arch7819
火狐狸
火狐狸
  • UID30890
  • 注册日期2009-10-29
  • 最后登录2011-02-19
  • 发帖数153
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
阅读:12069回复:16

[原创]翻墙firefox : gappproxy https 免去证书对话框.

楼主#
更多 发布于:2010-09-24 17:38
话说我在隔壁发了个技术贴可惜应者寥寥..... 这里发一个看看...

看最近 GAppProxy 更新了, 顺手给它打个补丁.

你需要以下工具:
python2.6+ 必须, 最好是2.7 (http://www.python.org/)
openssl 0.9.8+ (http://www.openssl.org/)
GAppProxy src (http://code.google.com/p/gappproxy/)
注意由于我是修改了GAppProxy的源码而实现的,
所以要享受此功能必须要有Python(也就是exe版暂时享受不到了)

声明及严重警告:
本文出于技术学习与交流目的发布.
其实现具有严重的安全风险, 请不明相关原理者谨慎使用.
由此产生的损失, 请自行承担, 本人概不负责.

正文:
由于天朝GFW的存在, 现在上个外国网站时不时就是无响应, 连接重置之类, 所以翻墙软件是必备工具.
公认最强的翻墙利器是TOR, 安全性最强, 抗干扰强, 抗攻击能力极强, 但是速度慢.
国内流行的GAppProxy, 使用Google的GAE平台提供自建服务器.
速度快,安全性无, 抗攻击弱, 抗干扰为零(UA都变了还谈啥干扰),正好与TOR互补.

用GAppProxy就是要它的速度, 安全性是其次, 所以每次添加证书很让人不胜其烦.
(提醒:一个正常的浏览器必须要这样步骤, 这是严重的安全风险, 必须得到用户的确认)
本方法通过自建CA对GAppProxy的HTTPS内容进行认证, 从而达到欺骗浏览器而免去证书提示的目的.

实现步骤:
1.建立GAppProxy的运行环境(略).

2.下载openssl,将openssl加入PATH, 并为系统添加环境变量 OPENSSL_CONF = .\openssl.conf
win下, openssl官方只有源码可下, *nux应该有自带的.
附件的openssl.rar 是我编译的openssl1.0.0a debug-VC-WIN32, 配置文件是 cygwin 的.
PS: 最好是将 openssl.exe openssl.conf 放到 system32 目录, 自己上网下的记得下配置文件.

3.下载附件patch.rar 并解压到 localproxy 目录 (proxy2.py 应该和 proxy.py 在同一个目录)
导入 ssl2 目录的 _ca.cert 到 "证书机构" (工具-选项-高级-加密-查看证书-证书机构-导入)
执行 proxy2.py 启动 GAppProxy (exe版GUI里的那些设置在proxy.conf里)

另: 为了提示安全风险, 已修改proxy2.py 使用低加密方式建立连接以提醒浏览器(需要Python2.7),
firefox 的about:config 中需要设置 security.ssl3.rsa_des_sha 为 true
并应用以下CSS: #urlbar[level="low"]{background:rgba(255,192,192,0.<!-- s8) --><img src="{SMILIES_PATH}/icon_cool.gif" alt="8)" title="Cool" /><!-- s8) -->!important;}
如果是Python2.6.x , 须到 proxy2.py 中 删除{, ciphers="LOW" }(无花括号)

又: 默认已经禁止了mail.google.com经过GAppProxy, 以免全局启用的时候去访问gmail.

再次提醒:
GAppProxy 实现HTTPS 和TOR 之流不同, 其本质上是MITM攻击, HTTPS相当于HTTP, 没有任何的安全性.
所以千万不要在网银, 邮件之类高安全需求的HTTPS站点开启GAppProxy.
 
由于本压缩包的内容任何人皆可获得,
为了防止不良网站使用其中的SSL证书实行欺骗,
强烈建议自己再生成一份替换掉原有的证书文件(_server.key,_ca.key,_ca.cert).
(执行generateCerts.bat, 或者懂得用openssl 的话自己生成)
用生成的文件替换 ssl2 目录下的同名文件.
同时删除 ssl2 目录下所有不是以 _ 开头的 .cert 文件.

