web3vpn - 安全性报告
February 21st, 2022

以下为web3vpn的安全性报告,敬请审阅。

前提

进入到web3.0时代,特别是币圈,对用户安全性,是有更高的要求的。从币圈兴起至今,有太多安全问题导致了严重后果。最早的钓鱼合约、ETC分叉、到最近的NFT合约授权。骗子无所不用其极的去骗取用户手里的加密货币。

币圈用户,除了需要小心一些非技术手段的骗子之外。其实在使用互联网和畅游web3.0的时候,还需要留意一些底层的安全。比如用户匿名、流量加密、访问网站使用https等平常可能不太在意的点。

由于一些原因,中国大陆的加密货币爱好者。必须使用vpn代理的方式,访问加密货币相关网站。比如:twitter/opensea/tg等。而因为vpn代理会接收中转用户的网络流量,所以对vpn这一层的安全,币圈用户有更多的要求。

说明

以下仅为web3vpn团队,对自身提供vpn服务的安全性报告,从各种角度来阐述web3vpn对安全性提高所做的处理。同时,也欢迎各界人士来一起对安全性进行检查,以及对代码进行审查。

登录安全&匿名登录

1、web3vpn网站全程强制走https协议。用户登录过程中,是完全端对端加密,没有第三方能够篡改和解析用户输入的内容。

HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。具体https解释请见维基百科:超文本传输安全协议

2、web3vpn独创性的支持MetaMask(小狐狸钱包)登录,去中心化登录方式,无需邮箱和密码。使用的是MetaMask最新JS登录代码包,浏览器直接和MetaMask官方接口进行交互。web3vpn仅仅只会接收到MetaMask返回的用户公共地址,其他不能做任何处理。用户验证由MetaMask保证。具体如图所示:

从上图可以看到,web3vpn仅能从MetaMask获取您允许的账户的地址。
从上图可以看到,web3vpn仅能从MetaMask获取您允许的账户的地址。

账号安全

1、一旦登录完成后,web3vpn将会将您的认证信息进行严格保密。如果您是邮箱登录,密码将会是加盐hash后存储,任何人获取到数据库中保存的密码,都无法解密。

如果您是MetaMask登录或者谷歌登录。那么web3vpn也无法获取到您的公共信息之外的其他信息

用户数据库存储字段如下图所示:

从图中可知。密码是经过严格加密的。就算盗取到数据库信息,也无法解密您的密码。
从图中可知。密码是经过严格加密的。就算盗取到数据库信息,也无法解密您的密码。

支付匿名

  • web3vpn支持支付宝的同时,也支持加密货币支付。通过使用加密货币支付,无法追踪具体购买人,如果再配合小狐狸登录,等于是完全加密的在使用web3vpn相关服务。无法溯源、无法确定谁使用了web3vpn。

代码开源

我们所有使用的代码&软件服务,都是基于开源代码搭建的,代码可供全网审查。具体github代码仓库如下:

网站平台ProxyPanel github开源

域名服务cloudflare 美国纳斯达克上市企业,维基百科地址

我们采用的所有客户端都是开源知名,大众都在使用的软件,代码可审查,具体软件如下:

Windows: Clash for Windows V2rayN

安卓(Android): Clash for Android V2rayNG

Ios: Shadowrocket 小火箭(苹果手机最知名的代理软件)

MacOS: Clash X V2rayU

服务器安全

1、我们采用的都是国际知名服务器提供商提供的服务。如:谷歌云、亚马逊、甲骨文、绿云等。服务器安全有保障,基本杜绝了服务商层面出现的问题。

具体测试可以使用我们服务之后,打开ip查询网址进行查询,同时也可以测试网速。

如图可知。我们当前vpn节点是使用的亚马逊服务器。
如图可知。我们当前vpn节点是使用的亚马逊服务器。

协议安全

数据传输,全程采用的是开源的v2Ray核心配合VMess协议,代码开源地址:v2ray

同时,由于GFW的自动识别技术越来越高,web3vpn加入了TLS加密技术,在V2Ray的基础上,再加一层TLS加密。就算窃取到你的网络访问流量包,也无法破解其内容。这样做的好处是对用户数据安全性提高了,同时也能防GFW的探测,提高web3vpn的服务稳定性,防止被墙。

日志记录

1、web3vpn不会记录任何用户的访问记录。参考依据见网站开源代码:ProxyPanel

2、web3vpn所有代理节点,全部走的是TLS加密,所有传输记录都是走的加密传输。具体可看下图:

从图可见。代理节点全程走的是TLS加密。
从图可见。代理节点全程走的是TLS加密。

总结

综上所述,web3vpn,从用户登录安全、用户匿名、支付匿名、数据加密、开源软件、日志记录等方面做了一步步处理,保证了用户在使用web3vpn服务时,是安全匿名的。

当然,我们也知道万事无完美。后面我们将继续对服务稳定性、安全性进行提升。也欢迎任何人对web3vpn服务提交建议。

联系方式

官网:https://web3vpn.xyz

tg:web3vpn

Subscribe to web3vpn
Receive the latest updates directly to your inbox.
Verification
This entry has been permanently stored onchain and signed by its creator.
More from web3vpn

Skeleton

Skeleton

Skeleton