Home » Computer » Archive by category "Security" (Page 120)

SSL 的演化

的統計資料顯示 SSL 終於能夠放棄 SSLv2,進化到 SSLv3:Most sites ready for SSL progress

在 server 方面,只能使用 SSLv2 連線的 server 只剩下 0.1%,換句話說,有 99.9% 的 server 支援 SSLv3 或 TLS 1.0。

在 client 的三個陣營裡, 一年前首先建議關閉 SSLv2,而在 2.0 更直接將 SSLv2 預設值關閉,同時不讓使用者透過 Options 的地方開啟 (如果硬要啟用必須透過 about:config 修改),除此之外, 現在正在考慮放棄 weak cipher (DES 與 RC2?) 加密;IE 7.0 則是將 SSLv2 的預設值關閉,另外在 上的 IE 將不提供 weak cipher; 將 SSLv2 與 weak cipher 加密的預設值關閉。

大約到了明年,各家瀏覽器都推出新版後,就可以完全不用顧慮到 SSLv2。從 1996 年 SSLv3 出來就一直為了 backward-compatible 的東西終於可以收起來了。

PPC (Pay Per Click) Botnet

看到第一個 PPC Botnet 被發現的消息:Clickbots vs AdSense and Others,不過目前看起來還是蠻傳統的方法控制 (透過 Web servers 抓資料):

The bots are controlled remotely through several Web servers.

理想中的狀態應該是 Botnet 本身是 P2P Network,再透過數位簽章的方式丟指令叫 Botnet 做,使得整個 Botnet 建立後就沒有 single point of failure,而且這樣會大幅提昇 Spammer 的隱密性...

Blue Security 放棄

從四月底開始被 DDoS 攻擊以來不斷的抵抗,直到昨天他們決定放棄:Blue Security Gives up the Fight

的 Anti-Spam 作法是這樣做:

  1. 先成立一個網站,讓大家登記他們的 e-mail address,告訴全世界「不要 spam 這些信箱」。
  2. 這些 e-mail address 是以 One-Way Hash Function 計算後的資料型態公開出來。

聽起來很不錯?你沒辦法得到一份有效的列表,但是如果你拿到一個 e-mail address,就可以用 One-Way Hash Function 算出來,看看在不在這份列表裡面。

但,即使如此,如果我是 Spammer,我想要「復原」大部分的 e-mail address,然後對這些使用者謊稱「這份列表已經外洩出去」,那麼我就拿我手上有的 e-mail address 去計算,再加上用字典檔去試,也許我可以復原一半以上的 e-mail address,也許更多。到了足夠的數量,我就寄信給這些 user,告訴他們「這份名單已經外洩,blah blah...」,然後還寄了一大堆 virus/spam/...,於是 就慘了 :p

Archives