Tag Archives: content

Adobe Flash 將在 2020 年 End of Life

Posted on July 26, 2017 by Gea-Suan Lin

Adobe 發出的公告，將在 2020 年中止所有對 Flash 的支援：「Flash & The Future of Interactive Content」。 Specifically, we will stop updating and distributing the Flash Player at the end of 2020 and encourage content creators to migrate any existing Flash content to these new … Continue reading →

Posted in Browser, Computer, GoogleChrome, IE, Murmuring, Network, Security, Software, WWW | Tagged adobe, content, end, eol, flash, format, google, life, microsoft, of, open, standard, web | 1 Comment

利用上傳的檔案跳過 CSP 限制

Posted on December 1, 2016 by Gea-Suan Lin

用 CSP 可以做到一些簡單的保護機制，但在設計不良的情況下還是有辦法繞過。這次是上傳合法的 JPEG 檔案，但當作 javascript 檔案繞過去：「Bypassing CSP using polyglot JPEGs」。開頭的「FF D8 FF E0」可以在「List of file signatures」這邊看到是「JPEG raw or in the JFIF or Exif file format」，而這四個字元在 javascript 不會出問題。接下來的「2F 2A」表示 JPEG header 長度，剛好就是「/*」，把後面的東西給包起來，後面再用類似的方式一直組合就打穿了... 這種攻擊要跳過的是「用 CSP 的 self 限制不能引用外部網站 javascript」的限制，但還是有些前提： … Continue reading →

Posted in Computer, Murmuring, Network, Security, WWW | Tagged content, csp, domain, javascript, jpeg, js, policy, same, security, self, xss | 1 Comment

CloudFront 支援將 Query String 內的特定 Key/Value 當作 Cache Key 的一部分

Posted on September 4, 2016 by Gea-Suan Lin

Amazon CloudFront 可以指定 query string 中的某個特定的 key/value 當做 cache key 的一部分了：「Announcing Query String Whitelisting for Amazon CloudFront」，對應的文件在「Configuring CloudFront to Cache Based on Query String Parameters」這邊可以查到。先前只能針對選擇忽略掉整個 query string，或是把整個 query string 當作 cache key 的一部分，現在可以細部調整了。最簡單的應用可以用在 css/js 的 asset 上，針對 v=\d+ … Continue reading →

Posted in AWS, CDN, Cloud, Computer, Murmuring, Network, WWW | Tagged amazon, asset, aws, cache, cdn, cloudfront, content, css, dynamic, js, key, path, query, string, url | Leave a comment

Google Cloud Vision API 開放讓大眾使用

Posted on February 19, 2016 by Gea-Suan Lin

兩個月前 Google 放出來的 Google Cloud Vision API (參考「Google Cloud Vision API」) 開放讓一般人使用了，當初沒決定的價錢也公告出來了。可以看到分成「Optical Character Recognition (OCR)」、「Image Attributes, Landmark, Facial, Logo, or Explicit Content Detection」與「Label Detection」三種，每個月的前 1000 個單位都是免費的，後面每千張是 $2.5/$2.5/$5.0，到百萬張以上時每千張變成 $2.0/$2.0/$4.0，超過五百萬時變成 $0.6/$0.6/$2.0。另外目前有數量限制，每個月超過兩千萬張需要另外申請： Limits: The Google Cloud Vision API supports up to … Continue reading →

Posted in Cloud, Computer, Murmuring, Network | Tagged api, attribute, character, cloud, content, detection, explicit, facial, google, image, label, landmark, logo, ocr, optical, platform, recognition, vision | Leave a comment

Linode 的被攻擊報告

Posted on January 31, 2016 by Gea-Suan Lin

Linode 這陣子一直被 DDoS 攻擊，前幾天放出報告：「The Twelve Days of Crisis – A Retrospective on Linode’s Holiday DDoS Attacks」。其中這段提到了一些數字，Linode 有個小機房有 40Gbps 的能力，但以現在的 DDoS 規模會馬上爆掉： Linode’s capacity management strategy for IP transit has been simple: when our peak daily utilization starts approaching 50% … Continue reading →

Posted in Computer, DNS, Murmuring, Network, Security | Tagged attack, cloudflare, content, ddos, dns, hosting, linode, network, vps | Leave a comment

