廣告走 HTTP 而且還帶了一堆敏感資訊,算是最近討論蠻熱烈的問題:「Leaking ads」。
而且還分析找出有哪些是超大的廣告 unencrypted domain,像是這樣:
不過裡面一堆都不熟悉的廣告業者,反倒是聯想的網域被抓出來了:
不過行動裝置上能控制的東西太少了... 裝廣告阻擋程式比較實際,iOS 上不 JB 應該是只有 VPN 的方案,而 Android 上的方案應該就比較多了,除了 VPN 以外有 /etc/hosts
甚至是 firewall solution。
幹壞事是進步最大的原動力
廣告走 HTTP 而且還帶了一堆敏感資訊,算是最近討論蠻熱烈的問題:「Leaking ads」。
而且還分析找出有哪些是超大的廣告 unencrypted domain,像是這樣:
不過裡面一堆都不熟悉的廣告業者,反倒是聯想的網域被抓出來了:
不過行動裝置上能控制的東西太少了... 裝廣告阻擋程式比較實際,iOS 上不 JB 應該是只有 VPN 的方案,而 Android 上的方案應該就比較多了,除了 VPN 以外有 /etc/hosts
甚至是 firewall solution。
在 Twitter 上看到 Google Chrome 67 (下一個版本) 的 DevTools 將會顯示憑證上的 Certificate Transparency 資訊:
In Chrome 67 the Security panel now provides certificate transparency info.https://t.co/JfV4IOrsmW pic.twitter.com/EbArEUv4MI
— Chrome DevTools (@ChromeDevTools) April 18, 2018
現在要看這個資訊比較麻煩,之後可以在瀏覽器裡直接讀就會簡單一些了...
話說回來,Let's Encrypt 上個月也支援 SCT 了:「Engineering deep dive: Encoding of SCTs in certificates」,不過目前只能先用 command line 工具看... 我拉了 Let's Encrypt 官方網站的 certificate 可以看到 (Let's Encrypt 那篇文章裡的範例),但我自己 blog 的 certificate (序號 04ef0022ed7d5417f1ccbc011acf7fea9830) 看起來是在 Let's Encrypt 支援 SCT 之前申請的,沒看到 SCT 資訊... 要等下一次的 renew 了。
如果 nginx 想接 LDAP 認證,網路上找到的資料主要都是透過 nginx 的模組直接支援,但這需要自己 compile 一個出來 (因為內建的好像都沒支援),對於後續維護不太方便,就懶了... 後來研究出來的方法是 nginx 接 PAM,再用 PAM 接上 LDAP,這些都有現成套件可以一路串起來。
首先是 nginx 要裝 PPA 版 (像是「NGINX Stable : “Nginx” team」這個版本),裡面的 nginx-full 會包括 libnginx-mod-http-auth-pam,接下來是安裝 libpam-ldap,這樣套件就裝好啦...
設定的部份,nginx 內這樣設:
location ~ /test { auth_pam "Secure Zone"; auth_pam_service_name "nginx-ldap"; }
然後 /etc/pam.d/nginx-ldap
裡面掛上 LDAP 就可以了:
auth required pam_ldap.so account required pam_ldap.so
重點在於 /etc/ldap.conf
內的設定,我是只 base dc=example,dc=com
(base 是什麼) 與 uri ldap:///
(LDAP 伺服器在哪),其他都註解掉。
這樣是比較麻煩沒錯,不過軟體其他人都包好了,這樣反而省了維護軟體的功夫...
HTTPS Everywhere 是我很喜歡的一個套件,裡面有 Ruleset,會將 Ruleset 表內認定有支援 HTTPS 網站的 HTTP request 都改成 HTTPS,這可以降低被攔截的風險。像是網站雖然有 HSTS 但第一次連線時走 HTTP 的情況,以及網站本身有支援 HTTPS 但沒有設定 HSTS 時,在網址列上誤打 HTTP 版本的情況。
先前版本的 Ruleset 是隨著軟體更新時,包在軟體內一起更新。這樣的缺點是更新速度比較慢,但好處是不需要伺服器端,而且隱私性也比較高。而現在 EFF 決定還是要推出線上更新的版本,以加速 Ruleset 更新的速度:「HTTPS Everywhere Introduces New Feature: Continual Ruleset Updates」。
We've modified the extension to periodically check in with EFF to see if a new list is available.
