YouTube 在台灣建立 Cache Server

剛剛看影片時眼尖發現 r11.tpe1.c.youtube.com 這個網域名稱,應該就是台灣的 cache server 了,就底層來說,從國內幾個 ISP 看起來都是 direct peering,只是不確定是否所有台灣的 ISP 都會被導過去。

從「jQuery 提供的 code.jquery.com 重導至 Google’s AJAX Libraries API」這篇提到互連的事情,差不多過了一個半月...

Flickr API 的 MD5 簽名偽造攻擊

這次的攻擊在於 Flickr 本身定義 Protocol 時偷懶,而且在 MD5 被擺平後沒有更新 Protocol,造成可以利用目前在 MD5 上發展出來的攻擊,產生相同的簽名,但內容卻可以放入自己想放的資訊:「Flickr's API Signature Forgery Vulnerability」。

簡單來說,「以 shared secret 使雙方可以確認訊息是否正確」這件事情,有 HMAC 可以用,但 Flickr 並沒有使用 HMAC,而是自己定義了 MD5(secret + msg),相較之下弱很多,加上 MD5 本身的攻擊技術已經相當成熟,所以就...

另外一個是 Flickr 一直沒有 review API,當 MD5 有問題而且攻擊技術愈來愈豐富,API 推出 SHA256 版本並公告 MD5 版本會在某個時間後無法使用,會是個合理的作法。

這份 paper 是就九月底發出來的,接下來應該會訂新的 Protocol,通知所有使用 Flickr API 的應用程式作者,花時間改版。

OpenSSH 10 週年

Slashdot 上看到目前市占率最高的 SSH client/server 實做,OpenSSH,十週年了:「OpenSSH Going Strong After 10 Years With Release of v5.3」。

因為這次釋出的 5.3 版帶有紀念性質,所以只包含了少量的 bugfix,沒有增加任何新功能或是重大改變:「openssh.com/txt/release-5.3」。

四年前寫的「OpenSSH 與 SSH Communications 的 SSH」這篇文章現在再回頭看其實很有趣 (當初 SSH Communications 講的超酸),不曉得現在市占率變成多少了...