没偷懒设了手机令牌，库存还是被steam++出完了

Rainwedell

印象里面黑盒的pcmer用这玩意挺多的，没那么容易出事吧，steam交易1刀以下印象中不需要走令牌

月夜凝雪

Byooon 发表于 2023-9-5 13:30
没事干嘛用那个...
我连加速器偷窥我steam游戏都觉得烦

我上次被盗号就是用了某加速器之后，使用之前和删掉之后都没事

—— 来自 Xiaomi 23049RAD8C, Android 13上的 S1Next-鹅版 v2.5.2-play

黑魔导始祖

cc-2 发表于 2023-9-5 14:50
草，steam++这么危险的吗？？但是不靠他，STEAM基本什么页面都打不开

除了加速器还有什么别的方法吗 ...

.....不用加速器的话用302不就好了吗

chaosp

所以302安不安全啊？

caupollen

302一直有用吧，没用可能是没更新版本

Tring

chaosp 发表于 2023-9-5 15:27
所以302安不安全啊？

原理都是一样的，本地反代。
也就是，有机会作恶，但是做不做另看。

光说反代，安全程度高到低大概是这样排：
自己找正经的通用反代组件自己组 > 找看得懂代码的开源版专用工具自己编译 > 找那些开源专用工具的官方发布版 >>> 官方来源的非开源专用工具 >>>>>>> 不知道从哪个野鸡站上下的专用工具

新庄運切

这软件不是开源软件吗？https://github.com/BeyondDimension/SteamTools
看了眼内容还挺正规的

GMJ

Tring 发表于 2023-9-5 14:24
信任是建立在约定的前提下的。对于这些把免责声明写在使用条约第一条的软件，何谈信任？
而且手搓并不需要 ...

快进到汽配城的轮子也有被塞私货，不检查直接用一样翻车，被逼无奈只能自己发明轮子

Tring

新庄運切 发表于 2023-9-5 15:49
这软件不是开源软件吗？https://github.com/BeyondDimension/SteamTools
看了眼内容还挺正规的 ...

在GH上的当然一般都是开源的（除非上面根本没有源码）。
但是越是开源越是方便野鸡站做手脚，毕竟不是谁都是从GH上下载官方发布版。

另外开源也不算绝对安全，只是相信有问题的话会有懂的人发现。
还有的开源可能有些组件并未开源，也存在出问题的可能性。

Tring

GMJ 发表于 2023-9-5 15:52
快进到汽配城的轮子也有被塞私货，不检查直接用一样翻车，被逼无奈只能自己发明轮子 ...

如果是军用车，这当然是必须的。
但是你个民用破车值得这么搞么就要商榷一下了。

防范手段没有绝对安全的，投入多少防范成本永远是和风险挂钩的。
你如果用这些工具去访问你的千万账户电子支付，那确实值得自己发明轮子。

这也是为什么商业大厂，使用开源代码都非常谨慎，需要完整的考核各方面是否达标。

至于你说的“不用检查一样翻车”，这一点则相反正是汽配城的轮子的优点。
汽配城的轮子出货量巨大，有太多人检查过了，翻车率当然比路边买的独轮车的低得多。

GMJ

Tring 发表于 2023-9-5 15:57
如果是军用车，这当然是必须的。
但是你个民用破车值得这么搞么就要商榷一下了。

现在就是你的民用车翻车了啊   steam++就是开源项目，

三个和尚没水喝，当一群人可以对某个事情负责的时候最后就是没人负责

所有人用开源代码也有可能会出现，都这么多人用了，有问题早就发现了，然后不检查，结果所有人都是这么想的，最终没有一个人检查过。  

Tring

GMJ 发表于 2023-9-5 16:16
现在就是你的民用车翻车了啊   steam++就是开源项目，

三个和尚没水喝，当一群人可以对某个事情负责的时 ...

我前面也说了，开源项目，和自己下的真的是这个开源项目的软件，是两码事。

开源软件，只要有低成本作恶的机会，就会有人用于作恶。
这基本是网络通理。
而反代这东西的问题就在这里，作恶的成本极低。


当然，这里说得好像我一口咬定就是STEAM++的问题了一样，
实际上并不，我想表达的是，这东西是一个风险非常高的突破口。

而关于STEAM，就像我前面说的，我始终认为由于STEAM官方安全性的落后，以及非常高的受黑客瞩目程度，再加上国内网络环境的复杂性，盗号这件事本身就是防不胜防的。
别长放值钱的东西才是最根本的解决方法。

莫夜戎

好久不用steam++了，ls说的可能性最大，令牌文件被盗了，试试卡巴斯基免费版能查出来病毒吗

pf67

GMJ 发表于 2023-9-5 16:16
现在就是你的民用车翻车了啊   steam++就是开源项目，

三个和尚没水喝，当一群人可以对某个事情负责的时 ...

