SecureGAppProxy是新开发的一种GAE代理,据官方介绍是GAppProxy的一个分支,专注于提高安全性。如果你和我一样对安全神经质,这个应该也适合你。希望能够用最好的密码学手段。目前还不完善。
设计目标
- 在localproxy和fetchserver间建立安全的信道。(至少和SSL一样)
- 简单的安全概念 (可以理解为登录密码)
- 能够抵抗离线暴力破解
- 前向安全性
- 双向鉴别
话虽如此,充分测试前我不能确认这些特性都已经达到了。不过,这是个开源项目,如果有兴趣的话欢迎review代码。
官方开发主页:https://code.google.com/p/secure-gappproxy/
目前还处于测试版,从作者的愿望设计来看,应该是一个不错的改�。美博园发布于此,希望更多有效的翻墙工具为网民服务。
官方刚刚发布的第一个版本下载:以后随着官方更新,美博园也将及时更新。
SHA1: 2bb2cce60b4513046ccb190213be42fe409285cd
教程
目前和GAppProxy相比很多友好的功能还没有,没有用户界面,没有自动上传工具,不能设成服务。
- 这篇早先的GAppProxy教程还是能够适用的( http://www.totem.co/?p=257 )。可以用类似的方法发布SecureGAppProxy。
- 发布完成之后,别忘了修改默认密码:使用chpwd工具,根据提示,最后会生成一个URL,从浏览器访问即可。访问时会要求使用Google Account登录,一切顺利的话密码就修改成功了。
- proxy.conf的配置方法和GAppProxy没什么不同,配置完成后,启动proxy,输入登录密码,代理就启动了。
此文已经转载于本文之后,便于读者阅读。
另外,注意一点,目前不能同时启动多个proxy,否则只有最后启动的可以工作。
可能的用法
- 直接作代理用
- 现有一个安全性不明的代理、VPN等,在其上利用SecureGAppProxy构建一个安全的信道。
一点实现细节
在登录阶段使用BPKAS-PAK协议。密钥协商完成后,通信阶段使用CFB模式的AES加密,消息鉴别用SHA256的HMAC鉴别码。
What’s this?
A branch of GAppProxy focused on improving security. This is for those who are paranoid about security like me. Designed to utilize state-of-the-art cryptographic practices. Still under construction.
Design Goals
- Establish secure channel. (At least as secure as SSL.)
- Simple security interface. (log in with password)
- Secure against offline dictionary attack.
- Forward Secrecy
- Mutual Authentication
This being said, I’m still not sure that the program achieves such security before more test is done.
But, it’s open source. Please help review the code if you are interested.
使用Google app engine安装GAppProxy上网代理软件方法
最近GFW等更加严格使GAppProxy上网代理服务器软件又变得流行起来,当然除了用GAppProxy翻墙,它还可以加快你访问网站的速度,尤其是国外网站blogspot,twitter,facebook等等。因此这里详细描述了使用google code 平台的Google appengine从安装到使用GAppProxy 上网代理软件的过程,算是一个简明的GAppProxy教程供大家参考。
GAppProxy 是什么?
GAppProxy 是基于Google app engine的,这是一个使用python写的Google Code开源项目。为教育网用户提供一个免费的国际代理。由于借助了Google 强大的服务器,所有也适用于公网的代理,速度很快。大家可以从GAppProxy:http://code.google.com/p /gappproxy/ 得到相关的源码和帮助。使用GAppProxy上网代理的方法步骤也很简单。一、GAppProxy下载: 或者使用这个地址:http://gappproxy.googlecode.com/files/GAppProxy-1.0.0beta.exe 。下载后压缩到自己电脑的 任意位置。二、GAppProxy运行:找到你解压的文件,点击其中的gui.exe。三、指定GAppProxy的 FetchServer地址(FetchServer地址可以到网上搜索,很多的,一个不能用了再换一个,也可以使用自己制作的地址,这篇文章的后面部分 详细介绍了如何制作个人的FetchServer地址),如下图所示,请选中“Use Fetch Server”并将这个地址填写倒其后的输入框,例如:
以 上两部分填写完成后必须分别点击“Save”、“Quit”保存设置并重新启动GAppProxy即可生效。然后再设置浏览器的代理服务器为 GAppProxy的默认地址端口为127.0.0.1:8000。就一切完毕了。 如果你要制作个人的FetchServer地址那么请再往下看。
Google app engine 是什么?
