Month: July 2014

用基地台的訊號監控天氣

基地台的密度比氣象站以及雷達的密度高很多,於是就有人想用基地台的訊號衰減資料來監控氣象:「New Technology Uses Cellular Towers For Super-Accurate Weather Measurements」。原文在「Cellular towers in the service of meteorology」這邊。

很好玩的方法,一個城市裡面有上百上千隻基地台,用這些資料來分析 XD

avast 的人從網路上買了二十台智慧型手機...

然後從裡面拉出四萬張照片:「Tens of thousands of Americans sell themselves online every day」。

We purchased 20 used Android phones off eBay and used simple and easily available recovery software to restore deleted files.

雖然文章是在推銷 avastAndroid 清除軟體,但還是顯示出一般人對資安上的熟悉度不足。

Outlook 裡 Ctrl-F 的設計

OSNew 上看到為什麼 Outlook 裡 Ctrl-F 不是 find 的原因:「Why does Outlook map Ctrl+F to forward instead of find?」。

先引用這句話:

Before clicking the link to go to the full story, try to guess the answer. I'm pretty sure you're going to be wrong.

原文在「Why does Outlook map Ctrl+F to Forward instead of Find, like all right-thinking programs?」這邊,1995 年發生的事情。

SSL Blacklist

現在新的 malware 或是 botnet 為了避免被 IDS/IPS 之類的設備抓包,大多都使用 SSL 連線傳遞資料在技術上躲避偵測。

而為了因應新型態的 malware 與 botnet,就有人想到去建立 SSL certificate SHA-1 的資料庫來偵測:「SSL Black List Aims to Publicize Certificates Associated With Malware」,也就是「SSL Blacklist」這個服務。

不過這應該會再演變成透過 malware 與 botnet 改用 PKI 架構而變成要偵測 CA 簽名的部份?還可以想出一些變形...

用 Content-Security-Policy 攻擊

在「When Security Generates Insecurity」這篇文章裡,介紹了如何利用 Content-Security-Policy 攻擊網站。

首先,我想要知道是不是有登入 Facebook 或是 Google

Interest piqued by the report-uri feature, I looked into abusing it to glean information about user state, my idea was this: when a user is not logged into Google Calendar, accessing calendar.google.com redirects them to accounts.google.com via a Location header. If I whitelisted calendar.google.com but not accounts.google.com, accessing that resource within my web page would break CSP, subsequently sending me a message telling me whether they were logged into Google.

也就是說,利用 CSP 的 report-uri 以及重導的特性,可以分辨出使用者是否有登入。以 Facebook 以及 Google 的例子:

The implementation was like this: I had a single image on the page <img src="http://calendar.google.com"/>, and I sent the Content-Security-Policy header Content-Security-Policy: image-src calendar.google.com. The test was a success, I was able to detect login on Google. The same extended to Facebook; apps.facebook.com would redirect to www.facebook.com only if the user was logged in.

另外,由於實務上可以偵測 path,所以可以去「猜測」使用者是不是某個特定的人,在文章裡假設的是美國總統 Barack Obama:

By using CSP to whitelist facebook.com/me and facebook.com/barackobama and embedding http://facebook.com/me as an image, I can conditionally create a CSP report only if the current user on Facebook is not Barack Obama.

很有趣的安全性問題...

DigitalOcean 倫敦機房

DigitalOcean 宣佈了倫敦機房 (代號 LON1):「Introducing Our London Region (LON1)」。

這是歐洲的第二個地區,第一個是荷蘭 Amsterdam。

雖然官方沒有說,但 routing 的部份可以用 speedtest-lon1.digitalocean.com 測試。看起來初期的 routing 都還沒有 tune 好 XD

從加州的 DigitalOcean 機房測試,發現會走 NTT 的線路,先走到 NTT 在 Amsterdam 的點再到英國 (喂喂)。

Adobe 與 Google 共同推出 CJK 字型

AdobeGoogle 合作推出了 CJK 字型:「隆重介紹 思源黑體:開放原始碼 Pan-CJK 字型」、「Noto: A CJK Font That is Complete, Beautiful and Right for Your Language and Region」。

這些字體在 Adobe 與 Google 會叫做不同的名稱:

Google will release it as Noto Sans CJK as part of Google's Noto font family. Adobe will release it as Source Han Sans as a part of Adobe's Source family.

字體是由 Adobe 的西塚涼子所開發,而 Adobe 也擁有字型的著作權,並以 Apache License 2.0 放出來。

而 Google 也有說明這些字型參與的過程:

Google contributed significant input into project direction, helped to define requirements, provided in-country testing resources and expertise, and provided funding that made this project possible.

而 Adobe 的部份:

Adobe brought strong design and technical prowess to the table, along with proven in-country type design experience, massive coordination, and automation.

另外還有幾家公司一起參與:

In addition, three leading East Asian type foundries were also brought in to design and draw a bulk of the glyphs—Changzhou SinoType Technology, Iwata Corporation, and Sandoll Communication—due to the sheer size of the project and their local expertise.

字體可以在 Google Noto Fonts 裡直接下載取得。

切過去用以後還是有點不太習慣,不過目前第一印象還算不錯...

InnoDB 的 BLOB field 存放的方式

這邊的 BLOB field 指的包括 VARCHAR、VARBINARY、BLOB、TEXT 這些常常被拿來放大物件的類型:「Externally Stored Fields in InnoDB」。

這跟 InnoDB 存放的格式 (ROW_FORMAT) 也有關,對於不同的格式都需要分開討論。

看之前需要帶一些背景知識,像是 Database index 裡面講到 index 種類時所提到的 Clustered。

看完後對 MySQL InnoDB 的運作方式會更了解一些,對於規劃 schema 也加減有些幫助。