卸载:
从"证书机构中" 删除 fakeCA 项目.

最后再声明:
本方式有严重的安全风险, 如果不明原理请谨慎使用.
它将导致任何经过GAppProxy 的HTTPS站点在网络上传输的内容却是HTTP, 却在表面上看不出异常.

话说: 怎么上传附件?! 点新增毫无反应.
附件名称/大小 下载次数 最后更新
patch-1.0.100923.0-gappproxy2.0.0.zip (12KB)  83 2010-09-24 18:02
alanfly
千年狐狸
千年狐狸
  • UID31035
  • 注册日期2009-11-10
  • 最后登录2023-10-31
  • 发帖数2765
  • 经验576枚
  • 威望1点
  • 贡献值128点
  • 好评度98点
  • 社区居民
  • 最爱沙发
  • 忠实会员
1楼#
发布于:2010-09-24 17:38
楼主可以试试wallproxy,解决了gapp的证书警告和许多其它问题;
功能也比gapp强大很多。
   不过GAppProxy只支持80和443端口(其他端口网站无法代理),只支持HEAD、GET、POST方法(GAE支持的PUT、DELETE没被支持),不能上传二进制文件如图片(Twitter头像无法更新),不能断点续传(大文件下载一半被中断后需要重新下载),只能架在GAE上(GAE的DELETE方法不完整,因而从Twitter的List中删除某人是用基于GAE的代理无法实现的),HTTPS会弹出证书无效的警告,也不节约流量和API调用。

    自己动手,解决问题。基于GAppProxy,旨在解决以上不足的WallProxy因此产生。WallProxy支持更多端口,服务端有GAE版和PHP版。客户端可以同时设置多个服务端,推荐的设置是大流量快速度的GAE作首选,随便找个可以令WallProxy运行的免费PHP空间作备选以弥补GAE的DELETE缺陷。WallProxy还改进了上传、下载使得支持上传文件(包括二进制文件)、断点续传、更稳定、更节约流量和API调用。同时还支持生成根证书并签名子证书,将生成的根证书ca.crt导入到浏览器根证书机构后即可不再弹出证书无效的警告;支持类PAC代理规则并可中转其他代理,为提供了代理设置但不提供代理选择的程序提供智能代理选择功能。
arch7819
火狐狸
火狐狸
  • UID30890
  • 注册日期2009-10-29
  • 最后登录2011-02-19
  • 发帖数153
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
2楼#
发布于:2010-09-24 17:38
上传不了openssl. 不管了

话说一开始有GAppProxy的时候我就给它打了补丁, 然后用得很舒服, 以至于都不知道有更好的东西出现.....

这次svn上发现新版本于是顺手打的补丁
dindog
千年狐狸
千年狐狸
  • UID30818
  • 注册日期2009-10-24
  • 最后登录2023-02-03
  • 发帖数1195
  • 经验59枚
  • 威望0点
  • 贡献值26点
  • 好评度10点
3楼#
发布于:2010-09-24 17:38
alanfly:楼主可以试试wallproxy,解决了gapp的证书警告和许多其它问题;
功能也比gapp强大很多。
回到原帖

一直用这个。。。。
以前firefox跳个票的时间现在可以发布几个正式版了-_-
98118
禁止发言
禁止发言
  • UID75
  • 注册日期2004-11-23
  • 最后登录2018-05-22
  • 发帖数1272
  • 经验-125枚
  • 威望0点
  • 贡献值-350点
  • 好评度-212点
  • 社区居民
  • 忠实会员
4楼#
发布于:2010-09-24 17:38
用户被禁言,该主题自动屏蔽!
we10
小狐狸
小狐狸
  • UID25698
  • 注册日期2008-08-04
  • 最后登录2016-06-11
  • 发帖数73
  • 经验12枚
  • 威望0点
  • 贡献值4点
  • 好评度0点
5楼#
发布于:2010-09-24 17:38
多点一下证书 也没啥关系吧··
free49498445
狐狸大王
狐狸大王
  • UID33385
  • 注册日期2010-07-11
  • 最后登录2013-04-24
  • 发帖数384
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
6楼#
发布于:2010-09-24 17:38
不知道freeeegaterrr的安全性如何啊,看你们这么折腾
saga2008
非常火狐
非常火狐
  • UID25840
  • 注册日期2008-08-15
  • 最后登录2024-01-21
  • 发帖数694
  • 经验12枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
  • 社区居民
7楼#
发布于:2010-09-24 17:38
最近我自建的gap服务器怎么失效了?怪事。
harnack
狐狸大王
狐狸大王
  • UID25613
  • 注册日期2008-07-27
  • 最后登录2020-01-08
  • 发帖数325
  • 经验19枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
  • 社区居民
8楼#
发布于:2010-09-24 17:38
我想应者寥寥可能是因为大多数人都看不懂技术贴吧,对我们这样的菜鸟来说 Hack 那些技巧的确有点难,我们一般喜欢那种拿来就能用的uc脚本。  

