以下为web3vpn的安全性报告,敬请审阅。
前提
进入到web3.0时代,特别是币圈,对用户安全性,是有更高的要求的。从币圈兴起至今,有太多安全问题导致了严重后果。最早的钓鱼合约、ETC分叉、到最近的NFT合约授权。骗子无所不用其极的去骗取用户手里的加密货币。
币圈用户,除了需要小心一些非技术手段的骗子之外。其实在使用互联网和畅游web3.0的时候,还需要留意一些底层的安全。比如用户匿名、流量加密、访问网站使用https等平常可能不太在意的点。
由于一些原因,中国大陆的加密货币爱好者。必须使用vpn代理的方式,访问加密货币相关网站。比如:twitter/opensea/tg等。而因为vpn代理会接收中转用户的网络流量,所以对vpn这一层的安全,币圈用户有更多的要求。
说明
以下仅为web3vpn团队,对自身提供vpn服务的安全性报告,从各种角度来阐述web3vpn对安全性提高所做的处理。同时,也欢迎各界人士来一起对安全性进行检查,以及对代码进行审查。
登录安全&匿名登录
1、web3vpn网站全程强制走https协议。用户登录过程中,是完全端对端加密,没有第三方能够篡改和解析用户输入的内容。
HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。具体https解释请见维基百科:超文本传输安全协议
2、web3vpn独创性的支持MetaMask(小狐狸钱包)登录,去中心化登录方式,无需邮箱和密码。使用的是MetaMask最新JS登录代码包,浏览器直接和MetaMask官方接口进行交互。web3vpn仅仅只会接收到MetaMask返回的用户公共地址,其他不能做任何处理。用户验证由MetaMask保证。具体如图所示:
账号安全
1、一旦登录完成后,web3vpn将会将您的认证信息进行严格保密。如果您是邮箱登录,密码将会是加盐hash后存储,任何人获取到数据库中保存的密码,都无法解密。
如果您是MetaMask登录或者谷歌登录。那么web3vpn也无法获取到您的公共信息之外的其他信息。
用户数据库存储字段如下图所示:
支付匿名
- web3vpn支持支付宝的同时,也支持加密货币支付。通过使用加密货币支付,无法追踪具体购买人,如果再配合小狐狸登录,等于是完全加密的在使用web3vpn相关服务。无法溯源、无法确定谁使用了web3vpn。
代码开源
我们所有使用的代码&软件服务,都是基于开源代码搭建的,代码可供全网审查。具体github代码仓库如下:
网站平台:ProxyPanel github开源
域名服务:cloudflare 美国纳斯达克上市企业,维基百科地址
我们采用的所有客户端都是开源知名,大众都在使用的软件,代码可审查,具体软件如下:
Windows: Clash for Windows V2rayN
安卓(Android): Clash for Android V2rayNG
Ios: Shadowrocket 小火箭(苹果手机最知名的代理软件)
服务器安全
1、我们采用的都是国际知名服务器提供商提供的服务。如:谷歌云、亚马逊、甲骨文、绿云等。服务器安全有保障,基本杜绝了服务商层面出现的问题。
具体测试可以使用我们服务之后,打开ip查询网址进行查询,同时也可以测试网速。
协议安全
数据传输,全程采用的是开源的v2Ray核心配合VMess协议,代码开源地址:v2ray
同时,由于GFW的自动识别技术越来越高,web3vpn加入了TLS加密技术,在V2Ray的基础上,再加一层TLS加密。就算窃取到你的网络访问流量包,也无法破解其内容。这样做的好处是对用户数据安全性提高了,同时也能防GFW的探测,提高web3vpn的服务稳定性,防止被墙。
日志记录
1、web3vpn不会记录任何用户的访问记录。参考依据见网站开源代码:ProxyPanel
2、web3vpn所有代理节点,全部走的是TLS加密,所有传输记录都是走的加密传输。具体可看下图:
总结
综上所述,web3vpn,从用户登录安全、用户匿名、支付匿名、数据加密、开源软件、日志记录等方面做了一步步处理,保证了用户在使用web3vpn服务时,是安全匿名的。
当然,我们也知道万事无完美。后面我们将继续对服务稳定性、安全性进行提升。也欢迎任何人对web3vpn服务提交建议。
联系方式
tg:web3vpn