Category Archives: Security

利用 Unicode Domain 釣魚,以及 Chrome 與 Firefox 的解法

一個多禮拜前引起蠻多討論的一篇文章,利用 Unicode Domain 釣魚的方法:「Phishing with Unicode Domains」。 由於這是幾乎完美的攻擊,所以被提出來後 (Security: Whole-script confusable domain label spoofing) 有不少討論: This bug was reported to Chrome and Firefox on January 20, 2017 and was fixed in the Chrome trunk on March 24. The fix is … Continue reading

Posted in Browser, Computer, DNS, Firefox, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , , | Leave a comment

Cloudflare 推出 SSL 的 SaaS 服務

Cloudflare 把之前需要人力介入的操作,包成 API 直接提供給大家用:「Introducing SSL for SaaS」。 要解決的是「用戶自己的 domain 掛到我的服務上,而且需要 HTTPS」,而 Cloudflare 提供 API 把上面三部跑完,下面的就是 Cloudflare 自己處理 (包括取得用戶的同意):

Posted in CDN, Cloud, Computer, Murmuring, Network, Programming, Security, WWW | Tagged , , , , , , , , | Leave a comment

Netflix 的 BetterTLS,推廣 CA 的 Name Constraints

Netflix 因為想用 Name Constraints,所以決定自己跳出來推廣了:「BetterTLS - A Name Constraints test suite for HTTPS clients」。 就是在 CA 上可以綁定條件,只允許哪些 domain 可以被發放: 網站在「BetterTLS: Name Constraints」這邊可以看。

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , , , , | Leave a comment

利用 Side-channel 資訊判斷被 HTTPS 保護的 Netflix 影片資訊

在「Netflix found to leak information on HTTPS-protected videos」這篇看到了研究員透過 VBR 所透露出的 side channel 資訊,成功的取得了被 HTTPS 保護的 Netflix 影片資訊。這對於美國的 ISP 是個大利多 (加上之前通過的法案),但對於個人隱私則是嚴重的打擊。 這項研究的準確率非常高: To support our analysis, we created a fingerprint database comprised of 42,027 Netflix videos. Given this collection of fingerprints, … Continue reading

Posted in Computer, Movie, Murmuring, Network, Recreation, Security, Television | Tagged , , , , , , , , , , , , , , , | Leave a comment

關閉與開啟 Windows 10 內一堆侵犯與增強隱私的設定

DuckDuckGo 前陣子整理了一篇關於如何調整 Windows 10 的文章,洋洋灑灑列了十五條方式供使用者調整:「How To Protect Privacy On Windows 10」。 像是可以將無線網路的 MAC address 隨機化的方式就頗不錯: 然後有一堆要把資料送回 Microsoft 的...

Posted in Computer, Hardware, Murmuring, Network, OS, Security, Software, Windows | Tagged , , , , , , , , , | Leave a comment

django 的 LTS

看到「Django 1.11 released」這篇才發現 django 也有設計 LTS 機制... 在「Django’s release process」這邊有介紹: Certain feature releases will be designated as long-term support (LTS) releases. These releases will get security and data loss fixes applied for a guaranteed period of time, typically three years. … Continue reading

Posted in Computer, Murmuring, Network, Programming, Security, Software, WWW | Tagged , , , , , , , | Leave a comment

Docker Hub 上面 Image 的安全性

在「A study of security vulnerabilities on Docker Hub」這邊看到「A Study of Security Vulnerabilities on Docker Hub」這篇論文。 大概知道會很慘,只是比預期中慘很多:

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , | Leave a comment

iOS 透過無線網路的 RCE...

在「About the security content of iOS 10.3.1」這邊的說明: Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later Impact: An attacker within range may be able to execute arbitrary code on the Wi-Fi chip … Continue reading

Posted in Computer, Hardware, Murmuring, Network, Security, Software | Tagged , , , , , , , , , , , , , , , , , , , | Leave a comment

Tor 在考慮使用 Rust 改寫

不過也不確定是不是愚人節消息就是了:「[tor-dev] Tor in a safer language: Network team update from Amsterdam」。 Tor 考慮使用 Rust 改寫,目前已經完成的部份,以及接下來的規劃: What has already been done: - Rust in Tor build - Putting together environment setup instructions and a (very small) initial draft for coding standards … Continue reading

Posted in Computer, Murmuring, Network, P2P, Programming, Security, Software | Tagged , , , , , , , , , | Leave a comment

Stripe 對於控制 API 使用量的作法

在「Scaling your API with rate limiters」這篇 Stripe 的 Paul Tarjan 提到了四種如何保護 API 的作法。 前兩種都是 rate limit。第一種是最標準的「你一分鐘可以用幾次」的方式,這是最容易理解的方式。第二種是「你同時間可以用幾個 API request」,這通常會用在大量消耗資源的 API 上,避免短時間內被打爆。 第三種是拉到整體來看,把 API 分成重要與不重要的,然後直接保留確保重要的 API 有一定的 capacity 可以用: We always reserve a fraction of our infrastructure for critical requests. If our … Continue reading

Posted in AWS, Cloud, Computer, Financial, Murmuring, Network, Programming, Security | Tagged , , , , , | Leave a comment