幹壞事是進步最大的原動力
在「WebM support on 4chan」這篇公告裡 4chan 宣佈支援 WebM 格式。
由於目標是提供 GIF 的替代方案,所以目前開放的 WebM 內容有限制:
we only accept WebM files with one video stream and no audio streams, that are shorter than 120 seconds long, no larger than 2048x2048 pixels, and less than 3 MB in size.
讓我另外注意到的是:
however 86% of 4chan’s visits come from browsers that include full or partial support for WebM
依照「Can I use the WebM/VP8 video format」,這代表大多數 4chan 的使用者都是用 Firefox 與 Chrome?
因為 redports.org 一直連不上,寫信給網站管理者後才發現是 Trac 沒處理好 non-en 語系的部份,所以得先在 client workaround。(管理者說他有空的時候會去看看...)
在 Google Chrome 上可以用 Spoofs Lang 更改瀏覽器送出的 Accept-Language 欄位,進而達到修改網站偵測的預設語系...
除了 redports.org 以外,也順便把 php.net 系列的網站都改成英文語系了。
在 whatismybrowser.com 上看到 local IP address 時愣了一下,查了查資料後發現是 WebRTC 的功能:「Local IP discovery with HTML5 WebRTC: Security and privacy risk?」。
如果知道內網的 IP 後,再加上一堆問題設備,hmmm... 能做的事情好多啊 @_@
在「Can I use WebRTC Peer-to-peer connections?」可以看到 Google Chrome 與 Firefox 都支援了...
看了看 chrome://flags 似乎沒解... 來想看看有沒有什麼其他反制的辦法 @_@
Firefox 可以參考「Where can I disable WebRTC and PeerConnection?」這邊提供的方法試看看,不過我沒測過,不知道到底有沒有效...
Ptt 有年齡限制的看板總算是開放 Web 存取了,但有個確認畫面要點總是頗麻煩 XD
前幾天寫了一個 Google Chrome 套件「Ptt Over18」可以自動幫你點確認按鈕:
暫時沒想到要用什麼 icon & 抓什麼畫面,回台灣再說,在日本只想睡覺吃東西... XD
本來是用 AMD 的 X4 905e,拿來跑 Ubuntu 當跳板機,偶而看看影片還算夠用,不過 Google Chrome 的速度已經影響到工作了,星期六晚上家庭聚餐結束後就去八德路上原價屋拿了一顆新的 CPU 與主機板...
換上 Intel 的 Xeon E3-1230 v3 後 Ubuntu 也不需要重裝,Google Chrome 的速度也快多了...
取自「PassMark - AMD Phenom II X4 905e - Price performance comparison」
取自「PassMark - Intel Xeon E3-1230 v3 @ 3.30GHz - Price performance comparison」
沒想到是因為瀏覽器而換 CPU...
Open Redirect 的問題可以參考:
這兩個連結。主要是要避免 phishing 的問題上。
一開始是以「只允許 / 開頭」為條件過濾,但 protocol-relative 的 //www.example.com 可以繞開。
如果變成「只允許 / 開頭,但不允許 // 開頭」,是不是就沒事了呢?
在「Evolution of Open Redirect Vulnerability.」這邊又看到新招:「/\www.example.com」。
想要用 parse_url() 檢查?沒問題:
$ php -a
Interactive mode enabled
php > var_dump(parse_url("/\\www.example.com"));
array(1) {
'path' =>
string(17) "/\www.example.com"
}
但實際測試會發現 IE8 與 Google Chrome 都會跳到 www.example.com (沃槽),其他瀏覽器就先不測了 ~_~
不過原文說的 ///www.example.com 在 PHP 上測試應該是不會過的?
$ php -a
Interactive mode enabled
php > var_dump(parse_url("///www.example.com"));
bool(false)
反正又冒出一堆問題要處理了 ~_~
在 Gene 寫的「如何在你不知情被自動加入粉絲團的秘技, 以 "粉你的" 作示範」這篇裡面用到的技巧叫做 Clickjacking (點擊劫持)。
Facebook 有給出「What is clickjacking?」的說明,不過相當白話 (而且沒有幫助 Orz)。
技術上的解釋是,其中一種實作是在要點擊的對象上加上一層「透明的」DOM 物件,當 click 時就會點到該物件。目前最常見的是 Facebook 的 Like 按鈕。(i.e. Gene 寫的那篇)
在 Google Chrome 上可以用「Clickjacking Reveal」這個套件:
This extension tries to warn you if it found clickjacking technique on the page you are viewing.
Tired because of webpage tricks you into clicking social network buttons? This extension will try to detect those hidden bad buys and force them to show themselves.
效果是這樣:(範例出自「胖妞變身大美女 甩肉40斤練出腹肌」這篇)
Google Online Security Blog 上對四種 cipher 的分析:「A roster of TLS cipher suites weaknesses」。
分別是 RC4、AES-CBC、AES-GCM、ChaCha20-Poly1305 四個 cipher。其中 RC4 與 AES-CBC 的問題都很多,而 AES-GCM 與 ChaCha20-Poly1305 是目前還沒有有效攻擊的 cipher。
前面三個都算熟悉,第四個是到是頗意外會出現... 不過 ChaCha20-Poly1305 不只一家打算跳下去實做了:
ChaCha20 與 Poly1305 都是 D. J. Bernstein (djb) 的作品,不知道 OpenSSL 會不會納進去...
在「ChaCha20 and Poly1305 for TLS」這邊有些為什麼有了 AES-GCM 後還要用 ChaCha20-Poly1305 的原因,主要是速度考量。兩者的速度差非常多...
微軟對 Windows XP 的支援到 2014 年 4 月 8 日:
出自「Support is ending for Windows XP - Microsoft Windows」
而 Google Chrome 也宣佈只支援到 2015 年 4 月 (晚一年):「Extending Chrome support for XP users until April 2015」。
目前 Mozilla 還沒說什麼,不過應該也不會比 Google Chrome 長太久吧,畢竟 Windows 7 的市占率一直在提昇...
前幾天看到的大新聞,Cisco 實做了 BSD license 的 H.264 並且付了專利費用:「Open-Sourced H.264 Removes Barriers to WebRTC」。
依照 Cisco 的說法,是為了推動 WebRTC 而決定這樣做的:
Many, including Cisco, have been backing H.264, the industry standard which today powers much of the video on the Internet. We strongly believe that interoperability is an essential goal of standards activities and that usage of H.264 by WebRTC means it will be able to interconnect, without transcoding, to a large set of existing clients from a multitude of vendors.
而 Mozilla 也打算用這份授權支援 H.264:「Video Interoperability on the Web Gets a Boost From Cisco’s H.264 Codec」。
不過,source code 好像還沒放出來啊?在 OpenH264 這邊寫著「Source Code Coming Soon」...