幹壞事是進步最大的原動力
今天的 Hacker News 文摘上看到關於 Reflow 的問題:「Preventing 'layout thrashing'」。
Reflow 指的是改變 DOM 後造成的畫面重新計算以及 render。
Google 有給過一些資訊:「Minimizing browser reflow」,Mozilla 也有給「Notes on HTML Reflow」,不過這兩篇都是概念性的文章...
文章的作者寫了 FastDom,把 read 與 write 包起來一起處理 (read 一包,write 一包),不過這樣寫的時候就要小心當下真正的 DOM 的值了...
不過如果只是處理 ordering 的問題,叫 FastDom 好像怪怪的...
前幾天看到 Google 開源的 lmctfy (這名字還頗惡趣味,是「Let Me Contain That For You」的縮寫),是這樣介紹的:
lmctfy is the open source version of Google’s container stack, which provides Linux application containers.
看了一下說明,看起來跟 Docker 有點像啊?再查了查網路上的資料,發現有人更早之前寫過了:「lmctfy:Google的开源Linux容器」。
如果是在 Ubuntu 12.04 上,需要 3.3 或 3.8 的 Linux kernel。不過目前 Docker 還夠用,應該不會花時間去研究這個...
在 Hacker News 文摘上看到「PostgreSQL Studio」這個軟體,看官網與畫面大概知道能做什麼事情:
官網的 screenshot...
看起來要做掉不少 phpPgAdmin 的事情,但畫面漂亮不少:
phpPgAdmin 官網的 screenshot...
不過 PostgreSQL Studio 是用 Java 寫的,要用 Apache Tomcat (或是其他 servlet 實做) 執行,先丟著好了...
衛報網站上公開了 NSA (美方) 以及 GCHQ (英方) 如何對抗 Tor 的方式,包含了內部的投影片:「'Tor Stinks' presentation – read the full document」。
投影片上可以看到,居然還有 workshop 可以參加...
下面列出這份投影片的內容,要注意這是 2012 年的資訊了。
先說明了不可能辨識出所有 Tor 使用者,只能透過人工找出少數的使用者。
接下來說明了目前的概況。目前只能掌握少數的 Tor 節點,其中 entry node 與 exit node 會是辨識出 Tor 使用者的重點,如果能夠增加這些節點的數量,會對於辨識有很大的幫助。
透過 cookie 的交叉比對,有機會將 Tor 使用者與真實世界的流量連接起來,像是透過 DoubleclickID 這個值。
接下來是想辦法建立資料庫,將 IP 與時間點的對應建立起來。利用這些資訊才有辦法知道這個 IP 的情況。
接下來可以看到各種技術分析。包括對 Hidden Service 的攻擊 (2012 年當時沒有進度),另外試著用 Timing Attack 攻擊 (2012 年當時也沒有進度,不過有在研究了)。
另外在 AWS 上建立節點也是 2012 年當時就進行的項目。
各種攻擊手段,包含了如果有 ISP 可以配合攔截封包時的作法。以及攻擊不屬於自己的節點的方式。再來就是有沒有辦法癱瘓 Tor 節點...
情報單位其實花了非常多力氣研究 Tor,但沒有很好的成果。Tor 算是直接再技術上 (數學上) 抵抗的相當頑強。這部內部文件流出後可以預期會有不少「應用」(只要是英美政府不喜歡的「應用」) 會往上發展。
多增加 Tor 的節點看起來會是目前最直接的抵抗方式,而且這個抵抗方式對於一般人相對容易,達到了擴散容易的效果。
居然沒跟到這個消息...
「香港開源年會 2013」(第一屆!) 將於 10 月 19 日在香港城市大學邵逸夫創意媒體中心舉辦,現在訂機票有點晚,不過還是可以過去交流...
