Category Archives: Privacy

AWS 推出 AWS Secret Region

AWS 推出給情報單位用的 AWS Secret Region:「Announcing the New AWS Secret Region」。 與 AWS GovCloud (US) 類似的架構,這個雲的範圍再小一些,給情報單位以及有對應授權的單位用的: The AWS Secret Region is readily available to the U.S. Intelligence Community (IC) through the IC’s Commercial Cloud Services (C2S) contract with AWS. The AWS … Continue reading

Posted in AWS, Cloud, Computer, Murmuring, Network, Political, Privacy, Security, Service|Tagged , , , , , , , , |Leave a comment

StartCom 決定關門

在 Hacker News 上看到 StartCom 決定關門的消息:「Termination of the certificates business of Startcom」。 2018 停發新的憑證,然後維護兩年 CRL 與 OCSP 服務: We´ll set January 1st 2018 as the termination date and will stop issuing certificates therefrom. We will maintain our CRL and OCSP … Continue reading

Posted in Computer, Murmuring, Network, Privacy, Security, Service|Tagged , , , , , , , , , , |Leave a comment

新的 DNS Resolver:9.9.9.9

看到新的 DNS Resolver 服務,也拿到了還不錯的 IP address,9.9.9.9:「New “Quad9” DNS service blocks malicious domains for everyone」,服務網站是「Quad 9 | Internet Security and Privacy in a Few Easy Steps」,主打宣稱過濾已知的危險站台... 由政府單位、IBM 以及 Packet Clearing House 成立的: The Global Cyber Alliance (GCA)—an organization founded by law … Continue reading

Posted in CDN, Cloud, Computer, DNS, Murmuring, Network, Privacy, Security, Service, WWW|Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , |Leave a comment

各家 Session Replay 服務對個資的處理

Session Replay 指的是重播將使用者的行為錄下來重播,市面上有很多這樣的服務,像是 User Replay 或是 SessionCam。 這篇文章就是在討論這些服務在處理個資時的方式,像是信用卡卡號的內容,或是密碼的內容,這些不應該被記錄下來的資料是怎麼被處理的:「No boundaries: Exfiltration of personal data by session-replay scripts」,主要的重點在這張圖: 後面有提到目前防禦的情況,看起來目前用 adblock 類的軟體可以擋掉一些服務,但不是全部的都在列表裡。而 DNT 則是裝飾品沒人鳥過: Two commonly used ad-blocking lists EasyList and EasyPrivacy do not block FullStory, Smartlook, or UserReplay scripts. EasyPrivacy has filter … Continue reading

Posted in Computer, Murmuring, Network, Privacy, Security, Service, WWW|Tagged , , , , , , , , , , , , |Leave a comment

掃網域下主機名稱的方式...

原文是講滲透測試的前置作業,需要將某個特定 domain 下的主機名稱掃出來:「A penetration tester’s guide to sub-domain enumeration」。 最直接的還是 DNS zone transfer (AXFR),如果管理者沒設好 DNS server 的話,這會是最快的方式。當沒有這個方法時就要用各種其他方式來掃了。 看了一下有幾種方式: 透過各種第三方記錄撈:用 Google 以及 Bing 的 site: 指令過濾;用 VirusTotal 列;翻 Certificate Transparency 記錄;透過 ASN 資訊;透過 Forward DNS。 程式類的 DNS query:用 DNSRecon;Altdns 其他:透過 NSEC … Continue reading

Posted in Computer, DNS, Murmuring, Network, Privacy, Search Engine, Security, Service, Software|Tagged , , , , , , , , , , , , , , , , , , , , , , , , |Leave a comment

microG 的進展...

留在 tab 上的東西,忘記在哪看到的... microG 發佈了新的專案:「LineageOS for microG」。 microG 是 Android 上 Google 服務 API 的重新實作 (所以 open source),不像 Open GApps 還是屬於 proprietary software。 這次的事情是 microG 的人 fork 了 LineageOS 專案,因為 LineageOS 專案拒絕 microG 的 signature spoofing patch: Why do we … Continue reading

Posted in Computer, Murmuring, Network, Privacy, Security, Service, Software, Telephone|Tagged , , , , , , , , , , , |Leave a comment

IEEE P1735 漏洞,又是 Padding Oracle Attack...

在「IEEE P1735 Encryption Is Broken—Flaws Allow Intellectual Property Theft」這邊看到 US-CERT 發表的「IEEE P1735 implementations may have weak cryptographic protections」,裡面提到的主要漏洞: The methods are flawed and, in the most egregious cases, enable attack vectors that allow recovery of the entire underlying plaintext IP. … Continue reading

Posted in Computer, Murmuring, Network, Privacy, Programming, Security|Tagged , , , , , , , , , , , , , , |Leave a comment

下一代的 Tor Hidden Service

Tor 公佈了下一代的 Hidden Service (Onion Service):「Tor's Fall Harvest: the Next Generation of Onion Services」。 三年前 Facebook 自己暴力算出 facebookcorewwwi.onion 這個很特別的名字 (參考「Facebook 證明 Tor 的 Hidden Service 不安全」),這陣子連紐約時報也能暴力算出 nytimes3xbfgragh.onion 這個好名字 (參考「紐約時報網站上 Tor 的 Hidden Service (i.e. Tor Onion Service)」,這讓只有 16 chars 的 … Continue reading

Posted in Computer, DNS, Murmuring, Network, P2P, Privacy, Security, Service, Software, WWW|Tagged , , , , , , , , , , , , , , |Leave a comment

Savitech (盛微) 的 USB 音效驅動程式會安裝 Root CA (被發了 CVE-2017-9758)

在 Hacker News 上看到 CERT 的「Savitech USB audio drivers install a new root CA certificate」提到 Savitech USB audio driver 會安裝自己的 Root CA: Savitech provides USB audio drivers for a number of specialized audio products. Some versions of the Savitech driver … Continue reading

Posted in Computer, Murmuring, OS, Privacy, Programming, Security, Software, Windows|Tagged , , , , , , , , , , , , , , , |Leave a comment

CloudFlare 也要提供 Certificate Transparency 的 Log 伺服器了...

看到 CloudFlare 請求加入 Chromium (Google Chrome) 的伺服器列表:「Certificate Transparency - Cloudflare "nimbus2017" Log Server Inclusion Request」。 對照之前的「Chromium 內提案移除 HPKP (HTTP Public Key Pinning)」以及「Let's Encrypt 的 Embed SCT 支援」,這樣看起來是瀏覽器內會有一份白名單,只有在這白名單上的 Embed SCT 才會被信任... 但弄到這樣的話,log server 是不是也要有稽核機制? 好像哪邊搞錯了方向啊...

Posted in Computer, Murmuring, Network, Privacy, Security, Service, WWW|Tagged , , , , , , , , , , , , , , |Leave a comment