於是 Firefox 全螢幕時的可視範圍變成:
新鮮感沒問題,實用性就不知道了...
幹壞事是進步最大的原動力
剛剛看影片時眼尖發現 r11.tpe1.c.youtube.com
這個網域名稱,應該就是台灣的 cache server 了,就底層來說,從國內幾個 ISP 看起來都是 direct peering,只是不確定是否所有台灣的 ISP 都會被導過去。
從「jQuery 提供的 code.jquery.com 重導至 Google’s AJAX Libraries API」這篇提到互連的事情,差不多過了一個半月...
這次的攻擊在於 Flickr 本身定義 Protocol 時偷懶,而且在 MD5 被擺平後沒有更新 Protocol,造成可以利用目前在 MD5 上發展出來的攻擊,產生相同的簽名,但內容卻可以放入自己想放的資訊:「Flickr's API Signature Forgery Vulnerability」。
簡單來說,「以 shared secret 使雙方可以確認訊息是否正確」這件事情,有 HMAC 可以用,但 Flickr 並沒有使用 HMAC,而是自己定義了 MD5(secret + msg)
,相較之下弱很多,加上 MD5 本身的攻擊技術已經相當成熟,所以就...
另外一個是 Flickr 一直沒有 review API,當 MD5 有問題而且攻擊技術愈來愈豐富,API 推出 SHA256 版本並公告 MD5 版本會在某個時間後無法使用,會是個合理的作法。
這份 paper 是就九月底發出來的,接下來應該會訂新的 Protocol,通知所有使用 Flickr API 的應用程式作者,花時間改版。
在 Slashdot 上看到目前市占率最高的 SSH client/server 實做,OpenSSH,十週年了:「OpenSSH Going Strong After 10 Years With Release of v5.3」。
因為這次釋出的 5.3 版帶有紀念性質,所以只包含了少量的 bugfix,沒有增加任何新功能或是重大改變:「openssh.com/txt/release-5.3」。
四年前寫的「OpenSSH 與 SSH Communications 的 SSH」這篇文章現在再回頭看其實很有趣 (當初 SSH Communications 講的超酸),不曉得現在市占率變成多少了...