其實有些議程還蠻有興趣去交流的,不過剛好卡到員工旅遊啊... @_@
該來找日本的 conference 了?@_@
剛剛在 Zite 上看到微軟希望 HTC 能夠將 Windows 移植到 Android 手機上:「Microsoft Said to Ask HTC for Windows on Android Phones」。
這個想法... 很有趣啊?不過效果就不知道會怎麼樣...
而 2013-Q2 智慧型手機的出貨市佔數據可以在 Gartner 這邊翻到參考資訊:「Gartner Says Smartphone Sales Grew 46.5 Percent in Second Quarter of 2013 and Exceeded Feature Phone Sales for First Time」。
Android 是 79%,iOS 是 14.2%,Microsoft 系統是 3.3%,Blackberry 是 2.7%。
前幾天解密的文件證實了先前的傳言:美國法院可以以協助犯罪搜查的名義,強制商業公司交出 SSL Private Key 給 FBI,並且可以用「偵查犯罪中」的理由要求公司不得公開這件事情。
報導在這:「Edward Snowden’s E-Mail Provider Defied FBI Demands to Turn Over Crypto Keys, Documents Show」,解密的文件 (整個系列的文件) 則在「Redacted Pleadings Exhibits 1 23」這邊可以讀到。
Edward Snowden 的 E-mail 服務提供商 Lavabit 在七月時被法院要求配合調查,其中被要求交出 SSL Private Key:
A week later, prosecutors upped the ante and obtained the search warrant demanding “all information necessary to decrypt communications sent to or from the Lavabit e-mail account [redacted] including encryption keys and SSL keys.”
而且「交出 SSL key 這件事情」不得公開:
The judge also rejected Lavabit’s motion to unseal the record. “This is an ongoing criminal investigation, and there’s no leeway to disclose any information about it.”
而 Lavabit 最後決定以紙本形式提供:
In an interesting work-around, Levison complied the next day by turning over the private SSL keys as an 11 page printout in 4-point type. The government, not unreasonably, called the printout “illegible.”
在法院要求提供電子格式後,Levison (Lavabit 的頭) 決定讓 Lavabit 停止服務,同時因為受限封口令,網站上只能寫得很隱晦,表達對美國的不信任:
這件事情預定要到第四巡迴庭去打:「Let's rally for Lavabit to fight for the privacy rights of the American people. | Rally.org」。
一樣是在 Zite 上看到在分享要如何設計 API 的文章與影片:「Parse Developer Day Video Series: How to Design Great APIs」。
算是觀念性的分享,很多觀念很有趣... 而不可避免的,講到 naming 的時候,PHP 又被拿出來婊... (沒辦法,這個程式語言的 naming 實在太經典 XD)
Puppet 寫了一份新的入門文件:「Check Out Our New Beginner's Guide to Writing Modules」,實際的文件在「Beginner's Guide to Modules」這裡。
文件不是給完全新碰 Puppet 的人讀的,你還是必須先知道基本的結構,這部份可以看「Learning Puppet」這份,尤其是名詞定義的部份。
看過一次後覺得是從不同面向解釋 Puppet,跟原來的那份文件互補。最近剛好會用到...
國內外資安研討會上都愛玩的主題:封包測錄分析。
這次是 BruCON 2013 的記錄,有兩篇:「BruCON 0×05 Wrap Up」、「What Do Attendees During a Security Conference?」。
第一篇首先是依照 OS 數量的分析:
另外還有整體的數量分析:
另外發現有大量的 OpenVPN 以及 IPsec 封包,這也的確是資安研討會應該要出現的東西... XD
第二篇的分析也很有趣,像是對 DNS 的分析:
大紅點是官方提供的 DNS (10.4.0.1),兩個小紅點是 Google 提供的 DNS 服務 (8.8.8.8 與 8.8.4.4),而黃點則是 mDNS。
然後官方有提供兩包 50GB 的檔案... 要分析的人也可以拿去玩 XD
然後提到 The Bro Network Security Monitor,找機會玩看看好了...