幹壞事是進步最大的原動力
話說最近用 Nuzzel 用的還算開心,可以抓到不少文章,但意外的是這篇在 Nuzzel 上沒看到,是在 Allen Own 的 Facebook 時間軸上看到的 (這則)。
原文出自「Why I stopped using StartSSL (Hint: it involves a Chinese company)」。
最主要的安全問題在於 auth.startssl.com 放在中國公司奇虎 360 的機房內,而這是身份認證用的伺服器。基於中國是個人治而非法治的國家 (i.e. 無法確保 CA 的稽核機制是有效的),我決定把 StartSSL 的 root certificate 從 trusted chain 裡面拔掉,以免中獎...
昨天的大新聞,CloudFlare 宣佈跟百度合作進入中國市場:「How We Extended CloudFlare's Performance and Security Into Mainland China」。
在「China network」這邊可以看到各種限制,首先是需要有牌 (ICP) 才能用:
CloudFlare customers that wish to serve traffic for their domains across the China network must possess a valid Internet Content Provider (ICP) license. An ICP license is a Chinese government issued license required to host or cache Internet content within mainland China. Learn more about how you can obtain an ICP license here.
另外是不支援 HTTPS:
For the moment the China network does not support HTTPS traffic (HTTP only). Support for SSL/TLS will be made available in the coming months.
目前只開放給 Enterprise 用戶:
Initially, the China network will be limited to Enterprise customers. Over time, as we are better able to operationalize the onboarding of customers, we hope to extend the benefits to all plan levels.
由於要 ICP 的關係,對於境外網站沒有太多幫助。另外也不確定是不是還是用 Anycast 技術,如果是的話就要煩惱某些網站的流量有機會被導到中國了。
在「China’s Great Cannon」這篇文章裡面把最近 GitHub 被攻擊的事件所使用的武器稱為 China’s Great Cannon。文章裡分析了攻擊的方式、造成的影響。
不過... 我只是對取名的人讚嘆而已,可以參考偽基百科的「先行者」條目 XDDD
Slashdot 的「New Compilation of Banned Chinese Search-Terms Reveals Curiosities」這篇引用了「Some curious search terms denied to the Chinese」這篇文章,在 GitHub 上面有個 repository 試著蒐集這些關鍵字:「jasonqng/chinese-keywords。
不過看到報導第一件事情注意到的事情是他用的圖片:
還是說其實台灣已經高度審查了?hmmm...
在 CloudFlare 的「One More Thing: Keyless SSL and CloudFlare's Growing Network」這篇文章裡提到了 CloudFlare 的擴張計畫,其中藍色是已經有的點,而橘色是計畫的點:
雖然是說打算在 12 個月內搞定上面的計畫:
The map above shows all the locations where CloudFlare is actively working to turn up data centers over the next 12 months.
但不知道多久才會把這些點都設完,尤其這是有規劃進入中國大陸的情況?
另外看起來台灣也會有點,不知道會放到哪裡... (以及 routing 會怎麼繞)
在「Switching default blocking lists for Chinese users」這邊看到 Adblock Plus 的官方公告,新安裝的預設值將會從 ChinaList 改變成 Easylist China。
依照官方的說法:
To make these improvements, we employed three people as part-time authors.
天下沒有白吃的午餐,加上這幾年 Adblock Plus 的「妥協」太多,接下來應該沒事去看一下 ChinaList 的討論,到底兩個 blocklist 的差異在哪裡。
早上的時候就有看到消息了,而剛剛在 AWS 老大 Werner Vogels 的 Twitter 上看到他宣佈 AWS 北京區的成立:
Coming soon to #AWS - New China (Beijing) Region - http://t.co/L3lJBXFLr9
— Werner Vogels (@Werner) December 18, 2013
官方公告在「Coming Soon - New China (Beijing) Region」這邊。中國大陸的官方網站在「亚马逊 AWS | Cloud Computing in China on Amazon Web Services (Simplified Chinese)」這邊。
一如往常的,有中國政府規範的但書:
This Region will allow China-based and multinational companies to make use of a broad collection of AWS services while remaining in compliance with China's legal and regulatory requirements.
要注意的是,目前列出來的服務並沒有 CloudFront 與 Route53,只有看到這樣的說明:
We have been working with a number of local data center, bandwidth, and content delivery partners to bring this Region to life. Companies such as China Net Center and SINNET will provide the infrastructure, network services, and CDN services that are required to support the launch and operation of AWS technology services in China.
繼續觀望看看接下來如何...
這兩件事情加起來會不會太巧合...
首先是有攻擊者成功利用 Comodo CA 產生 www.google.com、login.yahoo.com、login.skype.com、addons.mozilla.org、login.live.com 的 SSL certificate:「Report of incident on 15-MAR-2011」,雖然被 revoke (撤銷),但是我們知道 revoke 機制極度脆弱:「Revocation doesn't work」。
過沒幾天,有人發現 AT&T 到 Facebook 的流量會流經中國 ISP 的網路設備:「Facebook traffic mysteriously passes through Chinese ISP」。
關於這幾件事情,我們能做的並不多,只能僅可能的做:
接下來就是祈禱了...