2006年November月 发布的文章

支持一下delphij同学,跟招行死磕

老实说最近招商银行客户端的修改和强迫升级实在不能称之为让人愉快的行为。不过我这个人懒,就直接装 vmware 凑合了。好在 delphij 同学挺身而出和招行这个家伙做斗争,大家可以去 delphij 的 blog 上面看看具体的情况,最好能都打电话给招行反映。

http://blog.delphij.net/archives/001651.html

招商银行的这网银也快没法用了

一直很喜欢招行的网银,除掉学校用来发硕士生补贴的储蓄卡,我第一张银行卡就是招行的,之后一直都用的他家的储蓄卡和信用卡,其他行都懒得去办。因为我比较懒得跑银行,招行的网银方便很多,安全性似乎也还可以,至少不像工行网银那样好几次爆出来被人盗用之类的。
最早和招行网银开始死磕的是 delphij 同学,一天他在 MSN 上面跟我抱怨说招行网银自动禁止了他的远程桌面,然后自动重起。搞得他很郁闷。当时我没当一回事,因为我自己当时手边电脑少,远程桌面都没得用。
谁料招行网银自此一发而不可收,各种诡异东西纷纷出笼,把自己搞得像一坨流氓软件一样。当我偶尔发现我的一个 vmware 里面的 VNC 下面也不能用网银时候,我也开始不爽了。
目前简单统计招行网银有如下弱智行为:
1: 强迫关闭远程桌面,不管你是不是坚持要开他
2: 安装 keyhook, 带来其他安全隐患,而且导致 vista 和 64 位系统完全不能工作,VNC 下面工作不正常
3: 备份证书强迫备份到移动媒体上面,但是我的笔记本没有移动媒体。
4: 程序中的使用代理形同虚设,使用代理时候就报 HTML 出错。连 sockscap 套着用 socks 代理都没搞定。

很多东西都被用一句安全要求给盖住,但是永远不能以安全问题为借口来简单粗暴,而且最近的多次升级明显感觉发布过程比较混乱,这个兆头比较不太好,难道真快到了弃用招行网银的时候了?不过如果不用招行网银,还有其他的么?

用OpenWRT轻松打倒北京网通的域名劫持

北京网通几个月以前开始拦截 DNS, 对不能解析的域名都给出网通某些服务器的地址,这些服务器就会重定向你的浏览请求到他的广告客户那里.最常见的是一个什么 bobodogs.com ,这名字听起来就显得非常下道,网页看起来也比较恶.于是决定把它干掉.

搞掉他最简单的方式当然是用别地方的 DNS 或者自己架,但是中国网络环境并不是非常的好,自己架的 DNS 只有自己访问,缓存命中率非常低,很多请求都要直接去查询,感觉非常慢.用别处 DNS 倒是没有这个问题,但是很多大网站会根据访问 DNS 的地址来给出不同的镜像,有时候就会给你一个访问速度很慢的,因此还是要用本地的用的人多的 DNS 才好。

我用的是 linksys 的无线路由器,里面跑了一个 OpenWRT,程序都可以自己编译,本来打算去修改dns转发代码,如果看到结果是北京网通那些机器的 IP ,就直接返回 NXDOMAIN。没想到仔细读了一下 dnsmasq 的源代码,发现里面原来已经有这个功能了,Verisign 维护的根域名服务器也会干类似的事情,因此 dnsmasq 里面作了一个思路完全一样的实现,只要将这些 IP 都加到 dnsmasq 的命令行上面,就可以实现封掉域名劫持的效果。

观察访问记录能看出来,北京网通的转发服务器范围是 202.108.251.201-211 ,另外还有一个 202.106.195.20 , 登录进 linksys 的 shell 以后,编辑 /etc/init.d/S50dnsmasq
将 args= 一行改成

args=”-B 202.106.195.20 -B 202.108.251.201 -B 202.108.251.202 -B 202.108.251.203 -B 202.108.251.204 …..

在原来的参数前面加上 -B , 每个地址需要一个 -B 参数指明, dnsmasq 不支持按网段封禁,好在不多,只有十几个,暂时还可以忍受。

然后 killall dnsmasq
/etc/init.d/S50dnsmasq

打开浏览器随便打个错误网址,IE 可以正常显示找不到 DNS 服务器。唉,为了恢复这个标准行为还要花这么大力气,上个网可真够难的。

最近评论

时光机

其他