Jarett's Blog

Goagent这个工具已经流行很久了，可能很多人以为挂了Goagent以后，就不会被人找到自己了，事实上并非如此。如果你查看Goagent提交的请求，你会发现，所有请求的User-Agent是类似这样的

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.154 Safari/537.36 AppEngine-Google; (+http://code.google.com/appengine; appid: s~xxx)

后面都被添加上了你的appid，也就是那个xxx，这个并不是软件有意添加上去的，而是Google App Engine在接口中的一个强制措施。

User-Agent. This header can be modified but App Engine will append an identifier string to allow servers to identify App Engine requests. The appended string has the format "AppEngine-Google; (+http://code.google.com/appengine; appid: APPID)", where APPID is your app's identifier.

恩，写完文章第二天，就收到Google邮件说GAE要支持socket调用了，以后应该可以实现自定义User-Agent了，期待更新。

Additionally, the HTTP User-Agent header string that historically allowed identification of individual App Engine applications should no longer be relied on to identify the application. With the introduction of outbound sockets for App Engine, applications may now make HTTP requests without using the URLFetch API, and those requests may set a User-Agent of their own choosing.

很多人会觉得其实带个appid没什么，关键是其实这就是对你的一个唯一的Tag标签，而且在传输过程中是没有加密的，在上层网络统计起来完全没任何困难，只要你使用这个id不小心访问过任何一个能指示你身份的网站，那么就能通过统计的方式通过这个appid找到你。再者，很多人在设置这个id的时候完全设置的是自己喜欢使用的一些用户名什么的。

我无意间搜到了老外的一个帖子:
http://stopforumspam.com/forum/viewtopic.php?id=3299

里面就有一个appid，看前缀应该是来自咱们国家的吧：

User Agent: Mozilla/5.0 (Windows NT 6.1; rv:7.0) Gecko/20100101 Firefox/7.0 AppEngine-Google; (+http://code.google.com/appengine; appid: s~cnxmleo)

然后去百度或者google一下这个id，你猜我看到了什么，连QQ都有，当然，会不会是巧合重名我也不得而知了。

退一步说，我们不要那么腹黑，我们假设是没有人在统计appid等信息的，难道你用了Goagent以后就没有办法获取你的真实ip了么，那么请你挂上你的Goagent，访问这个网站：
http://proxytester.org/

震惊了么，骚年。现在国外不少网站都开始着手封禁来来自GAE的请求了，

Goagent已经不是新东西了，如果到现在有人认为它是个匿名代理工具，那就大错特错了。