首先check开源这种事情一般都是抱着学术研究或者想要利用商业化的心态才去做的，要不然谁有那么多时间去检查每个开源代码，当然是没有人会负责的。

但是既然开源就代表有一定概率就会被人check，所以如果你要特意留下一些后门那也有被抓包的风险。

双方都有风险，这就属于你觉得能承担你就能上。

首领

官网可以被劫持，服务器能被攻击
别思考，取消所有授权

你好s1

   搞清楚一件事，Steam++可不是几个人在用，用的人多了去了，不可能就你出问题的

欠损

你好s1 发表于 2023-9-5 19:30
搞清楚一件事，Steam++可不是几个人在用，用的人多了去了，不可能就你出问题的 ...

对啊，稍微查一下就能发现不光我在出问题。
而且这次我摆烂了，只是卸了watt tookit，令牌取消了那阿姆斯特丹ip的授权。昨天被挂到市场上没卖完忘了下架的东西陆陆续续卖剩下的余额就又没人再登上去转了。
最后你用不用那肯定不关我事。

Sevenzerofive

cc-2 发表于 2023-9-5 15:37
在STEAM++前我用的是302来着

貌似就是302没用了，才去找的STEAM++

302一直都能用啊

火烧云

Steam不是买游戏才充钱吗
游戏也能被盗吗

kidding1

这软件的问题不在于开源不开源的问题，最重要的是这玩意需要在你电脑里安装一个根证书用于中间人解密，这本身就是一个严重的安全风险。
如果这个软件要搞事，那开源客户端里不需要埋任何东西，在反代服务器上就能解密监听你所有流量。就算这软件不干这事，如果有人盗取了你电脑上的根证书也可以干一样的事。
所以这类需要根证书的软件一定要慎之又慎，如果不能百分百信任那就别装，卸载也要检查证书信任列表确保删除了安装的根证书。
反正steam++这个我是不敢用，看着就很可疑

—— 来自 Xiaomi 23049RAD8C, Android 13上的 S1Next-鹅版 v2.5.4

clc-feng

啥都敢用，还宣称是被盗号。

心灵的乳头

前面有坛友说wallpaper应用带毒的事，顺手搜了一下，看到有文章解释盗号者如何跳过手机令牌的。“...这种情况下盗号者就会把你所有的库存都以低于1美元（大概6块多人民币）的价格上架，steam里低于1美元的物品上架是不用通过手机令牌的。”
原文地址： https://m.xitongzhijia.net/xtjc/20230428/288097.html

Tring

dllplayer 发表于 2023-9-6 10:22
那个.请问...信任证书的证书是自己做的..
这样风险会小一些么(用着反代上悲伤熊猫的人好奇) ...

先说结论：小一丢丢，但区别不大。

关于数字证书，直观上最重要的是2件事：1，签署的范围；2，私钥。
具体到HTTPS上网的情况，一份受信任的证书意味着：
你在访问 证书签署范围 内的网站时，对于 私钥 的所有者是完全透明的，所有交互的信息可以被它接受（监听）并修改（篡改）。

那么看看干净的反代的工作方式：
反代代替你自己去访问你的目标网站，然后将访问的信息在你与你的目标网站之间透传。
因此，你与你的目标网站通信的信息，必须对于反代是透明的。
根据上面的说法，反代就必须拥有一份受你信任的，签署范围覆盖了你的目标网站的证书，的私钥。

这份证书，不管是谁签发的，但肯定不可能是受信任的公共组织签发的，因为他们签发的证书的私钥归网站自己所有，不管是你还是反代都不可能拿到。
因此，这份证书要么是 你自己签发的，要么是 反代的作者或者其他第三方签发的。
不过是谁签发的，这其实并不重要，因为不管是谁签发的，反代都必须能够直接访问这份私钥。
换句话说，对于一个不干净的反代来说，它永远有把这份私钥给透露出去的可能性。

不过当然，直接信任别人签发的证书更是离谱。
因为都不需要反代自己不干净，你信任的这份证书的私钥，一开始就在外人手中，你访问目标网站的所有信息对于那个外人来说一开始就是透明的。

你以为到这就是最离谱的情况了？实际还有更离谱的事。
前面我也说了，一份证书是有有效范围的。但是有的反代，并不只能代理一个网站，这是怎么回事呢？
因为它让你信任的是“根证书”！
根证书，直观一点说就是所有证书的老大，拥有至高权利！
至高到什么程度？能签发任意网站的信任证书，不需要你确认。这还不说，除了网站以外的像是软件的数字签名，或者其他任何加密场合，它都能管！
也就是说，一份“根证书”等于握住了你电脑中的几乎所有跟加密有关的命脉。