Mozilla 在 iOS 上也出了自己的 Content Blocker

Posted on December 9, 2015 by Gea-Suan Lin

Mozilla 在 iOS 上也出了自己的 Content Blocker，叫做 Focus by Firefox：「Announcing Focus by Firefox, a Content Blocker for iOS」： Today we’re pleased to announce the launch of Focus by Firefox, a free content blocker for Safari users on iOS 9 that gives … Continue reading →

Posted in Browser, Computer, Murmuring, Network, Safari, Software, WWW | Tagged ad, adblock, apple, blocker, content, firefox, focus, ios, mozilla, safari, web | Leave a comment

把 HTTP 站台逐步換向 HTTPS 站台的步驟

Posted on December 4, 2015 by Gea-Suan Lin

Jerry Qu 寫的「关于启用 HTTPS 的一些经验分享」這篇文章講了要怎麼將 HTTP 站台逐步換成 HTTPS 站台的方式 (以及工具)。一開始會遇到 Mixed Content，瀏覽器預設值不會直接全部擋掉，而是會放行圖片類資源 (但是出現對應的警告)。然後可以用 upgrade-insecure-requests 來幫助邊換，讓 url 裡指定 http 的自動連到 https。當全站把 url 都修完後，接著就可以考慮用 HSTS 強制全上 HTTPS。做到這邊的安全性已經到一定程度了，接下來要不要進 HSTS Preload List 就看大家自己的想法了。

Posted in Computer, CSS, Murmuring, Network, Security, WWW | Tagged content, hsts, http, https, insecure, list, mixed, preload, request, security, ssl, tls, upgrade, url | Leave a comment

CloudFlare 對 Brotli 的測試

Posted on October 25, 2015 by Gea-Suan Lin

之前有提過這件事情，由於 Firefox 已經支援 Brotli 了 (Google 推出 Brotli 無損壓縮法)，所以 CloudFlare 的人整理了目前的效能比較：「Results of experimenting with Brotli for dynamic web content」。主要還是 Brotli 拿了不少資源來換壓縮率，對於 static content 由於可以事先算好而大勝不少 (大約可以再榨出 15% 的壓縮率，從 zlib 9 的 27.7% 降到 brotli 10 的 23.3%)： The current state … Continue reading →

Posted in Browser, CDN, Computer, Firefox, Murmuring, Network, Software, WWW | Tagged brotli, browser, cdn, cloudflare, compression, content, deflate, dynamic, google, gzip, static, web, zlib | Leave a comment

Google Chrome 46 修改 Mixed Content 的 HTTPS Icon

Posted on October 14, 2015 by Gea-Suan Lin

剛剛出的 Google Chrome 46 除了安全性更新外，還修改了在 Mixed Content 時的 HTTPS icon：「Simplifying the Page Security Icon in Chrome」。官方的這張圖就給了不錯的解釋：本來是用黃色三角形表示，現在直接變成跟 HTTP 一樣沒有 Secure Icon，這樣減少了使用者要了解的情況： This change will reduce the number of page security states in Chrome from four to three. 而接下來還打算再減少： In … Continue reading →

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged chrome, content, google, https, icon, mixed, security, ssl, tls | Leave a comment

Adblock Plus 推出在 iOS 9 上的 Content Blocking 功能

Posted on October 2, 2015 by Gea-Suan Lin

Adblock Plus 推出在 iOS 9 上的 Content Blocking 功能了：「Adblock Plus for iOS is finally here! Pssst, it's free!」。與桌機版本一樣可以關掉 Acceptable Ads。

Posted in Browser, Computer, Murmuring, Network, Safari, Software, WWW | Tagged abp, adblock, apple, blocking, content, ios, plus | Leave a comment

Tag Archives: content

Adobe Flash 將在 2020 年 End of Life

利用上傳的檔案跳過 CSP 限制

CloudFront 支援將 Query String 內的特定 Key/Value 當作 Cache Key 的一部分

Linode 的被攻擊報告

Mozilla 在 iOS 上也出了自己的 Content Blocker

CloudFlare 對 Brotli 的測試

Google Chrome 46 修改 Mixed Content 的 HTTPS Icon

Adblock Plus 推出在 iOS 9 上的 Content Blocking 功能

Recent Comments

Archives

Categories

Blogroll

Meta

Tag Archives: content

Recent Comments

Archives

Tags

Categories

Blogroll

Meta