xx xx xx xx xx xx xx 08 00 45 00 ............E.
0010 00 7d 91 91 40 00 40 06 6c 64 c0 a8 1e 17 22 75 .}..@[email protected]...."u
0020 3b 51 95 a6 00 50 b0 87 ed e2 80 e3 d3 bb 80 18 ;Q...P..........
0030 01 f6 3a 21 00 00 01 01 08 0a 08 bf ff 89 9b 41 ..:!...........A
0040 c9 a6 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 ..GET / HTTP/1.1
0050 0d 0a 48 6f 73 74 3a 20 69 70 69 6e 66 6f 2e 69 ..Host: ipinfo.i
0060 6f 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 63 o..User-Agent: c
0070 75 72 6c 2f 38 2e 31 31 2e 31 0d 0a 41 63 63 65 url/8.11.1..Acce
0080 70 74 3a 20 2a 2f 2a 0d 0a 0d 0a pt: */*....
0000 xx xx xx xx xx xx xx xx xx xx xx xx 08 00 45 00 ............E.
0010 02 ae ae 83 40 00 40 06 4d 41 22 75 3b 51 c0 a8 ....@[email protected]"u;Q..
0020 1e 17 00 50 95 a6 80 e3 d3 bb b0 87 ee 2b 80 18 ...P.........+..
0030 01 fd 57 ab 00 00 01 01 08 0a 9b 41 cd 60 08 bf ..W........A.`..
0040 ff 89 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f ..HTTP/1.1 200 O
0050 4b 0d 0a 61 63 63 65 73 73 2d 63 6f 6e 74 72 6f K..access-contro
0060 6c 2d 61 6c 6c 6f 77 2d 6f 72 69 67 69 6e 3a 20 l-allow-origin:
0070 2a 0d 0a 78 2d 66 72 61 6d 65 2d 6f 70 74 69 6f *..x-frame-optio
...
01a0 73 70 6f 72 74 2d 73 65 63 75 72 69 74 79 3a 20 sport-security:
01d0 6e 73 0d 0a 0d 0a 7b 0a 20 20 22 69 70 22 3a 20 ns....{. "ip":
01e0 22 xx xx xx xx xx xx xx xx xx xx xx xx xx 22 2c "xxx.xxx.xxx.xxx",
01f0 0a 20 20 22 63 69 74 79 22 3a 20 22 54 61 69 70 . "city": "Taip
0200 65 69 22 2c 0a 20 20 22 72 65 67 69 6f 6e 22 3a ei",. "region":
0210 20 22 54 61 69 77 61 6e 22 2c 0a 20 20 22 63 6f "Taiwan",. "co
0220 75 6e 74 72 79 22 3a 20 22 54 57 22 2c 0a 20 20 untry": "TW",.
0230 22 6c 6f 63 22 3a 20 22 32 35 2e 30 35 33 31 2c "loc": "25.0531,
0240 31 32 31 2e 35 32 36 34 22 2c 0a 20 20 22 6f 72 121.5264",. "or
0250 67 22 3a 20 22 xx xx xx xx xx xx xx xx xx xx xx g": "REDACTED
0260 xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx REDACTED REDACTED
0270 22 2c 0a 20 20 22 74 69 6d 65 7a 6f 6e 65 22 3a ",. "timezone":
0280 22 41 73 69 61 2f 54 61 69 70 65 69 22 2c 0a 20 "Asia/Taipei",.
