用VPN翻墙,却遭遇DNS污染

FTP客户端的翻墙经历

由于博客被封了,一般的翻墙工具都不能支持FTP,所以Wordpress升级到了2.9.2很长时间了都没有升级。前两天用了一下张生翻墙,在FileZila里设置好代理之后可以连上我的FTP了,非常高兴,于是立即下载了2.9.2的Wordpress准备升级。这一下就闯祸了。发现上传的文件有很多都是0KB,反复上传都不行。回想起来在设置代理的时候有提示说如果设置代理,就只能用Passive模式传输文件,怀疑可能是这个原因造成的。网上搜了很多关于FTP上传文件变成0KB的问题,都没有很好的解决办法。很多都是说换个客户端,没有找到代理与FTP客户端配合使用造成文件上传为0KB的文章。于是换了好多个客户端,全都不行。

最终没有办法了,博客虽在墙外,但也不能就这样被毁了吧。于是想想,花钱消灾吧。我想买个VPN应该就没有问题了吧。于是搜了一下,在这里买了一个VPN。一个月15块钱的,担心VPN也不行,所以没有买太贵或时间长的。先花15块,不行就当个翻墙工具使也行。功夫不负有心人,成功了。跟没被墙的时候一样了。博客也活过来了,升到了最新版,觉得世界美好了许多。

遭遇DNS污染

不过事情总是不会那么顺利的。

今天上午打开电脑,连上VPN。首先出现的是我的Xmarks不能同步了,我觉得很奇怪。接着试了一下Twitter,也不行。“可能吧”也打不开。但我的博客可以打开了。是VPN不行了吗?如果是这样的话难道是我的博客解封了?后来发现都不是。就是有部分网站打不开。于是给VPN提供商发了封邮件。回信很简洁:

DNS污染,需要用Google DNS,然后浏览器要支持远程解析DNS,详情Google搜索即可。。

于是照做了,Google出一些文章看明白了DNS污染、DNS劫持是怎么一回事。我也就不多说理论了,反正Google一下会有很多文章在说的。一个很好的解决办法就是使用Google的Public DNS,在这个页面有详细的说明
这里只说一下Windows里的设置方法:
控制面板->网络连接->本地连接->属性->TCP/IP协议->属性->DNS服务器地址,输入“8.8.8.8”和 “8.8.4.4”。确定后在任务栏的网络连接图标上右击->修复,就可以了。

谷歌,墙那边再见!

真的要说再见了。不过说实话,平时上网都翻墙,几乎从来没有用过G.cn。并不想说G.cn做得不好,而是在这样的国家,你是不能期待它能做到像Google.com那样的。
Farewell! G.cn. See you on the other side of the wall!

A new approach to China: an update
对中国的新举措:更新

3/22/2010 12:03:00 PM

On January 12, we announced on this blog that Google and more than twenty other U.S. companies had been the victims of a sophisticated cyber attack originating from China, and that during our investigation into these attacks we had uncovered evidence to suggest that the Gmail accounts of dozens of human rights activists connected with China were being routinely accessed by third parties, most likely via phishing scams or malware placed on their computers. We also made clear that these attacks and the surveillance they uncovered—combined with attempts over the last year to further limit free speech on the web in China including the persistent blocking of websites such as Facebook, Twitter, YouTube, Google Docs and Blogger—had led us to conclude that we could no longer continue censoring our results on Google.cn.

在1月12日,我们在这个博客上宣布Google和其它二十多家美国公遭遇到了来自中国的高手段的网络攻击。在调查这些攻击的过程中我们发现了很多证据表明大量与中国有关的人权活动家的Gmail帐户经常被第三方登入,大多像是通过钓鱼诈骗或者被置于他们电脑上的流氓软件。我们同样也表明这些攻击以及由此揭露出来的监控行为——再加上在过去的一年中为进一步限制网络言论自由而对像Facebook、Twitter、YouTube、Google Docs和Blogger进行的持续封锁——导致我们做出决定,不再对我们Google.cn上的搜索结果进行审查。

So earlier today we stopped censoring our search services—Google Search, Google News, and Google Images—on Google.cn. Users visiting Google.cn are now being redirected to Google.com.hk, where we are offering uncensored search in simplified Chinese, specifically designed for users in mainland China and delivered via our servers in Hong Kong. Users in Hong Kong will continue to receive their existing uncensored, traditional Chinese service, also from Google.com.hk. Due to the increased load on our Hong Kong servers and the complicated nature of these changes, users may see some slowdown in service or find some products temporarily inaccessible as we switch everything over.

所以,在今天早些时候我们停止了对Google.cn上的搜索服务——Google Search、Google News和Google Images——的审查。访问Google.cn的用户将会被转向Google.com.hk,在那里我们提供不经审查的简体中文搜索,通过我们在香港的服务器专门为来自中国大陆的用户服务。香港的用户将会继续收到他们原有的Google.com.hk未经审查的繁体中文服务。由于香港服务器所增加的负荷和这些变化的复杂性,在我们转移所有东西的过程中用户可能会发现服务速度有些变缓或者有些产品暂时不能访问。

Figuring out how to make good on our promise to stop censoring search on Google.cn has been hard. We want as many people in the world as possible to have access to our services, including users in mainland China, yet the Chinese government has been crystal clear throughout our discussions that self-censorship is a non-negotiable legal requirement. We believe this new approach of providing uncensored search in simplified Chinese from Google.com.hk is a sensible solution to the challenges we’ve faced—it’s entirely legal and will meaningfully increase access to information for people in China. We very much hope that the Chinese government respects our decision, though we are well aware that it could at any time block access to our services. We will therefore be carefully monitoring access issues, and have created this new web page, which we will update regularly each day, so that everyone can see which Google services are available in China.

