Recent Comments
Archives
- May 2012 (8)
- April 2012 (11)
- March 2012 (10)
- February 2012 (11)
- January 2012 (5)
- December 2011 (13)
- November 2011 (12)
- October 2011 (10)
- September 2011 (7)
- August 2011 (5)
- July 2011 (11)
- June 2011 (21)
- May 2011 (22)
- April 2011 (36)
- March 2011 (43)
- February 2011 (23)
- January 2011 (24)
- December 2010 (34)
- November 2010 (19)
- October 2010 (16)
- September 2010 (15)
- August 2010 (10)
- July 2010 (12)
- June 2010 (3)
- May 2010 (3)
- April 2010 (4)
- March 2010 (8)
- February 2010 (14)
- January 2010 (13)
- December 2009 (16)
- November 2009 (28)
- October 2009 (24)
- September 2009 (12)
- August 2009 (7)
- July 2009 (10)
- June 2009 (11)
- May 2009 (22)
- April 2009 (21)
- March 2009 (18)
- February 2009 (7)
- January 2009 (32)
- December 2008 (19)
- November 2008 (12)
- October 2008 (15)
- September 2008 (14)
- August 2008 (15)
- July 2008 (18)
- June 2008 (20)
- May 2008 (19)
- April 2008 (27)
- March 2008 (22)
- February 2008 (21)
- January 2008 (15)
- December 2007 (22)
- November 2007 (17)
- October 2007 (29)
- September 2007 (31)
- August 2007 (34)
- July 2007 (31)
- June 2007 (36)
- May 2007 (23)
- April 2007 (22)
- March 2007 (30)
- February 2007 (50)
- January 2007 (75)
- December 2006 (48)
- November 2006 (59)
- October 2006 (89)
- September 2006 (29)
- August 2006 (48)
- July 2006 (14)
- June 2006 (35)
- May 2006 (62)
- April 2006 (63)
- March 2006 (72)
- February 2006 (83)
- January 2006 (56)
- December 2005 (46)
- November 2005 (60)
- October 2005 (27)
- September 2005 (54)
- August 2005 (83)
Tags
amazon android api aws bittorrent browser cdn certificate chrome cloud cloudfront cpan database dns ec2 facebook firefox freebsd google hosting html https ie image ipv6 javascript jquery js linux mobile mozilla mysql p2p performance perl php secure security ssl twitter ubuntu video web wordpress yahooCategories
- Anime (25)
- AWS (51)
- BBS (17)
- Blog (201)
- Book (18)
- Bridge (1)
- Browser (283)
- CDN (21)
- Cloud (66)
- CMS (33)
- Comic (17)
- Computer (1980)
- Computer and Network Center (32)
- CSS (31)
- Database (132)
- DNS (50)
- Editor (11)
- Financial (37)
- Firefox (149)
- Food (11)
- FreeBSD (115)
- Game (25)
- GoogleChrome (25)
- Hardware (144)
- IE (64)
- Joke (131)
- Lab (3)
- Linux (72)
- MacOS (4)
- Mail (69)
- Movie (18)
- Murmuring (2056)
- Music (37)
- MySQL (97)
- NCTU (63)
- NetBSD (7)
- Network (1486)
- OpenBSD (3)
- Opera (21)
- OS (205)
- P2P (86)
- Photo (57)
- Political (48)
- Programming (315)
- Recreation (372)
- RSS (65)
- Safari (22)
- Science (28)
- Search Engine (126)
- Security (336)
- SMS (5)
- Social (60)
- Software (1062)
- Spam (86)
- Sport (4)
- Telephone (62)
- Television (35)
- Usenet (13)
- Vim (3)
- Wiki (25)
- Windows (48)
- WWW (782)
Blogroll
Meta
Category Archives: Security
Blind Signature…
最近看到電子投票的事情,想起之前研究所時所學的密碼學… 是否有辦法找出一個合理的密碼系統,可以在密碼學這層解決電子投票要處理的問題: 正確性:一人一票、無法偽造、無法更改。 匿名性:無法得知單一的投票內容。 可驗證性:自己可以驗證自己的投票內容、任何人都可以驗證全體的投票總數。 其他要求:… 有很多人試著去建立這樣的系統 (在「Cryptography – Electronic Voting」這篇可以看到),但目前沒有完美的系統可以做到… 其中 Blind Signature 在這樣的系統內常常被拿出來當工具… 之前沒仔細看懂,週末花了一些時間發現 Blind Signature 還蠻有趣的。 Blind Signature 想要與一般的 signature 一樣,讓對方簽 message m,取回 signature s。但多了一個要求:要在對方不知道 m 的內容情況下達到相同的效果。 在 Wikipedia 上有說明用 RSA 的作法,看懂以後覺得還蠻有趣的…