0290 20 22 72 65 61 64 6d 65 22 3a 20 22 68 74 74 70 "readme": "http
02a0 73 3a 2f 2f 69 70 69 6e 66 6f 2e 69 6f 2f 6d 69 s://ipinfo.io/mi
02b0 73 73 69 6e 67 61 75 74 68 22 0a 7d ssingauth".}
因爲代理的本質就是 信任轉移 (從信任你的 ISP ,骨幹網節點 轉移到 代理供應商/機場主) 就目前而言,大部分公網站點都有套 TLS,但你的 ClientHello 還是明文的 (雖然目前有部分站點啓用了ECH,但整體上是沒差的):
主流的代理平臺也都能辨識此類流量:
2025/12/19 07:29:17.449184 [Info] [3219161342] proxy/vless/inbound: received request for tcp:www.kungal.com:443
2025/12/19 07:29:17.449305 [Debug] [3219161342] proxy: Xtls Unpadding new block, content 517 padding 487 command 0
2025/12/19 07:29:17.449323 [Debug] [3219161342] proxy: XtlsFilterTls found tls client hello! 517
2025/12/19 07:29:17.449334 [Info] [3219161342] app/dispatcher: sniffed domain: www.kungal.com
2025/12/19 07:29:17.449347 [Info] [3219161342] app/dispatcher: taking detour [direct] for [tcp:www.kungal.com:443]
2025/12/19 07:29:17.449368 [Info] [3219161342] transport/internet/tcp: dialing TCP to tcp:www.kungal.com:443
2025/12/19 07:29:17.449379 [Debug] [3219161342] transport/internet: dialing to tcp:www.kungal.com:443
2025/12/19 07:29:17.449333 from 192.168.30.129:38824 accepted tcp:www.kungal.com:443 [vless-in -> direct]
2025/12/19 07:29:17.756774 [Info] [3219161342] proxy/freedom: connection opened to tcp:www.kungal.com:443, local endp
oint 192.168.30.23:59120, remote endpoint 172.67.190.131:443
2025/12/19 07:29:18.466033 [Debug] [3219161342] proxy: XtlsFilterTls found tls 1.3! 2830 TLS_AES_256_GCM_SHA384
緩解辦法有兩個:
如果你說的是地址生成器之類的,那其實那些資訊幾乎都是根據規律生成的 (雖然不能說它一定假,因爲可能出現巧合)
以這裏拿到的一個爲例:
Shell$ curl https://www.meiguodizhi.com/api/v1/dz -X POST -d '{"method":"address","path":"/"}' | jq % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 1345 100 1314 100 31 625 14 0:00:02 0:00:02 --:--:-- 640 { "address": { "Address": "1394 Norman Street", "Telephone": "562-244-8607", "Address_Alias": "", "Trans_Address": "", "Trans_Cn_Address": "", "Fax": "", "City": "Long Beach", "Zip_Code": "90802", "rowkey": "05be26f3-8095-4c19-ac69-c14c5f76dcca", "State": "CA", "State_Full": "California", "Expires": "07/2027", "Credit_Card_Type": "Visa", "Credit_Card_Number": "4716556426568067", "CVV2": "029", "Full_Name": "Monu Ella", "Gender": "Female", "Full_Name_Tran": "莫努埃拉", "Title": "Mrs.", "Birthday": "8/14/2008", "Username": "provincered-hot", "Password": "hF4DBmPMf1e0", "Height": "5' 7\" (176cm)", "Weight": "149.4lbs (67.8kg)", "Temporary_mail": "[email protected]", "System": "Windows 