Mac OS X Yosemite 已經出來了 (10.10),很多人用的 Homebrew 也隨之爆炸了...
在「Yosemite & Homebrew」這篇文章裡面說明了這次 Yosemite 與 Homebrew 搭配上的問題,描述了這些問題的起因。如果不急著升級的人可以先放著 Mavericks (10.9) 一陣子再說...
或者是資料備份出來重灌... (這方法就是對付 Windows 升級的方法... XDDD)
Month: October 2014
MasterCard 推出需要指紋辨識後才能使用的信用卡
從「MasterCard's New Credit Card Will Come With a Fingerprint Scanner」這邊看到的:
金融產業一向是被逼了以後才會做的 (因為本來就賺的好好的,而且帶有壟斷性質):
But MasterCard is now teaming up with biometric tech company Zwipe to prevent people from paying for items this way with stolen credit cards.
Anonabox 被停權中止募資
前幾天提到的「自動將流量轉到 Tor 上面的硬體」,在 10/17 的時候被 Kickstarter 停權中止募資了,在「Kickstarter Suspends Anonabox Security Appliance Project」有些說明:
The policy allows for suspension if the project's creator is presenting someone else's work as their own.
現在看起來的情況是,Anonabox 像是直接拿別人的東西就來用,沒有實質上的改進。
文章裡有提到一些既有的方案可以用,如果有需求的人可以直接參考 :o
Mac 上 ASCII Art 編輯器...
Firefox 33,總算支援 H.264 了...
前幾天推出的 Firefox 33 把 Cisco 弄出來的 OpenH264 給包進去了,使用者不需要再透過 flash 就可以觀看 H.264 的影片:「Firefox — Notes (33.0) — Mozilla」。
Imgur 的計畫 (「Imgur 的 GIFV (GIF 轉 MP4)」這篇提到的東西) 看起來跟這個有關...
不過算一算日期,這個版本一定有 SSL 3.0 的問題 (POODLE),使用者還是得自己設定 TLS 的最小版本號碼,這點就比較可惜了...
Imgur 的 GIFV (GIF 轉 MP4)
Imgur 宣佈 GIFV 計畫:「Introducing GIFV」。
上面這個影片是 Imgur 的範例影片,將 50MB 的 GIF 轉成 3.4MB 的 MP4。
之前在今年年初的「用 HTML5 video 取代動態 GIF 的 Hosting 服務...」這篇寫過類似的服務,Imgur 也跳進來玩了...
可以省很多頻寬 :p
Ubuntu 下強制 Google Chrome 使用 TLS 1.0+
在「How do I patch/workaround SSLv3 POODLE vulnerability (CVE-2014-3566)?」這篇文章裡提到了強制 Google Chrome 使用 TLS 1.0+ 的方法。
打開 /usr/share/applications/google-chrome.desktop,把這行:
Exec=/usr/bin/google-chrome-stable %U
改成:
Exec=/usr/bin/google-chrome-stable --ssl-version-min=tls1 %U
然後重新啟動 Google Chrome 就可以了...
SSL 3.0 爆炸,CVE-2014-3566,POODLE
這次的慘案是由 Google 的人找到 SSL 3.0 的問題:「This POODLE bites: exploiting the SSL 3.0 fallback」。
Google 提供的解法有兩種。一種是關掉 SSL 3.0,另外一種是關掉 SSL 3.0 的 CBC-mode cipher,但兩種解法都還是會痛:
Disabling SSL 3.0 support, or CBC-mode ciphers with SSL 3.0, is sufficient to mitigate this issue, but presents significant compatibility problems, even today.
提到相容性問題的原因是 Windows XP + IE6 的組合,在預設安裝下是不支援 TLS 1.0 的 (需要另外打開選項啟用),而看到那個 11.1%:
出自「Internet Explorer - IE 6 Countdown | Modern.IE」
另外是 SSL 3.0 如果不支援 CBC-mode cipher 的話,也只剩下 RC4,而這早就千窗百孔了:
也因此,在 CBC-mode cipher 與 RC4 都不能用的情況下,CloudFlare 決定直接關閉 SSL 3.0:「SSLv3 Support Disabled By Default Due to POODLE Vulnerability」。
而其他廠商提供的方案也都差不多,像是 AWS 的「CVE-2014-3566 Advisory」裡建議的解法也是關閉 SSL 3.0:
This includes disabling SSLv3 on both server and client implementations.
新推出的 security policy (ELBSecurityPolicy-2014-10) 裡也直接關掉 SSL 3.0,讓真的有需要的人再手動加上去,或是選擇一月的版本。
SSL 3.0 推出 18 年後總算要被殲滅了...
Hacker News 的 API
Hacker News 一向是個重要的資訊來源,以往大家要分析 Hacker News 上的文章都是自己硬幹:爬網站的結構後再做後續處理。而現在總算是不用全部硬幹了,官方提供 API 讓大家存取:「Hacker News API」。
透過與 Firebase 的合作 (YC S11,Y Combinator Summer 2011),Hacker News 的資料可以透過 Firebase 提供的 API endpoint 取得了。
接下來應該可以看到更多資料被丟出來玩?
自動將流量轉到 Tor 上面的硬體
在 Zite 上看到「Tiny Anonabox to offer online anonymity through Tor」這篇文章。
在 Kickstarter 上可以看到更完整的資料:「anonabox : a Tor hardware router」。
可以想像出來大概是什麼技術組合起來。分別處理 DNS query 以及實際連線的部份應該就可以搞定很多應用了。
不知道隱私的部份可以做到什麼程度,畢竟在 Tor 上面仍然有監聽的風險,如果讓 HTTP traffic 在上面跑的話等於是裸奔...