Google app engine 是 Google 提供的一个在线应用程序平台,支持 Python。简单的说是在 Googleapp engine 上面直接运行用 Python 写的程序,由 Google app engine 提供网络空间和带宽。
用 GAppProxy 能干什么?
如果你在教育网,你可以把 GAppProxy 当作一个国际代理服务器,类似搜狗浏览器的教育网加速。
如果你在公网,正常情况下用不到 GAppProxy,但如果想访问某些低俗网站,还是用得到的。
详细安装步骤
这里参考了 天空岛 以及官方教程。
注册 Google App Engine: 用 Google 账户 登录 Google App Engine 后,点击 Create an Application 创建一个应用程序。
输入手机号码,接受创建验证码,必须有此过程,否则无法注册成功。
输入验证码后就进入了创建应用程序的详细设置界面。
填写 Application Identifier (输入你想要的应用程序地址,相应会得到一个 yourname.appspot.com 的域名,记住这个。) 和 Application Title (标题,随意啦)以及勾选同意服务条款,点 Save 即完成创建。
一、下载并安装 Python 和 Google App Engine SKD
直接下载地址: Python | Google App Engine SDK。
(注:从首页进入这个Python下载页面地址http://www.python.org/download/ 有时候被屏蔽打不开,可以直接进入http://www.python.org/ftp/ 这个网站目录下,选择下载版本。或直接使用这里提供的直接下载地址(最新的msi版本:Python2.7 alpha1)。根据操作系统选择下载相应的Google App Engine SDK 版本。)
二、下载 GappProxy 和 fetchServer
直接下载地址: GappProxy | fetchServer
三、解压缩 fetchServer 文件夹至 Google App Engine SKD 安装目录,默认为 X:\Program Files\Google\google_appengine\fetchserver。
四、用文本编辑器打开刚解压的 fetchServer 文件夹内的 app.yaml 文件,修改第一行 your_application_name 为刚才输入的 Application Identifier,yourname.appspot.com 中的 yourname。
五、上传 fetchserver:打开命令提示符(点击 开始 > 运行 > cmd),进入 X:\Program Files\Google\google_appengine 目录(输入 cd X:\Program Files\Google\google_appengine\ 即可,若当前目录为C:,则输入X:回车先进入X;盘目录再用cd:命令),输入以下命令行: appcfg.py update fetchserver,回车,会要求你输入 Google 账户email地址及密码(输入密码时看不到输入的字符,不过没关系是,正确输入密码后按enter),之后显示Closing update: new version is ready to start serving。关闭命令提示符结束上传。
测试 fetchserver:打开浏览器,进入 http://yourname.appspot.com/fetch.py 如果得到下面的页面,证明安装成功。
GAppProxy已经在工作了 |
| GAppProxy是一个开源的HTTP Proxy软件,使用Python编写,运行于Google App Engine平台上. |
| 更多相关介绍,请参考GAppProxy项目主页. |
六、使用代理: 解压缩 GappProxy 至任意文件夹,打开 gui.exe,勾选 Use FetchServer 并输入 http://yourname.appspot.com/fetch.py ,点 save,顺手点击 Status 确认代理运行正常。点击service则每次计算机重起不用自己手动点击启动gappproxy,而是一个系统自启动项。
