# web3vpn - 安全性报告 By [web3vpn](https://paragraph.com/@web3vpn) · 2022-02-21 --- **以下为web3vpn的安全性报告,敬请审阅。** ### 前提 进入到web3.0时代,特别是币圈,对用户安全性,是有更高的要求的。从币圈兴起至今,有太多安全问题导致了严重后果。最早的钓鱼合约、ETC分叉、到最近的NFT合约授权。骗子无所不用其极的去骗取用户手里的加密货币。 币圈用户,除了需要小心一些非技术手段的骗子之外。其实在使用互联网和畅游web3.0的时候,还需要留意一些底层的安全。比如用户匿名、流量加密、访问网站使用https等平常可能不太在意的点。 由于一些原因,中国大陆的加密货币爱好者。必须使用vpn代理的方式,访问加密货币相关网站。比如:twitter/opensea/tg等。而因为vpn代理会接收中转用户的网络流量,所以对vpn这一层的安全,币圈用户有更多的要求。 ### 说明 以下仅为web3vpn团队,对自身提供vpn服务的安全性报告,从各种角度来阐述web3vpn对安全性提高所做的处理。同时,也欢迎各界人士来一起对安全性进行检查,以及对代码进行审查。 ### 登录安全&匿名登录 1、web3vpn网站全程强制走https协议。用户登录过程中,是完全端对端加密,没有第三方能够篡改和解析用户输入的内容。 > HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。具体https解释请见维基百科:[超文本传输安全协议](https://zh.wikipedia.org/wiki/%E8%B6%85%E6%96%87%E6%9C%AC%E4%BC%A0%E8%BE%93%E5%AE%89%E5%85%A8%E5%8D%8F%E8%AE%AE) 2、web3vpn独创性的支持**MetaMask(小狐狸钱包)登录,去中心化登录方式,无需邮箱和密码**。使用的是MetaMask最新JS登录代码包,浏览器直接和MetaMask官方接口进行交互。web3vpn仅仅只会接收到MetaMask返回的用户公共地址,其他不能做任何处理。用户验证由MetaMask保证。具体如图所示: ![从上图可以看到,web3vpn仅能从MetaMask获取您允许的账户的地址。](https://storage.googleapis.com/papyrus_images/df5acb33cbca59f2d20cf7887bada928ef0ce24c58434a9a220bc0b738da482f.png) 从上图可以看到,web3vpn仅能从MetaMask获取您允许的账户的地址。 ### 账号安全 1、一旦登录完成后,web3vpn将会将您的认证信息进行严格保密。如果您是邮箱登录,密码将会是[加盐hash](https://wooyun.js.org/drops/%E5%8A%A0%E7%9B%90hash%E4%BF%9D%E5%AD%98%E5%AF%86%E7%A0%81%E7%9A%84%E6%AD%A3%E7%A1%AE%E6%96%B9%E5%BC%8F.html)后存储,任何人获取到数据库中保存的密码,都无法解密。 如果您是MetaMask登录或者谷歌登录。那么**web3vpn也无法获取到您的公共信息之外的其他信息**。 用户数据库存储字段如下图所示: ![从图中可知。密码是经过严格加密的。就算盗取到数据库信息,也无法解密您的密码。](https://storage.googleapis.com/papyrus_images/ab63a3a1c567e2faae90d9698aed2918c731422b1a6249ba2572dcc619693230.png) 从图中可知。密码是经过严格加密的。就算盗取到数据库信息,也无法解密您的密码。 ### 支付匿名 * web3vpn支持支付宝的同时,也支持**加密货币支付**。通过使用加密货币支付,无法追踪具体购买人,如果再配合小狐狸登录,等于是完全加密的在使用web3vpn相关服务。无法溯源、无法确定谁使用了web3vpn。 ### 代码开源 **我们所有使用的代码&软件服务,都是基于开源代码搭建的,代码可供全网审查。具体github代码仓库如下:** **网站平台**:[ProxyPanel](https://github.com/ProxyPanel/ProxyPanel) github开源 **域名服务**:[cloudflare](https://www.cloudflare.com/) 美国纳斯达克上市企业,[维基百科地址](https://zh.wikipedia.org/wiki/Cloudflare) **我们采用的所有客户端都是开源知名,大众都在使用的软件,代码可审查,具体软件如下:** **Windows:** [Clash for Windows](https://github.com/Fndroid/clash_for_windows_pkg/releases) [V2rayN](https://github.com/2dust/v2rayN/releases) **安卓(Android):** [Clash for Android](https://github.com/Kr328/ClashForAndroid/releases) [V2rayNG](https://github.com/2dust/v2rayNG/releases) **Ios:** Shadowrocket 小火箭(苹果手机最知名的代理软件) **MacOS:** [Clash X](https://github.com/yichengchen/clashX/releases) [V2rayU](https://github.com/yanue/V2rayU/releases) ### 服务器安全 1、我们采用的都是国际知名服务器提供商提供的服务。如:谷歌云、亚马逊、甲骨文、绿云等。服务器安全有保障,基本杜绝了服务商层面出现的问题。 具体测试可以使用我们服务之后,打开[ip查询网址](https://www.speedtest.net/)进行查询,同时也可以测试网速。 ![如图可知。我们当前vpn节点是使用的亚马逊服务器。](https://storage.googleapis.com/papyrus_images/c40524888fb78d023c701616470be612a217100bb681211b2744b01258c5c530.png) 如图可知。我们当前vpn节点是使用的亚马逊服务器。 ### 协议安全 数据传输,全程采用的是开源的v2Ray核心配合VMess协议,代码开源地址:[v2ray](https://github.com/v2ray/manual) 同时,由于[GFW](https://zh.wikipedia.org/zh-hans/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E)的自动识别技术越来越高,web3vpn加入了TLS加密技术,在V2Ray的基础上,再加一层TLS加密。就算窃取到你的网络访问流量包,也无法破解其内容。这样做的好处是对用户数据安全性提高了,同时也能防GFW的探测,提高web3vpn的服务稳定性,防止被墙。 ### 日志记录 1、web3vpn不会记录任何用户的访问记录。参考依据见网站开源代码:[ProxyPanel](https://github.com/ProxyPanel/ProxyPanel) 2、web3vpn所有代理节点,全部走的是TLS加密,所有传输记录都是走的加密传输。具体可看下图: ![从图可见。代理节点全程走的是TLS加密。](https://storage.googleapis.com/papyrus_images/ccbc161b35604a8032c3299167a1f818ac622c6e13edd50e6a8eb0e74b4cf3d2.png) 从图可见。代理节点全程走的是TLS加密。 ### 总结 综上所述,web3vpn,从用户登录安全、用户匿名、支付匿名、数据加密、开源软件、日志记录等方面做了一步步处理,保证了用户在使用web3vpn服务时,是安全匿名的。 当然,我们也知道万事无完美。后面我们将继续对服务稳定性、安全性进行提升。也欢迎任何人对web3vpn服务提交建议。 ### 联系方式 官网:[https://web3vpn.xyz](https://web3vpn.xyz/) tg:[web3vpn](https://t.me/web3vpn) --- *Originally published on [web3vpn](https://paragraph.com/@web3vpn/web3vpn)*