10", "GUID": "c7710da7-9684-40c1-aca1-5ca7f29cf167", "Blood_Type": "", "Browser_User_Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.35 38.25 Safari/537.36 Core/1.70.3722.400 QQBrowser/10.5.3751.400", "Educational_Background": "Doctorate and/or professional degree", "Hair_Color": "Black", "Occupation": "Plumber, Licensed Vocational Nurse", "Website": "nvfwvvzkr.com", "Security_Question": "what in the world is ssn?", "Security_Answer": "cloudspiteful", "Social_Security_Number": "789-40-7945", "Employment_Status": "Retired", # Retired _退休的;退職的;退役的_ "Monthly_Salary": "$5,400", "Company_Size": "33-50 employees", "Company_Name": "Wheels Discount Auto" }, "status": "ok" }這份資料就是一眼假 (關於2008年出生的人已經退休了這檔事)
131
虚拟专用网的最好应用就是其本来的用途,可控的vpn(例如自建) 从公网连接到受信任的专用网络(例如家庭内网,公司内网),其隐私和安全性是非常高的,这点是没什么疑问的,在企业上也有很多应用。而不是选择其他不靠谱的服务商,也不是用来🪜。
vpn的流量特征很明显,现在基本上过不了gfw,一般也不用,它们可能叫这个,可能用的也不是这个。
一般来说,这样代理基本上隐私性还算不错了。
启用DOH (加密 DNS 请求)
启用ECH(加密 SNI)
混淆代理(例如Trojan)
也可以再加一个cloudflare 流量转发,也算链式代理吧,有种大隐隐于市的感觉。不过完全透明还是不太可能,上述只是针对 ISP ,确实像上面所说,信任转移的问题,代理服务器虽然不知道你干了什么,但是还是知道你去了哪里。
在此补充一些个人见解
对于海外以口碑著称的 VPN 服务商
他们的隐私政策一般来说是相对完善的
当然,所谓无日志收集也更多是服务商的宣传,我们实际上很难去打包票
另一方面,他们存在水土不服的问题,大多在国内无法正常使用
对于国内通行的“机场”,在技术上事实归属于代理
实际上处于灰色地带,即使存在隐私政策,很多也欠缺法律支持
和文中提到的“个人自建”一样,在被代理流量为正常的 TLS 流量(不讨论ECH/ESNI)情况下
代理服务商实际上可以知道:用户IP,目标网站IP,目标网站域名
一些信息常说“盗号”,实际上只要 TLS 不失效(排除MITM),这在密码学上是不可能的
目标网站的域名泄露恐怕也正是“历史记录”的来源(此外,自建的人的服务器提供商也应该可以知道这些)
它来自于 TLS 未加密的部分:SNI
(URL 的路径部分是加密的,明文的只有域名,比如https://google.com/1234/1234,只有google.com是可见的,/1234/1234并不可以被窥探)
对此的解法正是 ECH(草案为 ESNI)[1][2]
如果你真打算使用它,需要注意的是,浏览器还需要 DNS over HTTPS 来获取目标域名的 HTTPS 记录以便加密 SNI
(需要对浏览器本身透明代理) | 另外目前支持 ECH 的网站就供应商来说并不多 (数量上, Cloudflare CDN 免费版本的网站应该都已经支持(实际上是 Cloudflare 支持))
这在目前仅是缓兵之计
此外,除去代理服务商,可以知道 SNI 的还有代理服务商的 ISP(互联网服务供应商) 甚至更多中间人
链式代理使得流量为 你-->A代理服务-->B代理服务-->目标网站
算是个不错的解法(缺点是速度)
它不算解决了信息泄露的问题,但是使得身份关联减弱,甚至身份隔离
当然,要是目标网站知道你的电话号码那么这之前的代理其实都没有意义
你不要觉得使用VPN就有隐私了,其实就算你使用tor代理,还是一样能查得到。只要使用互联网就没有隐私,这一点全世界都是一样
只要使用互联网就没有隐私
这样说实则太过于非黑即白了喵,“隐私不绝对即不隐私”
诚然,绝对的隐私是最理想的,但是,正如我们无法保证走在路上一定不会摔跤喵
正如我们无法保证电梯一定不会故障喵,直接说“使用互联网就没有隐私” 这和“只要开车就一定会出交通事故”简直是一类的逻辑喵
实际上如果拿“某件事情不一定xx,所以这件事不xx”或者“某件事情不一定xx,所以这件事xx” 的逻辑,套在许多事情上都可以,但是它是正确的假说,无意义的结论喵“使用互联网就没有隐私”,如“只要出门安全的家门就不存在”
但是,为什么要给家门安锁呢,安全不存在,那么直接夜不闭户不是更方便省事吗 可能是因为安装门锁带来的安全感和收益更加直观吧喵
追求隐私的收益和防患于未然类似,并不立竿见影,但是因而直接说隐私不存在显然不对喵
隐私不是非有即无,安全也是 倒不如说,很多事都是这样喵
全世界都是一样 全世界都是一样的,棱镜门不知道吗?
棱镜门揭示了大规模监听不假
但是它是隐私被侵犯的实证,不是隐私不存在的实证
甚至就“全世界都是一样监听”的命题,这也只是必要不充分喵
同时,大规模监听的存在,和我们出门交通事故风险的存在相同
都不足以证明隐私不存在和安全不存在喵
(。>︿<。) 已经一滴回复都不剩了哦~
