DEF CON 22 在八月結束後,投影片與影片都放出來了,可以在「Index of /DEF CON 22」這邊取得。
影片的部份居然還附上 srt 檔,而 presentation 裡面還有一堆 PDF,到底能不能開啊... XD
幹壞事是進步最大的原動力
DEF CON 22 在八月結束後,投影片與影片都放出來了,可以在「Index of /DEF CON 22」這邊取得。
影片的部份居然還附上 srt 檔,而 presentation 裡面還有一堆 PDF,到底能不能開啊... XD
GitHub 發了一篇公告說明這件事情:「Vulnerability announced: update your Git clients」,而 Git 官方的公告在這邊:「[ANNOUNCE] Git v2.2.1 (and updates to older maintenance tracks)」。
這次的問題起因很好理解,就是有人可以在 repository 裡面放 .GIT
這樣的目錄名稱,配合將大小寫視為一樣的檔案系統 (Windows 系列用的 FAT 與 NTFS、Mac 用的 HFS+),裡面就可以放各種設定值,有機會在 checkout 下來時就執行,或是透過其他的 git 指令執行。
GitHub 在 server 端擋下來了,不過還是建議 client 端趕快更新到最新版,這些版本會從 client 端擋下這些路徑。
這次 CVE 編號是 CVE-2014-9390,不過 NIST 的資料庫裡面沒有列出來?
在「Google Proposes Marking ‘HTTP’ as Insecure in 2015」這邊看到 Google 提議將 Chrome 對 HTTP 連線標示成「不安全」:「Marking HTTP As Non-Secure」。
其中一個提案是設定三個時間 (T1、T2、T3),逐步改變對 HTTP 的標示:
T0 (now): Non-secure origins unmarked
T1: Non-secure origins marked as Dubious
T2: Non-secure origins marked as Non-secure
T3: Secure origins unmarked
不過這是好提案嗎?CA 機制並不完美,這樣硬推是對的方向嗎?
總算有大頭把這個不安全的「安全問題」移除掉了:「Google Drops Support for Security Questions」。
引用自原文說明:
Security questions weren't a great way to protect an account since many answers could be guessed or found using a Google search.
目前提供的機制是手機號碼,以及透過其他的 e-mail address 認證。
在 Twitter 上看到這樣的說明:
$ cat p.php
<?php var_dump(md5('240610708') == md5('QNKCDZO')); ?>
$ php p.php
bool(true)
Please start using "===", thx. @tkh16
— Joshua Wright (@joswr1ght) December 15, 2014
原因出自:
php > var_dump(md5('240610708')); string(32) "0e462097431906509019562988736854" php > var_dump(md5('QNKCDZO')); string(32) "0e830400451993494058024219903391"
施主,這 hex 與科學表示法好雷啊...
路透社丟出來的新聞:「Google to close engineering office in Russia: WSJ」。
新通過的法案要求俄羅斯人的資料必須存放在俄羅斯境內,這個法案被懷疑是 Google 打算直接關閉俄羅斯的 Engineering Office 的原因:
In July, Russia's parliament passed a law to force Internet sites that store the personal data of Russian citizens to do so inside the country, a move the Kremlin says is for data protection but which critics see as an attack on social networks.
來看看後續發展...
在讀「The No CAPTCHA problem」這篇的時候看到的:「Referrer Policy」。
<meta name="referrer" content="never">
目前正式版本的瀏覽器中,只有 Google Chrome 有支援,而其他瀏覽器正在開發,像是 Firefox 上個月才進 trunk:「Bug 704320 - Implement <meta name="referrer">」,預定在 36 版才會納入 (目前是 34)。
還蠻新的 HTML5 標準 (還在制定),可以來定期追進度...
兩邊開始喊話了。
CoreOS 的人首先先發表了 Docker 的替代品 Rocket:「CoreOS is building a container runtime, Rocket」。
而 Docker 的人則發文反擊:「Initial thoughts on the Rocket announcement」。
目前資訊不足,不知道起因是什麼,不過已知 Docker 後面是 dotCloud,而 dotCloud 的記錄不太好。
繼續觀察看看吧。
在「Using Shodan from the Command-Line」這邊看到跟資安有關的工具,然後跑回去研究 Shodan 這個工具。
這是預先掃好的資料庫啊啊啊~
而且還包括了目前已經有的 exploit 可以攻擊的對象?喂喂... (超開心?)
然後 port:22 的結果 (需要登入才能查詢),左邊列出全世界的數量排名,台灣居然是第三名?
一堆 Dropbear 看起來是一堆 WAN interface 對 internet 公開的分享器?我看到這些資料後才能理解,為什麼台灣在全世界跳板比率這麼高 XDDD
然後一如預期的,EC2 一堆機器開放全世界存取 ssh XDDDD
在「“Invalid Username or Password”: a useless security measure」這篇文章裡談到了使用者登入錯誤時的提示訊息。
通常為了安全考量,「沒有這個帳號」與「密碼錯誤」,我們會給出一樣的錯誤訊息,避免攻擊者可以猜測。像是 Amazon 的畫面:
這樣設計的前提是讓攻擊者不知道這個帳號是不是存在 (如果不存在的話就換其他帳號繼續攻擊)。但這個假設通常是錯的,因為大多數的系統一個 e-mail 綁定一個帳號,所以註冊時就可以分辨:
因此應該提供正確的訊息,而非將資訊隱蔽起來。