Home » Computer » Archive by category "Security" (Page 116)

MSE/PE 的實做

看到 Bittorrent 的 Protocol header encrypt(PHE)、Message Stream Encryption(MSE)/PE 這篇提到:

另外,和 rxlin 討論的時候,他有提到說都公佈了實作部分的話,那是不是 ISP 也知道怎麼擋了…-_-|

SSL 也公佈了實做的部分,你目前有辦法截聽內容嗎?同樣的思路放到這邊來,我只要把固定字串的判斷改用密碼學裡面的方法,是不是也可以達到「無法偵測」的效果?

目前 MSE 1.0 版是透過五個步驟把資料送出去:

A->B
Diffie Hellman Ya (96 bytes)
PadA (Random, 0 ~ 512 bytes)
B->A
Diffie Hellman Yb (96 bytes)
PadB (Random, 0 ~ 512 bytes)
A->B
HASH('req1', S) (16 bytes)
HASH('req2', SKEY) xor HASH('req3', S) (16 bytes)
ENCRYPT(VC, crypto_provide, len(PadC), PadC, len(IA)) (Random, RC4)
ENCRYPT(IA) (Random, RC4)
B->A
ENCRYPT(VC, crypto_select, len(padD), padD)
ENCRYPT2(Payload Stream) (這邊開始傳實際的內容)
A->B
ENCRYPT2(Payload Stream) (這邊開始傳實際的內容)

前面兩個步驟是雙方先各自產生一個 Xa 及 Xb,然後各自計算出 Ya 及 Yb 丟給對方。對方收到後用自己的 Xb (或 Xa) 與 Ya (或 Yb) 運算,就會得到 S,也就是規格裡面這段:

DH secret: S = (Ya^Xb) mod P = (Yb^Xa) mod P

這就是 D-H exchange,如果你問,在得知 Ya 與 Yb 後,是否可以求得 S,或是更強烈,直接求得 Xa/Xb:這是密碼學上的 ,目前 768 bits 的強度已經足夠應付藍星的 P-Cube 或是其他類似的設備。

接下來的 SKEY 是 .torrent 檔案裡面的資訊,第四步的 ENCRYPT 是 RC4,最後面的 ENCRYPT2 是選用 plaintext 或 RC4 編碼,但到這邊的 offset 已經不固定了...。

以這個架構,目前看不出來要怎麼擋。也許是透過軟體實做上的瑕疵 (像是亂數太過規則之類的),不過這個就算發生,也只是那套軟體的問題。另外一種可能是透過 MSE 在大量連線上可能造成密碼系統的弱點,不過到時候 2.0 版又會跟著出爐...

附圖一張

Update:剛剛去看的時候已經修正了。

用 Google 尋找各種不適合公開在網路上的資料

上看到 的 George Kurtz 在 會場展示用 找出來大批不適合公開的資料:Things you don't want Google to find - screenshots,原文在 Things you don't want Google to find 這,包含了豐富的 Screenshot 可以看 XD

而在 的第一個 comment 則提供了一個連結,早在一年多前 上就有告訴你怎麼用 找到這些資料:www.onlamp.com/security/2004/10/07/examples/signatures.txt

如果你有想到,這些資訊配合上 時,能夠發揮的效果很棒啊...

所以該用 .htaccess 限制 Username/Password 存取的部份還是要做啊,不要以為 Search Engine 找不到... (就如同很久前 IRC 上某 channel 的 log 流出是一樣的道理)

IE7 的 SSL 安全政策

有長輩測試 IE7 Beta2 後發現 IE7 Beta2 對於 SSL 設定有問題的站台會整個擋掉,而不會像以前那樣跳初一個小視窗出來要你確認:Stupid Google SSL Certificates

文章裡 舉了 的例子:他說 的某些服務使用了 www.google.com 的 SSL Certificate,但是使用的站台並不是 www.google.com。

不過我不記得 哪個服務是這樣惡搞的啊?還是 遇到同一個 Domain 的情況不會哀哀叫?這樣就太糟了...

設定密碼

你看過最機車的密碼要求是什麼?

Password Insanity 這篇文章裡抱怨某家公司的要求太過神經質 (你看完下面的說明後,也應該會完全同意他的說法...)。

這家公司對於密碼基本的要求包括了:密碼必須在 8 ~ 15 個字之間、必須有一個數字、有一個大寫字母、有一個小寫字母、有一個特殊字元。

再來,密碼裡不可以有連續三個一樣的字 (像是 aaa、zzz、333),也不可以有連續三個升降冪的情況 (像是 123、654、abc、zyx)。

最後,如果你輸入的密碼在這套系統裡已前已經使用過了,不能把密碼改成之前使用過的密碼 XD (換句話說,他會記錄你所有用過的密碼!)

想知道這家公司?這家公司叫 。如果你去看他的網頁,你會發現一件非常 (...) 的事...

在網頁右半部的標語是這樣寫:

嗯... 啊... 喔... 呃... -_-

BitComet 0.62

0.62 的 Release Note:

  • GUI Improved: add the ability to fetch remote channel xml file and display its items in favourite bar
  • GUI Improved: adjust the toolbar position of embedded browser
  • GUI Bugfix: fix the bug that sometimes the embedded browser can't handle BCTP link properly
  • GUI Bugfix: fix the bug that sometimes the task name displayed as the http link of torrent file
  • GUI Bugfix: fix the bug that sometimes the task status displayed as failed after DHT torrent download finished successfully
  • Core Improved: user favourite data file changed from .\fav\my_fav.xml to .\Favourite.xml
  • Core Bugfix: fix possible crash when exit program while hashing
  • Core Bugfix: fix possible crash when detects WMP version at BitComet startup
  • Core Bugfix: fix possible memory access violation when remove task after DHT torrent file download finished

1/28 的漏洞 (我在 BitComet 安全漏洞 這篇有提過),拖了這麼久... Changelog 上面卻沒看到修正記錄?

Firefox 2.0 Alpha 1

看到的,Firefox 2.0 第一個「比較正式的測試版」將在星期五釋出:Firefox 2.0 Alpha 1 Comes Out Friday!

上, 這頁是這樣寫:

Next scheduled release date: February 10, 2006 (Alpha 1)

所以台灣時間星期六 (2006/2/11) 中午之後應該就可以在各 FTP site 看到 Alpha 1。

Firefox 2.0 幾個重大的功能 (對我來說):

  • Session saver 變成內建功能 (priority 2)
  • Anti-phishing (priority 3)

剛好都是 TBD 負責的項目...

另外附上目前在 排定的時程表,大約是放暑假的時候正式推出 Firefox 2.0:

  • 2006/02/10 : Alpha 1
  • 2006/03/10 : Alpha 2 (feature complete)
  • 2006/04/07 : Beta 1 (string complete, feature frozen)
  • 2006/05/05 : Beta 2 (string frozen)
  • 2006/05/26 : Release Candidate 1
  • 2006/06/07 : Release Candidate 2
  • 2006/06/19 : Release Candidate 3
  • 2006/06/27 : Firefox 2

Archives