Category Archives: WWW

重設密碼 + Social Engineering

在「The password reset MitM attack」這邊看到 PRMitM (Password Reset Man-in-the-Middle) 這樣的攻擊,原始論文在「The Password Reset MitM Attack」這邊可以取得。 用圖說明基本版的攻擊方式: 另外列出了各大站台的狀態: 以及各家簡訊的文字,可以發現不是每一家都有把產品的名稱寫上去: 這方法好有趣啊... XD

Posted in Computer, Murmuring, Network, Security, Service, WWW | Tagged , , , , , , , , , , , | Leave a comment

AWS WAF 支援速率限制了

AWS WAF 宣佈支援 Rate-based 條件了,不過目前只支援五分鐘為單位的限制:「Protect Web Sites & Services Using Rate-Based Rules for AWS WAF」。 算是還不錯的功能,雖然目前稍微陽春一點...

Posted in AWS, Cloud, Computer, Murmuring, Network, Security, Service, WWW | Tagged , , , , , , | Leave a comment

Amazon 對 Slack 有興趣

開始有傳言提到 Amazon 對 Slack 有興趣,想要收購:「Message Startup Slack Draws Interest From Amazon.com」。 Amazon 手上有 Slack 的帳單 (因為 Slack 把所有站台都丟上 CloudFront),對於 Amazon 在估算時應該會很準... 而這次出手估值約九十億美金: San Francisco-based Slack could be valued at at least $9 billion in a sale, the people said. 來拉個板凳繼續看... … Continue reading

Posted in AWS, Cloud, Computer, Murmuring, Network, Service, WWW | Tagged , , , , | Leave a comment

GitHub 的組織管理可以堆階層了...

GitHub 的組織管理可以堆階層了:「Nested teams add depth to your team structure」。 If you're a member of Engineering and someone creates a child team called Security, team members of Engineering aren't automatically direct team members of Security. Security and all other teams nested … Continue reading

Posted in Computer, Murmuring, Network, Security, Service, WWW | Tagged , , , , , | Leave a comment

把自己的 Blog 丟上 CloudFront

因為 CloudFront 也支援 HTTP/2 了,對於效能的衝擊應該小不少。另外當初希望多用點 IPv6,CloudFront 也支援了。最後看了一下自己的流量,每個禮拜大約 380MB 與 210K requests,也還能接受。 就把自己的 blog 再次丟上 CloudFront 玩看看,不過這次只上了 Price Class 100 (只有歐美與加拿大)。之後也許來玩看看 AWS WAF,不過開起來應該就跟 CloudFront 費用差不多了?XD 先來看看效果以及有沒有 bug 吧...

Posted in AWS, Blog, CDN, Cloud, Computer, Murmuring, Network, Security, Service, WWW | Tagged , , , , , , | Leave a comment

nginx 記錄 TLS 連線資訊

想要在 nginx 的 access log 裡面記錄使用者在 HTTPS 連線使用的 TLS protocol 與 cipher。 在「How can I let nginx log the used SSL/TLS protocol and ciphersuite?」這邊有提到方向是 $ssl_protocol 與 $ssl_cipher (出自「Module ngx_http_ssl_module」內的 Embedded Variables 章節)。 他的方式是在前面就插入 protocol,但我希望前面的欄位保持不變,把 protocol & cipher 放到後面,所以我就加了一個 /etc/nginx/conf.d/combined_ssl.conf (這邊我用 … Continue reading

Posted in Computer, Murmuring, Network, Security, Service, Software, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

CityBikes 的網站 (以及 API)

看到 yllan 在 Twitter 上提到 CityBikes 這個站台: CityBikes: bike sharing networks around the world 哇,全世界的 bike sharing 的 API 耶,當然有 YouBike。(會不會比官方好用啊) https://t.co/9B2x8dhwX3 — 井底之蛙 (@yllan) June 11, 2017 把 YouBike 打進去搜尋後選台北市,可以看到是有紅色與綠色的泡泡會一直冒出來... 我猜是借車與還車?所以有提供這樣的 API 可以用?這看起來不錯耶...

Posted in Computer, Murmuring, Network, Service, WWW | Tagged , , , , , , | 1 Comment

Pinboard 收購 Delicious

Pinboard 收購了 Delicious:「Pinboard Acquires Delicious」。 Maciej Cegłowski (Pinboard 的創辦人) 本來就是一個嘴巴很「(逼~)」的人,Pinboard 的官方 Twitter 帳號一直都是很有趣的內容 XDDD 這次公告的稿子裡面提到他為什麼買 Delicious 也是酸到爆炸 XDDD Delicious has over a billion bookmarks and is a fascinating piece of web history. Even Yahoo, for whom mismanagement is usually effortless, … Continue reading

Posted in Computer, Murmuring, Network, Service, Social, WWW | Tagged , , , , , , | 1 Comment

Web Cache Deception Attack

在「How (Not) to Control Your CDN」這邊看到了「Web Cache Deception Attack」這個攻擊方式。 攻擊的手法是利用網站會把 /user/personal-info/foo.css 與 /user/personal-info 視為一樣的內容時,配合 CDN 或是 reverse proxy server 會把 .css 設定無差異 cache 時,就可以在 cache server (cache edge) 取得使用者的敏感資料。 這主要是 url routing 的條件放太寬造成的。 另外 Mark Nottingham 還建議 cache 應該在 origin … Continue reading

Posted in CDN, Computer, CSS, Murmuring, Network, Security, Service, WWW | Tagged , , , , , , , , , , , , | Leave a comment

Reddit 的 Deploy 機制 (的歷史)

Reddit 主要是用 Python 寫的,這邊介紹了他們歷年來的 Code Deploy 系統:「The Evolution of Code Deploys at Reddit」。 最早期的時候 (2007 到 2010) 是用 rsync 更新程式碼,然後跑個迴圈用 ssh 連進去重跑: # build the static files and put them on the static server `make -C /home/reddit/reddit static` `rsync /home/reddit/reddit/static … Continue reading

Posted in Computer, Murmuring, Network, Programming, Service, Social, Software, WWW | Tagged , , , , | Leave a comment