XDDDDDD
Month: January 2007
Windows 2000 非官方更新
由於 Microsoft 說他們不會再繼續維護 Windows 2000,所以今年美國的 Daylight Saving Time 改變一般人就無法拿到 Microsoft 官方的 patch (參考 Microsoft 的 Preparing for daylight saving time changes in 2007 這篇),於是有人做了非官方的更新:Unofficial Win2K Daylight Saving Time Fix。
VeriSign 將獎賞寫出 Windows Vista 與 IE7 的安全漏洞的人
VeriSign 對於找到 Windows Vista & IE7 最嚴重的 remote code execution 漏洞並寫出 exploit code 的人提出獎賞:VeriSign Puts Flaw Bounty on Vista and IE7。
不過這個價碼對 Remote Code Execution 來說實在不怎麼吸引人... @_@
在外使用網路時的網路安全...
有人發現在 Hotel 使用網路時看網頁怪怪的,分析下去發現是 SuperClick 這家公司惡搞的原因:Hotel Connectivity Provider SuperClick Tracks You,剛好看到另外一篇對 FON 的安全性有所顧慮:FON 的安全性?。
先講 FON 的安全性好了。我手上沒有 FON 的機器,也沒用過 FON 提供的網路,所以我只能針對不同的情況假設。第一種,如果他的認證頁面是透過 fon.com 的 HTTPS 頁面做的話,那麼在認證的部份只要使用者有注意到,應該沒什麼問題。如果是在 FON AP 上認證的話,那麼 FON 必須使用 Key-based 認證,不然就有被釣魚的危險...
再回來講連線的事情,當在外使用網路一定要注意的... WEP/WPA 只能保護無線網路這段連線 (也就是電腦到 AP 這段),並不能保護其他的部份。像 Slashdot 那篇所遇到的例子是上游惡搞你。
比較好的方法是全程都使用 HTTPS,像是 Gmail,但並不是所有的站台都有提供 HTTPS。
另外一種方法是自己架設 SSL VPN (像是 OpenVPN) 連到信任的網路上再連出去,或是透過 PuTTY 連到其他信任的機器 (以及網路),利用 PuTTY 所提供的 Socks5,將瀏覽器的 Proxy 指過去。
如果以上的辦法都不可行的話 (沒有自己可信任的機器?),也許可以購買 VPN 的服務...
不用特別去充電的無線設備
在 Boing Boing 上看到:Company promises to wirelessly power handheld devices。
其實是放一台發送器,然後在無線設備上裝充電電池,平常放著的時候就透過特定的 RF 訊號充電...
公告系統...
Dell 在中國大陸販賣事先裝好 Linux 的 PC
在 Slashdot 上看到 Dell 在中國大陸販賣事先裝好 Linux 的 PC:Dell's Secret Linux Fling,原報導在 The Register 上,重點是有圖有真相:Dell's secret Linux fling,從圖可以看到選用的系統是 紅旗 Linux。
在拍賣網站上銷贓...
有人在 eBay 上銷贓,結果被物主給抓到 XD:Been Robbed Recently? Check Ebay,原報導:Police: LI Man Finds His Stolen GPS Device on eBay。
簡單說就是有人在 GPS 導航系統被偷了以後決定到 eBay 上找一個一樣的,結果發現某個拍賣裡有 serial number,號碼居然跟他之前的一樣,於是... XD
Spam 軟體
在 Security Fix 上看到 Spam 軟體已經能處理 CAPTCHA 這類 Turing Test 了:Scary Blogspam Automation Tools。
說到 CAPTCHA,我就想到前陣子看到給 SpamAssassin 用的 FuzzyOcrPlugin,可以將信件裡面的圖片轉成文字再交給 SpamAssassin 處理,這代表什麼呢... errr...
BSD 4-clause license 的問題
雖然 GNU GPL 很討厭,但是你必須承認一點:世界上有太多 open source software 使用 GNU GPL,於是你就得考慮其他的 license 的軟體如果與 GPL 的軟體連結在一起所遇到的問題。
比較有名的幾個例子包括 BSD 4-clause license 與 GNU GPL 不相容:BSD and GPL licensing,以及 OpenSSL license 與 GNU GPL 不相容:The OpenSSL License and The GPL。
結果剛剛在看這幾天的 RSS feed 的時候在 Slashdot 上看到 Gentoo/FreeBSD 頭目 Flameeyes 發現系統裡某些不容易被取代的部份居然使用 BSD 4-clause license:Gentoo/FreeBSD On Hold Due To Licensing Issues。
他寫的文章在這:
- Gentoo/FreeBSD: license problems require a development pause
- The big license mess, part 2
- A shadow lies upon all BSD distributions
- Thanks, and restart!
Gentoo/FreeBSD 遇到的麻煩暫時已經解決,主要是 libkvm 是被 GPL 軟體所呼叫,而不是 libkvm 去呼叫 GPL 軟體,而 GPL 所禁止的是別人連結到 GPL 軟體的情況,所以在這個情況下不受限制。另外一個是 libkvm 大多數的部份都是 UCB 的 copyright,而 UCB 宣佈過所有他們擁有的 BSD 4-clause license 將自動「降」為 3-clause,而其他的部份 (PowerPC 與 ARM 的移植程式碼) 的作者已經同意也「降」為 3-clause。
不過我搜尋了 FreeBSD 的 mailing list 發現好像沒有人討論這個問題...