而就像我前面说的，你一旦授予了反代根证书的私钥，虽然你很方便的能用反代上任意网站了，但是反代等于直接拿到了你电脑里的所有加密通行证，而且它还能将其悄摸摸的扩散给任何人。

所以对于证书这件事，你如果一定要用并不那么可信的反代，那么需要记住的并不是自己生成证书这件事，
而是，请务必务必务必，不能信任反代的根证书。
你可以信任它的某个网站的自署名证书，那样就算它不干净，你受损的也只是那一个对应网站的访问信息而已。
比如说你用来上熊猫，顶多也就是你看了些什么怪东西，收藏里有些什么怪东西，有可能被别人知道而已。
但是如果信任了根证书，就不单单是一个网站，甚至不单单是上网的问题了。

三杉酸宁碱

草，我在微软商店下的steam++，这么危险吗？看来得卸了

依存香炉

Tring 发表于 2023-9-6 14:50
先说结论：小一丢丢，但区别不大。

关于数字证书，直观上最重要的是2件事：1，签署的范围；2，私钥。

那clash和**这种代理软件属于反向代理吗？也有同样的危险？

Tring

依存香炉 发表于 2023-9-6 15:02
那clash和**这种代理软件属于反向代理吗？也有同样的危险？

不属于。
clash虽然我也用，但是没有很深入的了解，只用了一些简单功能，所以我不太敢把话说满。
但是我在用的，相信也是一般人都在用的那些功能，都是属于“隧道通信”功能的。

隧道通信，这种方式是最普遍的梯子方式，如果是更广泛应用在其他场合的协议的话（比如IPSec），基本上来说是非常非常安全，甚至可能比直接访问更安全的。
不过拿来翻墙的，一般是翻墙特化魔改出来的SS协议。
这个协议我没有深入了解过，但是它还是属于隧道通信这类型的，
最底线来说，至少他没有明文介入你和网站之间的通信，再不安全也有HTTPS自身的那一道加密存在，不会太不安全。
不过当然，这东西我不算了解，不敢把话说死。不过比反代安全得多还是基本确定的。

Tring

dllplayer 发表于 2023-9-6 15:12
也就是说只要CA是自己搓的问题就不大是吧

不是自己搓还是谁搓的问题，
而是反代能否使用的问题。

你自己搓的CA，给反代拿去签发证书，反代还是能访问你的CA的私钥。
这不就还是把CA给透露出去了么。

安全一点的使用场合是：
你自己搓CA，自己保管好私钥绝对不给反代。
然后反代要什么证书，你用自己搓的CA自己拿openssl（或者别的什么）签发一份域名证书，把私钥给反代用。

但是这其实和直接信任反代的自署名证书区别也不算太大。

从逻辑上来说，你要使用反代，反代就必须透明介入你和目标网站之间的通信，这个是绝对不可能避免的。
能避免的情况只有，别让反代拿到更多的权限。直接一点就是干脆别使用根证书就行。

Tring

dllplayer 发表于 2023-9-6 15:27
别让反代拿到更多的权限..
具体做法出了不要把CA丢进受信任的根证书颁发机构里是吧..
有别的办法么..比如 ...

这里有个很简单的逻辑：

你图方便想要反代能够自己签发每个域名的证书不需要你介入，
那反代就一定可以不需要你确认签发你不知道的证书。
方便和风险永远是同在的。

证书管理这东西，虽然层级非常非常多，看起来很复杂，
但是实际上是一层管一层的。

也就是你作为一个没有任何运营资质的个体来说，你能介入证书链的位置只有2个：
个人证书（末端），根证书（顶端）。
中间的任何环节，你都没办法介入。

Tring

dllplayer 发表于 2023-9-6 15:40
完了..完全看不懂你的第一段话了...
这方面知识欠缺太多...

就是每个要代理的域名，单独给它一个自署名证书，而不要用CA。
用起来会麻烦一些。

不过NGINX这东西，如果是正式渠道获取的正式版本，因为被应用在了很多很多不一样的场合，不干净的几率其实是比较小的。
你嫌麻烦愿意承担一定的风险直接用CA，倒也是一种选择。
毕竟反代虽然风险大，但是只要它是干净的，倒也没有多少第三方介入的余地。
不过当然，这种场合证书必须是你自己搓的。如果用别人的证书，别人就能介入了。

Tring

dllplayer 发表于 2023-9-6 15:55
其实本身倒是能接受每个域名单独给证书的事情...最大问题是不知道怎么做...

毕竟不是网络安全相 ...

这方面应该网上还挺多教程的。实际上部署个人证书应该比部署根证书还要简单些才对。
不过我没用过NGINX，所以详细也说不上。
搜的话，可以搜些关键词：
NGINX如何部署证书，如何制作自签名证书。

zerocount

【Steam++官方来B站啦-哔哩哔哩】 https://b23.tv/z4VtKvj

wolfwood

STEAM++是啥玩意？