搜尋信用卡卡號是否被盜用?

報導了 這個站,據網頁上的說法,你可以輸入你的 SSN 或是信用卡卡號,然後他會去找看看在名單裡面存不存在 XD:Find Out If Your Social Security or Credit Card Numbers are on the Internet

雖然整個傳輸過程都是透過 SSL,但如同 comment 所說的,你根本不知道這個站台會不會把你輸入的 SSN 或是信用卡卡號記錄下來 XD

Two-factor authentication

工具要正確的被使用才有效果。

傳統只輸入密碼的方式有時被稱做 One-factor authentication,因為 是指兩種以上的認證,通常是透過 USB 外接 讀卡機用卡片另外做認證。

美國網路銀行將身份檢查的部分改用 進行認證,希望可以對抗 Phishing (網路釣魚)。問題這樣還是會受到 Man-in-the-middle-attack 與 Trojan (木馬) 的攻擊。

作為 的架構來說,Man-in-the-middle-attack 攻擊是在使用者瀏覽釣魚頁面時去原來的網路銀行上抓 所需要的 Message,傳給使用者後讓使用者認證。使用者認證完 (密碼以及 對 Message 的數位簽名) 送回釣魚頁面,釣魚頁面再送回原來銀行網頁,完成認證的動作,接下來開始把錢轉帳到其他戶頭去。這也就是 這篇 Fighting Fraudulent Transactions 提到美國銀行以及政府所使用的 無法保護使用者。

但這並不是 有問題,而是因為把 用在錯的地方上。台灣的網路銀行在這點上面做的 就是正確的方式。

以「轉帳」為例,你必須有一台 讀卡機,由銀行產生 Message (在裡面會包括要轉出的戶頭,以及轉入的戶頭,金額,以及一個流水號),讓晶片卡去這個 Message,然後傳回網路銀行驗證。

重點在於 必須用在每個交易動作上,而不是只用在一開始的認證:

The solution is not to better authenticate the person, but to authenticate the transaction. (Think credit cards. No one checks your signature. They really don't care if you're you. They maintain security by authenticating the transactions.)
(解決的方法並不是尋找更好的方法「驗證使用者」,而是「驗證交易本身」。想想信用卡怎麼做的,沒有人會檢查你的簽名,他們根本不在乎是你本人,因為他們是透過信用卡對每一項交易動作進行認證,以維護安全。)

PayPal 總部外被放置炸彈

的業務之一,提供網路上的金流服務。

目前在台灣最常用的應該是透過信用卡支付到 上,再用 付款給他人的服務,這樣可以避免信用卡卡號交給對方所產生的危險性。

剛剛在 上看到 在加州 的總部外被放置炸彈且爆炸的新聞:Bomb Explodes At PayPal Headquarters,爆炸的威力相當大,所幸只有一個人受傷,目前還不清楚放置炸彈的兇手及放置的目的。

Firefox 2.0 與 IE 7.0 的防釣魚功能

2.0 的防釣魚有兩種選擇,一種是讓 每隔一段時間自動下載名單,這是預設值,另外一種則是利用 的資料庫查詢。(我覺得要在安裝的時候就讓使用者選會比較好 :/)

而 IE 7.0 我沒有找到設定的地方,不知道是不是用 提供的資料庫查詢...

Anyway,我前陣子特地到 Spam 資料夾翻 Phishing 的信件,發現 (上圖) 更新得相當快,而 (下圖) 的就...

Alexa 的不準確性 (續)

Alexa 的不準確性 提到有許多人對於 以 Web Traffic 作為的評分方式質疑後,當然就會有人試著去找替代的方案。

(Mis)Tracking Web Traffic 所引用的 Web Numbers: What's Real? 這篇就有人去用不同的方法分析網站的排名,結果得出一些相反的結論。

這就讓很多網站開始緊張啦,因為廣告主會開始質疑「是不是值得投資這麼多錢」... :p

Google 總部的太陽能計畫

上看到 合作,將在 加州總部放置大量的太陽能板,這將是美國單一企業最大的太陽能板佈置計畫,足以產生一百六十萬瓦的電力輸出,換算成電腦主機的數量大約是五千台主機的消耗量:Googleplex goes solar