最近 Twitter 被亂摸的事情...

最近 Twitter 有一堆帳號被盜用是因為有人用字典攻擊法 (喂喂,這是 web 耶) 破了 staff 的密碼,並且進入 Twitter 的管理介面。Wired 雜誌向該位 cracker 取得了影片,裡面示範時直接列出是哪個 staff 的帳號被破:「Weak Password Brings 'Happiness' to Twitter Hacker」。

(如果不清楚的話,可以點「H.264 版」看)

沒有限制 IP、沒有將站方管理介面藏到內部網路,Twitter 你們幹得真好!

網頁截圖

照著「在 Linux 上架設 Screenshot Service」這篇講的方法在 Debian 上灌。xdite 是在 Ubuntu 上灌,結果像 Flash Player 這類 Debian policy 原因而超麻煩 (加上平台是 amd64),吃了不少苦頭,不過也測出一些東西,可以確保安裝出來的玩具比較正常。

透過 Xming,有很多地方可以 tune:

  • 設定 Firefox 在 shutdown 時把 history/cookie 之類的資料清空,做網頁截圖的環境會比較乾淨。
  • 設定 about:config,將 HTTP pipeline 打開,以及其他效能設定的東西調好。
  • 裝 Plugin 的部份就不用像 xdite 那樣,在 Windows 上裝好再惡搞傳上去... XD

這是 Xming 的畫面:

還有蠻多地方要努力的,不過目前看起來還蠻不錯...

使用 WebDAV 存取 Git

會想要用 WebDAV 存取 Git 是因為目前在用的 SubversionMercurial 都可以掛在 Apache 下,透過 LDAP 認證。

Google 找資料通常會找到 kernel.org 的「Setting up a git repository which can be pushed into and pulled from over HTTP(S).」這篇,實際上也只需要看這篇,因為這篇沒提到的東西都做不到... (炸)

照著 kernel.org 那篇的作法應該都沒問題,最大的麻煩在於必須把密碼寫到 ~/.netrc 裡,不寫的話不會像 Mercurial 會給提示要求輸入密碼,反而當作是沒有密碼送出去,於是 server 端就會看到不允許空密碼的錯誤訊息。

我實在不喜歡把密碼寫到檔案裡,看來還是得試看看以 ssh 認證...

Power Twitter

這套軟體是在「Power Twitter: Inline Media, Integrated Search And A Lot More」上面看到的。

Power Twitter 是一個 Firefox Extension,改善 Twitter 本身就有提供但是動線不佳的功能,用起來感覺還不錯。我自己在 Firefox 3.1 上也可以跑。

主要的幾個功能是將 search.twitter.com 的功能整合進來,像是旁邊的搜尋列,以及滑鼠移動到頭像上所展開的視窗。裝完後其實跟原來的樣子差不多,但用起來方便多了:

2009 年,iPhone、MySpace、Facebook 的目標?

TechCrunch 的大頭目 Michael Arrington 提出 iPhoneMySpaceFacebook 在 2009 年的目標會是「小額付款」:「iPhone, MySpace, Facebook Race To Micropayments In 2009」。

Apple 在這塊看起來比起其他兩家領先不少,iPhone 上面的付費機制已經有個形了。

Facebook 與 MySpace 分別在去年都宣佈要做這項服務,但如同 Michael Arrington 所說的,到現在還沒出來應該是遇到金流的老問題:詐騙、退款、安全問題。Apple 在 iTunes 學到不少經驗使得他們進度超越 Facebook/MySpace 不少。

回過頭來比較台灣的環境,iPhone/MySpace/Facebook 是先養平台 (先有內容),然後再自己建立金流環境,並在上面獲利。國內則是有業者想要自己做金流,然後希望平台去使用他們的金流系統,這些業者的成敗就可想而知了。

Gmail 希望 IE6 使用者升級

最近國外的論壇傳言,如果用 IE6 登入 Gmail,會出現希望使用者升級到 Firefox 或是 Chrome 的訊息。

這個消息出來好幾天了,但我用 IE6 登入 Gmail 卻試不出來...

想看訊息的人可以參考「Upgrading from Internet Explorer 6」這篇文章裡所抓下來的圖。有人有看到類似的畫面嗎?

自動掃描系統內有安全漏洞的軟體 Secunia Personal Security Inspector

在「Update Vulnerable Programs from Your Computer」這篇看到 Secunia 有一個工具,可以幫你掃系統內已知軟體的安全性,叫做「Secunia Personal Security Inspector」。

像是我的電腦裡的 IE7 還是用有問題的 Adobe Flash Player 9,就被抓出來要求更新:

這套軟體可以丟在右下角的 icon,讓他定時檢查系統內的軟體是否有問題,算是相當好用。

SSL broken *NOW*

UpdateMozillaMicorosft 都發出 security report 了,參考 MD5 Weaknesses Could Lead to Certificate Forgery (Mozilla) 與 Microsoft Security Advisory (961509) Research proves feasibility of collision attacks against MD5

標題的 NOW 有兩個意思,一個是強調「已經」,另外一個是「現在」。

在 2004 與 2005 年的時候,密碼學界相當轟動的事情:王小雲的 MD5 collision。這件事情很有名,但實際上更具破壞性的是 Arjen Lenstra、王小雲、Benne de Weger 三位所發表的「Colliding X.509 Certificates」,示範如何使用 MD5 collision 湊出一個合法的 X.509 certificate。

2005 年 Arjen Lenstra 所示範的重點在於「MD5 collision 已經有能力去配合 protocol 變化」,同時說明攻擊其他 protocol 的可行性。

不過,Arjen Lenstra 的論文似乎沒被重視,還是有 Chain SSL Certificate 是用 RSA-MD5 簽,於是在 2008 年年底,事情就爆發了,有團體拿了兩百台 PS3 硬是產生出一組合法的 Chain CA:「MD5 considered harmful today」。

換句話說,有了這組 Chain CA private key 的人,他可以自己建立任何一個站台的 SSL key (像是 www.paypal.com) 再自己簽。簽出來的 Certificate 可以被所有主流瀏覽器認為合法的 SSL Certificate。就像下面這張圖他們簽了 127.0.0.1:

大爆走了... IE 可能過陣子就會上 security update 把 RSA-MD5 擋下來,不過這樣就會有一堆站台爛掉。而這陣子這幾家還在用 MD5 的公司可能會忙著重簽?

暫時性的 RSA-SHA1 不是一個好方法 (雖然 SHA1 collision 還不到可接受的時間範圍),而 RSA-SHA2 還在 draft (目前是 05),看起來大家要頭痛一陣子了...