七、设置浏览器代理服务器地址端口127.0.0.1:8000。以IE为例(GAppProxy的默认地址端口为 127.0.0.1:8000),IE中菜单选择 工具–>Internet选项–>连接–>局域网设置–>代理服务器,填写地址127.0.0.1和端口8000。用 www.ectrade.com/test.php测试你的IP,发现你的IP已经变成google的了,最后输入网址www.twitter.com看 下是不可以打开了呢?可以就大功告成了。
有时候使用代理服务器浏览某些网站的时候,会出现不正常的现象,比如我的ie浏览器使用了代理服务器浏览www.bokee.net就出现了问题, 同时也不能登录,这是由于待登录网站要求的安全性以及GappProxy GAE平台的局限性有关。这样我们就只能用其他没有设置代理的非ie浏览器来浏览该网站了。不过Google chrome浏览器的默认设置使用 GappProxy代理上网是和IE一样的(修改代理设置:菜单->选项->高级选项->网络->更改代理设置),因此最好还是 改用Firefox吧(菜单->工具->选项->高级->网络->连接->设置->手动配置代理)。测试过了 登陆新浪是没有问题的,由此看来新浪对用户计算机客户端和服务器之间的数据通信安全加密做的不够。
使用GappProxy代理服务器 除了上面提到的 与登陆网站的安全性设置问题,还有其他一些缺点。比如在登陆一些网站时,会出现HTTP 500 501错误,Firefox浏览器”代理服务器拒绝连接”等错误提示。这也是由于GappProxy存在Web 登录问题,即部分Web系统无法正常登录,这个原因主要是和待登录网站要求的安全性以及GAE平台的局限性相关。Google在官方网站上详细描述了GappProxy的缺点:1. 仅支持标准80端口的HTTP协议和443端口的HTTPS协议,其他端口均不支持。(2009-02-27发布1.0.0beta版,windows版客户端开始支持HTTPS) 2.需要安装客户端。目前GAppProxy存在的问题:
- 1,Web 登录问题: 部分Web系统无法正常登录,这个原因主要是和待登录网站要求的安全性以及GAE平台的局限性相关.
- 2, 为支持HTTPS,GAppProxy使用了一种妥协的方式,该方式从原理上破坏了HTTPS固有的安全性,将HTTPS的安全级别降到了HTTP级,所 以如果你要传输重要数据,请不要使用该HTTPS代理.此外HTTPS不支持服务器/客户认证,这也和GAE有关.
- 3,不支持大尺寸的文件,GAE 对urlfetch能获取的文件尺寸有限制.
另外有人还介绍了一种不需要下载 Python 和 Google App Engine SKD 的方法,只需要一个 fetchserver 和 SDUpload 即可。下载 SDUpload 0.1.rar,这是一个 Google App Engine 的第三方上传工具,命令行为 SDUpload update fetchserver (请将 fetchserver 文件夹放置于 SDUpload 文件夹内)。
详细参数:GAE 的第三方上传工具 SDUpload 参考地址 http://quke.cn/log-150.html。
上面大部分是摘自网上的文章教程,http://www.wrihui.cn/Article/621.html ,不过到第二步,短信验证时,等google半天了还没有发短信验证码过来,难道google考虑退出中国市场,现在google.com就已经开始不管 中国用户了?杯具啊!!
注:本文介绍的方法使用GAppProxy代理上网无法登陆twitter,要实现登陆twitter功能,请大家看看这篇文章吧:google代理上网软件GAppProxy如何登陆twitter !
--
Posted By GFW BLOG 功夫网与翻墙 to GFW BLOG(功夫网与翻墙) at 6/18/2011 09:04:00 PM --
1、我们的订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、发一封标题为GFW的邮件到fanqiang70ma@gmail.com,就可获取翻墙利器赛风新地址。附《数字时代》赠阅版。3、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。
停止订阅,请发邮件到
gfw-blog+unsubscribe@googlegroups.com
没有评论:
发表评论