公共Wi-Fi中的真正威脅
讓我們將事實與偏執分開。公共Wi-Fi中最常見的威脅包括: 中間人攻擊(MITM):有人在你的Mac與路由器之間佈置位置,攔截流量。HTTPS可以降低Web瀏覽的風險,但並非所有應用程式流量都使用HTTPS。 假熱點:有人建立一個偽造的Wi-Fi,名稱合法(如"Starbucks_Free_WiFi")。你連接後,所有流量都會被監控。 封包嗅探:在開放(未加密)網路中,任何人都可以捕捉網路封包。HTTPS會加密內容,但元資料——你聯繫的伺服器、時間、頻率——仍然可見。 ARP欺騙:一種技術攻擊,將本地網路中的流量導向其他地方。
為何僅使用HTTPS不足夠
「但一切都用HTTPS加密!」——部分正確,但具有誤導性。 HTTPS保護網頁流量的內容。攻擊者無法閱讀你的電子郵件,但他可以看到:你聯繫的域名(DNS查詢常未加密)、時間與流量大小(元資料),以及未使用HTTPS的應用程式流量。 許多桌面應用程式仍使用未加密的連線進行某些功能。更新檢查、分析資料傳送和遙測常用HTTP。 更重要的是:你的Mac背景應用程式不知道自己在一個有風險的網路中。Dropbox同步、電子郵件客戶端抓取郵件、分析SDK會回傳資料到伺服器。
第一步:保護應用程式
最有效的保護方法是降低你的攻擊面。在公共Wi-Fi中,大多數應用程式不需要連網。 使用像NetMute的每個應用程式防火牆,你可以建立一個「公共Wi-Fi」網路設定檔,只允許必要的應用程式:瀏覽器、VPN客戶端,也許還有電子郵件。其他的都會被封鎖。 這樣可以防止:背景應用程式在不可信的網路中洩漏資料、傳送元資料的不必要連線,以及同步大量資料到可能被監控的連線。 NetMute可以在你連接到不可信的網路時自動啟用此設定檔。
第二步:使用VPN(但要了解限制)
VPN會將你的所有流量加密,並通過一個安全的隧道傳送。這可以防止本地攻擊者讀取你的資料。每個公共網路都應該使用可靠的VPN。 但VPN並非萬能。它不會阻止你的應用程式連線——它只會加密連線。若應用程式洩漏資料到追蹤器,追蹤器仍然可以取得資料;它們只是在一個加密的隧道中。 VPN + 每個應用程式防火牆是理想組合:VPN負責加密,防火牆控制存取權限。
完整的公共Wi-Fi保護方案
以下是我們建議的逐步設定流程: 1. 連線前:啟用VPN,並切換到NetMute中的限制性網路設定檔。 2. 連線後:只允許必要的應用程式(瀏覽器、VPN、電子郵件),其他的都封鎖。 3. 注意警告:NetMute會在偵測到可疑網路行為(如Captive Portal)時發出警告。 4. 使用完畢後:斷開公共網路連線。你的正常設定檔會自動恢復。 5. 最佳實務:盡可能不要在公共Wi-Fi中使用敏感帳號(銀行、管理面板)。 透過此方案,公共Wi-Fi的風險將大大降低。