而頻寬的部份由 Fastly 贊助:
If you haven't already, please install and contribute to HTTPS Everywhere, and consider donating to EFF to support our work!
如果對這點有疑慮的,也還是可以關掉 auto updater 避免洩漏資訊給 EFF 或是 Fastly。
Cloudflare 推出了 Argo Tunnel,可以將內部網路與 Cloudflare 之間打通:「Argo Tunnel: A Private Link to the Public Internet」。
Cloudflare 在去年推出了 Wrap (可以參考「Cloudflare 推出的 Wrap 讓你不用在本地端開對外的 Port 80/443」這篇),這次其實只是改名:
During the beta period, Argo Tunnel went under a different name: Warp. While we liked Warp as a name, as soon as we realized that it made sense to bundle Warp with Argo, we wanted it to be under the Argo product name. Plus, a tunnel is what the product is so it's more descriptive.
看起來沒有什麼新的玩意... 純粹改名字 :o
AWS 推出 AWS Secrets Manager,你可以把各種帳號密碼丟進去讓系統管理,另外內建 rotate 的功能,針對 AWS 支援的服務可以無縫更換密碼 (目前看起來是 RDS),或是透過 Lambda 換:「AWS Secrets Manager: Store, Distribute, and Rotate Credentials Securely」。
是個整合性的服務,之前就可以做 (用 Lambda 定時跑),現在則是包裝起來針對 AWS 自家的服務弄的更簡單。
AWS Certificate Manager 推出了 Private CA,讓使用者可以在不接觸到 CA 的 Private Key 就可以操作 CA 行為:「AWS Certificate Manager Launches Private Certificate Authority」。
支援的演算法除了標準的 RSA 外,還包括了 ECC 的 (雖然是 NIST 的 P-256 與 P-384):
然後直接內建了 CRL 服務,透過 Amazon S3 做:
要注意的是價錢有點奇怪:
Private CAs cost $400 per month (prorated) for each private CA. You are not charged for certificates created and maintained in ACM but you are charged for certificates where you have access to the private key (exported or created outside of ACM). The pricing per certificate is tiered starting at $0.75 per certificate for the first 1000 certificates and going down to $0.001 per certificate after 10,000 certificates.
中間省掉 1k 到 10k 是 USD$0.35/cert (可以在 pricing 頁面看到)。
不管如何,這計價模式有點怪怪的... 收了固定的費用,每個 certificate 的費用要到 USD$0.75,這看不太懂。另外是 10k 後的單價明顯與前面比例不太合。
看起來像是跟某個 partner 合作談出來奇怪的 pricing model,但也不知道是哪家... :o
Amazon S3 有 RRS,提供給那些掉了可以重新產生的資料使用 (像是縮圖);另外也有 IA,提供給不常存取的資料使用。現在推出的這個等級結合了兩者,使得價錢更低:「Amazon S3 Update: New Storage Class and General Availability of S3 Select」。
New S3 One Zone-IA Storage Class – This new storage class is 20% less expensive than the existing Standard-IA storage class. It is designed to be used to store data that does not need the extra level of protection provided by geographic redundancy.
AWS Lambda 的 Node.js 宣佈支援目前最新的 LTS 版本,v8.10:「AWS Lambda Supports Node.js v8.10」。
You can now develop your AWS Lambda functions using Node.js v8.10. In addition to the leveraging new features in Node.js v8.10 such as the new V8 6.0 engine, Lambda functions written in Node.js 8.10 can now use the async/await pattern to specify error or return values for the function execution.
就如同公告裡提到的,有很多語言特性是大家等很久的... 有些老東西可以考慮重寫 :o
We recently added a fourth Availability Zone to the AWS Asia Pacific (Tokyo) Region - https://t.co/fa1cBkyoWI pic.twitter.com/Y1XQKrBmZo
— Jeff Barr ☁️ (@jeffbarr) April 3, 2018
居然默默地開了第四個 AZ 了... 不過大阪什麼時候要開放啊,以機房成本以及電力成本應該都會比東京低的前提下,不知道公告價錢會不會比較低...