弄清楚怎样实现我们对Google.cn的搜索不进行审查的承诺是非常艰难的。我们希望全世界更多的人能访问我们的服务,包括来自中国大陆的用户,然而中 国政府在我们谈判的过程中非常清楚地表明自我审查是一个不可谈判的我们条件。我们相信这个通过Google.com.hk提供简体中文不经审查的搜索的新举措对我们所面 对的挑战来讲是一个较实际的解决办法——这样是完全合法的,并且将会对促进中国人民对信息的访问非常有意义。我们非常希望中国政府能尊重我们的决定,尽管 我们非常清楚这可能随时会导致对我们服务的封锁。因此我们会非常仔细地监视访问问题,并且我们设立了这个新的页面每天更新以便每个人都能看到哪些服务在中国是可以访问的。

In terms of Google’s wider business operations, we intend to continue R&D work in China and also to maintain a sales presence there, though the size of the sales team will obviously be partially dependent on the ability of mainland Chinese users to access Google.com.hk. Finally, we would like to make clear that all these decisions have been driven and implemented by our executives in the United States, and that none of our employees in China can, or should, be held responsible for them. Despite all the uncertainty and difficulties they have faced since we made our announcement in January, they have continued to focus on serving our Chinese users and customers. We are immensely proud of them.

对于Google扩大商业运作而言,我们有意继续我们在中国的研究与测试工作,并在那里保留一支销售团队,尽管这支销售队伍的大小明显地会部分取决于中国 大陆用户是否能够访问Google.com.hk。最后,我们要声 明我们所有的这些决定都是由在美国的执行者们推动与实施的,我们中国的雇员没有任何人能够或者应该对其负责。从我们于二月份发表的通知开始,不管他们面对多大的不确定性和困难性,他们都在坚持聚焦于服务我们的中国用户和客户。我们为他们深深地感到自豪。

Posted by David Drummond, SVP, Corporate Development and Chief Legal Officer

 

google004

博客在墙外的生活……

自从博客被封在墙外之后,

Autoproxy永远处在Automatic Mode了,

所有的翻墙软件都要不断更新,

上Twitter比以往更多了,

我的博客访问量由以前的很少变为现在的几乎没有了,

出现了一个奇怪的现象,以前的spammer要么是英文的,要么是看不懂的怪符号,但现在都没有了,难道是中国的spammer?

那为什么不用中文发spam呢?

奇怪。

博客在墙外了,这个本来属于我自己的小天地更像我自己的小天地了,

我感觉自己更敢于在这里抒发自己的想法了,

虽然尚且没有抒发过什么想法。

墙外的博客让我感觉不到墙的存在。

Stop killing dolphins! 我怎么又怒了?!

感谢韩寒,感谢twitter,感谢优酷,但最最主要的是感谢OPS团队不顾个人安危的努力!

他们让我再一次怒了!!

于个人,海豚在我的生命中有很重要的意义与美好回忆,并且与我个人的梦想密不可分;于这个世界,残忍的事实让我感到痛心。

政府在某些方面很在行,比如拉人开会、 大家握手言和,一团和气,但看不出他们得出什么结果。正如玛格丽特·米德所说:永远不要指望政府或者机构能解决任何重大的问题,所有社会的变化都源于个体 的激情。

帮忙宣传一下[转]CNNIC CA:最最最严重安全警告!

各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。

发生了什么事

最近,CNNIC——对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问:

  1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
  2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
  3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?

影响范围

基本上所有浏览器的所有用户均受影响!

行动第一步:立即安全防御

在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。

  • 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
  • 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 “CNNIC ROOT” 的记录,就是这个东西,告诉 Firefox,我们不信任它!
  • 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
  • 还没有完,狡兔有三窟。
  • 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 “CNNIC SSL” (如果没有,访问一下 这个网站 就有了)
  • 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 “Entrust.net Secure Server Certification Authority” 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
  • 最后,让我们验证一下。重启 Firefox,打开 这个这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!

行动第二步:治标还需治本

几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部分的用户受到威胁。和写 AutoProxy 时同样的想法:如果大部分人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的?

所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。

首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689Mozilla.dev.security.policy 进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW 的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。

其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。

除此之外,来投个票吧结果统计)!

最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的 CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了!

各位:
DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!

CNNIC

又是一个新起点

又是一个新起点。

离开英语培训这个行业,进入了将计算机技术与语言学习相结合的领域,这是我多年来的一个愿望。

从高中与同学一起办英语培训班算起,在英语培训这个行业里折腾了将近十年。与朋友创办过海豚俱乐部,开过培训学校——八八四六教育科技有限公司,在大大小小的培训学校做过老师、演讲师、教学总监,做过2008北京奥运会志愿者外语培训教学总监、教材主编,编过无数本培训教材……

回头来看,已经对中国的这个行业极其厌倦了。厌倦的原因是举目望去,感觉破烂不堪、极其低端。绝大多数的培训机构都很功利与浮躁。国内那几家所谓的大机构其实从语言教育方面看,几乎没有任何贡献。所谓的高端,也都是从国外引进一款软件再加上面授课,然后把课程以天价售出。

实在觉得太没水准了。

站在这新的起点上,心里充满了憧憬。研发出中国自己的最符合中国人的语言教育产品,让它改变人们的学习方式。