frp icon indicating copy to clipboard operation
frp copied to clipboard

Published 20 hours ago verified publisher icon fatedier

[Feature Request] frpc连接frps支持对称加密方式连接

Open dwxiayi opened this issue 2 years ago • 3 comments

Describe the feature request

frpc默认连接frps应该是使用明文发送token,存在抓包泄漏风险。 当然现在版本是支持tls证书连接方式的,但是证书的制作和携带不够方便。 是否可以考虑使用客户端、服务端配置相同密码(在不增加配置的情况下可使用token作为密码)的对称加密(客户端、服务端使用默认加密算法即可,支持配置更好了)方式连接,防止信息泄漏配置简单又可靠。大名鼎鼎的ss/ssr也是这种机制保证数据加密。 PS:tls协议其实就是通过证书传递密码,最后使用对称加密算法加密数据。

Describe alternatives you've considered

No response

Affected area

  • [ ] Docs
  • [ ] Installation
  • [ ] Performance and Scalability
  • [X] Security
  • [ ] User Experience
  • [ ] Test and Release
  • [ ] Developer Infrastructure
  • [ ] Client Plugin
  • [ ] Server Plugin
  • [ ] Extensions
  • [ ] Others

dwxiayi avatar Aug 26 '22 08:08 dwxiayi

不是很懂go语言,没有抓包,盲目说是明文有点武断。

dwxiayi avatar Aug 26 '22 08:08 dwxiayi

如果只需要加密直接配置 tls_enable = true 即可,会使用自动生成的证书。

fatedier avatar Aug 26 '22 10:08 fatedier

如果只需要加密直接配置 tls_enable = true 即可,会使用自动生成的证书。

这样应该是信任任意客户端证书的?有中间人攻击的风险。

dwxiayi avatar Aug 26 '22 10:08 dwxiayi

Issues go stale after 30d of inactivity. Stale issues rot after an additional 7d of inactivity and eventually close.

github-actions[bot] avatar Sep 26 '22 00:09 github-actions[bot]

如果只需要加密直接配置 tls_enable = true 即可,会使用自动生成的证书。

这样应该是信任任意客户端证书的?有中间人攻击的风险。

我在学校使用frp为外网提供http服务,没有加密,学校发现了,叫我停掉。请问,如果我配置 tls_enable = true,还会被第三方发现吗?

shaoyaoqian avatar Nov 16 '22 06:11 shaoyaoqian

需要看下你的frps再那个网络,如果frps也在校园网很容易被检测到。如果在外网应该可以启用客户端的use_encryption选项。 也可以使用更安全的stcp方式。 ps:frpc连接frps的协议应该已经被防火墙识别了,如果学校禁止使用这个东西也是无解的。可以启用tls试试,不过最好用自己生成的证书。

dwxiayi avatar Nov 16 '22 06:11 dwxiayi

@shaoyaoqian

dwxiayi avatar Nov 16 '22 06:11 dwxiayi

frps在外网。之前是用http明文的。

shaoyaoqian avatar Nov 16 '22 07:11 shaoyaoqian