我也有和前面同样的困惑。现在基于 Google App Engine 的翻墙工具有很多,我最早是用 gappproxy,但是 gappproxy 久不更新,后来看见 fcicq 搞了个 gappproxy2 就转用 gappproxy2,不过这个好像用的人并不多(fcicq 貌似比较低调),后来决定用 WallProxy。没想到 gappproxy 时隔一年居然又开始更新了,有谁知道这几个到底哪个最好用呢?我现在就在犹豫要不要从 WallProxy 回归 gappproxy。
听老人说,今生做千件好事,来世方能讨生为猫。
havanna
狐狸大王
狐狸大王
  • UID22502
  • 注册日期2008-01-01
  • 最后登录2015-10-20
  • 发帖数544
  • 经验14枚
  • 威望0点
  • 贡献值2点
  • 好评度0点
9楼#
发布于:2010-09-24 17:38
@ LS
因为很多人早已解决proxy问题
花些钱买个vpn一劳永逸
harnack
狐狸大王
狐狸大王
  • UID25613
  • 注册日期2008-07-27
  • 最后登录2020-01-08
  • 发帖数325
  • 经验19枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
  • 社区居民
10楼#
发布于:2010-09-24 17:38
vpn 的确方便。可是有个问题就是开了 vpn 后 utorrent 和 emule 就没法用了,gappproxy 的好处是不会影响其它的软件。
听老人说,今生做千件好事,来世方能讨生为猫。
havanna
狐狸大王
狐狸大王
  • UID22502
  • 注册日期2008-01-01
  • 最后登录2015-10-20
  • 发帖数544
  • 经验14枚
  • 威望0点
  • 贡献值2点
  • 好评度0点
11楼#
发布于:2010-09-24 17:38
pptpclient+route
很容易解决问题
将你想访问的被墙的网站的IP,加入pptp建立的路由即可
其他仍然走的普通线路
http://wiki.archlinux.org/index.php/Mic ... ork_Config
harnack
狐狸大王
狐狸大王
  • UID25613
  • 注册日期2008-07-27
  • 最后登录2020-01-08
  • 发帖数325
  • 经验19枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
  • 社区居民
12楼#
发布于:2010-09-24 17:38
这个看起来不错,正是我想要的,有空研究研究,多谢楼上。
听老人说,今生做千件好事,来世方能讨生为猫。
arch7819
火狐狸
火狐狸
  • UID30890
  • 注册日期2009-10-29
  • 最后登录2011-02-19
  • 发帖数153
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
13楼#
发布于:2010-09-24 17:38
貌似是 *uix 下的...

话说我又把 wallproxy 给 patch 了
现在在加载 12000 条规则测试 , 目前感觉良好.

每个url 测试耗时 7ms, 规则15000条, 2000条正则规则, 执行得比abp 还快....
性能太好, 本来想再加一层 cache 的看起来都不用了.
harnack
狐狸大王
狐狸大王
  • UID25613
  • 注册日期2008-07-27
  • 最后登录2020-01-08
  • 发帖数325
  • 经验19枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
  • 社区居民
14楼#
发布于:2010-09-24 17:38
好像的确是 linux 的…… -.-

话说 wallproxy 不是提供了一个 ca.crt 吗,为什么还要 patch 呢?或者是 patch 了别的方面?不妨放出来给我们用用吧。
听老人说,今生做千件好事,来世方能讨生为猫。
上一页
游客

返回顶部