Tag Archives: audit

用 jQuery Audit 在 Google Chrome 的 Developer Tools 看到 jQuery 的資料

在「jQuery Audit lets you analyze jQuery from Chrome Developer Tools」這邊看到 jQuery Audit 這個 Google Chrome 的套件。這個套件讓你在 Developer Tools 裡看到 jQuery 的資料: 在大家都用 jQuery 操作的情境下,這個套件超好用...

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Software, WWW | Tagged , , , , , , | Leave a comment

Mozilla 移除 e-Guven CA Certificate

因為稽核過期失效,Mozilla 決定移除 e-Guven 的 Root CA:「Removing e-Guven CA Certificate」,對應的 Bugzilla 連結出自「Remove E-Guven root certificate from NSS」: Issuer Field: CN = e-Guven Kok Elektronik Sertifika Hizmet Saglayicisi O = Elektronik Bilgi Guvenligi A.S. C = TR SHA-1 Fingerprint: DD:E1:D2:A9:01:80:2E:1D:87:5E:84:B3:80:7E:4B:B1:FD:99:41:34 Google Chrome … Continue reading

Posted in Browser, Computer, Firefox, Murmuring, Network, Security, Software, WWW | Tagged , , , , , | Leave a comment

AWS Config 多支援三區...

AWS Config 是個稽核類的產品,把所有的操作行為記錄下來,供事後查詢,一開始只有最早的 us-east-1 有,而剛剛公佈了多支援 us-west-2、eu-west-1、ap-southeast-2 這三區: Today we are adding support for the US West (Oregon), Europe (Ireland), and Asia Pacific (Sydney) regions, with support for others also on the drawing board. 不知道為什麼是這三區先上...

Posted in AWS, Cloud, Computer, Murmuring, Network, Security | Tagged , , , , | 1 Comment

Amazon 推出 AWS CloudTrail,可以稽核 API 使用量...

因為最近幾天是 re:Invent,所以 AWS 在這個期間會丟出很多新玩意。 這次推出的是 AWS CloudTrail,會將 API call 記錄起來存到 Amazon S3 或是透過 Amazon SNS 發出,於是你就可以利用這些資料分析出各種想要撈出的資訊:「AWS CloudTrail - Capture AWS API Activity」。 目前只支援北美的 US East (Northern Virginia) 以及 US West (Oregon),也就是 us-east-1 與 us-west-1。

Posted in AWS, Cloud, Computer, Murmuring, Network, Security | Tagged , , , , , , , , , , , | Leave a comment

建一個 Root CA 的開銷...

在 cryptography mailing list 上有人問了這個問題,結果 Entrust 的 CTO,Jon Callas 跑出來回答:「How much does it cost to start a root CA ?」。 答案是,第一次的費用大約 25 萬美金,其中人事費用佔很大一塊。另外每年還有固定的維護費用 (設備與稽核):所有的行為都必須被稽核,而且所有的的控管都必須是雙重認證,以確保一個人無法破壞 CA 的安全性。 還蠻有趣的回覆...

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , | Leave a comment

MySQL 的 audit log

在「Auditing login attempts in MySQL」這篇文章裡討論 MySQL 登入的 audit log,其中第一個方法是 full log (包含 SELECT 這類指令),看起來可以活用... 打開 General Query Log 後,幾乎所有的行為都會被記錄下來,照這個設計應該可以寫到 FIFO 裡丟到 log server 上?不知道會增加 log server 多少負荷...

Posted in Computer, Database, Murmuring, MySQL, Network, Software | Tagged , , , , , , | Leave a comment

GitHub 要求全面檢查 SSH Key

在 GitHub 被攻擊成功後 (參考 GitHub 官方所說的「Public Key Security Vulnerability and Mitigation」這篇),官方除了把漏洞修補完以外,接下來做了更積極的措施:暫停所有的 SSH key 存取權限,一律等到用戶 audit 確認過後才開放:「SSH Key Audit」。 這次 GitHub 除了修正問題、audit key 以外,另外還提出了新的機制讓用戶更容易發現異常存取行為,包括了: 新增 SSH public key 時要輸入密碼。 新增 SSH public key 成功後會寄信通知。 新增「Security History」頁面可以看到帳戶的安全狀況。 算是很積極補救的作法。 另外說明,要如何 audit key,也就是要如何取得你的 public … Continue reading

Posted in Computer, Murmuring, Network, Security | Tagged , , , , | 2 Comments