Home » 2007 » February (Page 2)

OpenID

這幾天在寫 的 server (以裡的三套郵件系統為認證基礎:),讀 OpenID Authentication 1.1 規格書發現 spec 寫的好與壞對於規格的推動有很大的差異 -_-

的規格書是屬於超難懂的那種,第一個原因是裡面用了不少關於密碼學的理論或是實做 (),第二個原因是很多細節的地方缺乏具體的定義,如果不直接看其他人已經寫出來的 source code,讀起來很辛苦... @_@

不管怎麼樣,希望這幾天寫一寫,到時候就可以利用 跑很多東西...

Firefox 2.0.0.1 安全漏洞

上看到 Firefox 2.0.0.1 因為對 DOM 的處理不當造成 Cookie 外漏以及其他的安全漏洞:New Firefox cookie vulnerability, workaround,Bug Report 在 Zalewski cookie setting / same-domain bypass vulnerability

按照 Bug Report 上的說明,問題在於 location.hostname 這個變數上。惡意的站台可以故意將 location.hostname 設為 'evil.com\x00foo.example.com',於是真正在連 hostname 時會因為 C-style string 而只判讀到 evil.com (於是會連到 evil.com),但 Browser 認為這是 *.example.com,於是把符合 example.com 的 cookie 送出去。另外在 XMLHttpRequest 的處理上也會喪失 ,其實這個問題還蠻大的...

在 mozilla links 上提供一個暫時性的解法,基本原理是禁止網站修改 location.hostname,方法是在 about:config 裡加入 String,設定 capability.policy.default.Location.hostname.set = "noAccess" 後重新啟動 Firefox。

µTorrent 1.6.1

1.6.1 版出爐,又再次說明只有 full disclosure 才能促使商業公司注意軟體安全。

Anyway,這次除了安全性更新外,還改善 (以及修正) 了許多 WebUI 的東西,完整的內容請參考

某些地區的 Gmail 不再需要邀請函

看到某些地區的 不再需要邀請函就能註冊了:More People Can Sign up for a Gmail Account

Gmail is now a public beta in Europe, the Middle East and Africa, Brazil, Australia, Russia and Japan, according to BBC. If you live in one of those places, you can go to Gmail.com, and look for "Sign up for Gmail" or you can visit this page to create an account.

包括了歐洲、中東、非洲、巴西、澳洲、俄羅斯、日本。

Archives