Posted in Computer, Murmuring, Political, Programming, Security, Social Tagged blind, signature, voting 2 Comments
GitHub 要求全面檢查 SSH Key
在 GitHub 被攻擊成功後 (參考 GitHub 官方所說的「Public Key Security Vulnerability and Mitigation」這篇),官方除了把漏洞修補完以外,接下來做了更積極的措施:暫停所有的 SSH key 存取權限,一律等到用戶 audit 確認過後才開放:「SSH Key Audit」。 這次 GitHub 除了修正問題、audit key 以外,另外還提出了新的機制讓用戶更容易發現異常存取行為,包括了: 新增 SSH public key 時要輸入密碼。 新增 SSH public key 成功後會寄信通知。 新增「Security History」頁面可以看到帳戶的安全狀況。 算是很積極補救的作法。 另外說明,要如何 audit key,也就是要如何取得你的 public … Continue reading
滲透測試…
在 Slashdot 上看到「Stealthy Pen Test Unit Plugs Directly Into 110 VAC Socket (Video)」這東西… 看圖片與規格資料,應該是接一個 110 伏特的電,然後插入一張 3G SIM 卡,就可以透過 3G 的頻寬管理這顆盒子。理論上可以完全被動收無線網路訊號,把收到的資料透過 3G 丟出來… 超棒的滲透工具?XD 無線網路強制上 VPN 應該是常見的解法了…
Posted in Computer, Hardware, Murmuring, Network, Security Tagged pentesting, security Leave a comment
儲存密碼的方式
主要是參考「Cryptographic Right Answers」這篇給的建議: Password handling: As soon as you receive a password, hash it using scrypt or PBKDF2 and erase the plaintext password from memory. Do NOT store users’ passwords. Do NOT hash them with MD5. Use a real key … Continue reading
請更新 HP 印表機的韌體…
HP 發了安全通告「HPSBPI02728 SSRT100692 rev.2 – Certain HP Printers and HP Digital Senders, Remote Firmware Update Enabled by Default」,在安全通告內列出的印表機都有安全問題,「允許遠端安裝未經授權的印表機韌體」,攻擊者可以遠端直接安裝有木馬的韌體: A potential security vulnerability has been identified with certain HP printers and HP digital senders. The vulnerability could be exploited remotely to … Continue reading
如果要自己寫 TOTP 的幾個要看的東西…
整理下來: HOTP: An HMAC-Based One-Time Password Algorithm TOTP: Time-Based One-Time Password Algorithm KeyUriFormat – google-authenticator – The format of URIs containing encoded keys – Two-step verification – Google Project Hosting 有玩過 HMAC 的人,讀這些文件應該不難… TOTP 在預設的情況下,其實就是 HMAC-SHA-1 後取後面 32bits,然後轉成數字取 100000 的餘數,而 … Continue reading
Firefox 11 將會支援 SPDY Protocol
Firefox 預定在 11 (現在是 8) 支援 SPDY Protocol:「(SPDY) Implement SPDY protocol」,除了 Google Chrome 自家瀏覽器支援外,總算有個大的也要支援了… 所以現在除了 Chrome、Kindle Fire 以外,又多了 Firefox 支援… 不過 Apache 與 F5 什麼時候會支援呢… mod-spdy 看起來… 呃…
維基百科全面支援 HTTPS (SSL)
維基百科在官方的 Blog 上宣佈,所有的服務都支援 HTTPS (SSL):「Native HTTPS support enabled for all Wikimedia Foundation wikis」,也就是說,像是「https://zh.wikipedia.org/wiki/Wikipedia:首页」這樣的網址都支援了。 除了 *.wikipedia.org 以外,*.wikimedia.org 也支援了,於是包括像是 upload.wikimedia.org 也都可以使用 HTTPS:(圖片取自 File:Minori-Chihara-Animelo-Summer-Live-2011-08-27-21-41.jpg) 當然,還是有一些 script 寫死用 http,接下來應該都會被修正…
RSA Security 被攻破的途徑
今年三月的時候,RSA Security 被攻破,攻擊者順利取得 SecurID 的資料,這些資料很有可能降低 SecurID 的安全性。也因此有了 Lockheed Martin 被攻擊的事情。 在官方的說明「Anatomy of an Attack」中,有提到「2011 Recruitment plan.xls」是使用 Excel 檔案,加上 Adobe Flash vulnerability (CVE-2011-0609) 攻入,而這是個 0-day attack (在當時)。 防毒軟體專家一直試著找出該份 Excel 檔。經過五個月,終於被找出來三月時寄到 RSA Security 的檔案,由某個可能是 EMC 的人在 3/19 上傳到 VirusTotal 試著掃描:「How we found … Continue reading
PHP 長期計畫:廢除 ext/mysql,改用 pdo_mysql 或 mysqli
在 Hacker News 上看到的長期計畫,要廢除 ext/mysql:「deprecating ext/mysql」。 主要的原因是 security 習慣問題。因為 ext/mysql 不支援 prepare 與 execute 這類不需要自己處理 escape 的函式,所以使用 ext/mysql 的人必須自己處理 escape 的問題,也就是透過 mysql_escape_string 或是 mysql_real_escape_string。而很多書籍為了讓初學者容易了解,會給出很糟的範例,像是: mysql_query(“SELECT * FROM `user` WHERE `username` = ‘$username’;”); 而 $username 沒有先檢查過。 依照提議,目前只會在文件上建議改用 PDO 或是 mysqli,不會對目前版本有任何改變。接下來是 5.5 … Continue reading