Tag Archives: content

利用上傳的檔案跳過 CSP 限制

Posted on December 1, 2016 by Gea-Suan Lin

用 CSP 可以做到一些簡單的保護機制,但在設計不良的情況下還是有辦法繞過。 這次是上傳合法的 JPEG 檔案,但當作 javascript 檔案繞過去:「Bypassing CSP using polyglot JPEGs」。 開頭的「FF D8 FF E0」可以在「List of file signatures」這邊看到是「JPEG raw or in the JFIF or Exif file format」,而這四個字元在 javascript 不會出問題。接下來的「2F 2A」表示 JPEG header 長度,剛好就是「/*」,把後面的東西給包起來,後面再用類似的方式一直組合就打穿了... 這種攻擊要跳過的是「用 CSP 的 self 限制不能引用外部網站 javascript」的限制,但還是有些前提: … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , | 1 Comment

CloudFront 支援將 Query String 內的特定 Key/Value 當作 Cache Key 的一部分

Posted on September 4, 2016 by Gea-Suan Lin

Amazon CloudFront 可以指定 query string 中的某個特定的 key/value 當做 cache key 的一部分了:「Announcing Query String Whitelisting for Amazon CloudFront」,對應的文件在「Configuring CloudFront to Cache Based on Query String Parameters」這邊可以查到。 先前只能針對選擇忽略掉整個 query string,或是把整個 query string 當作 cache key 的一部分,現在可以細部調整了。 最簡單的應用可以用在 css/js 的 asset 上,針對 v=\d+ … Continue reading

Posted in AWS, CDN, Cloud, Computer, Murmuring, Network, WWW | Tagged , , , , , , , , , , , , , , | Leave a comment

Linode 的被攻擊報告

Posted on January 31, 2016 by Gea-Suan Lin

Linode 這陣子一直被 DDoS 攻擊,前幾天放出報告:「The Twelve Days of Crisis – A Retrospective on Linode’s Holiday DDoS Attacks」。 其中這段提到了一些數字,Linode 有個小機房有 40Gbps 的能力,但以現在的 DDoS 規模會馬上爆掉: Linode’s capacity management strategy for IP transit has been simple: when our peak daily utilization starts approaching 50% … Continue reading

Posted in Computer, DNS, Murmuring, Network, Security | Tagged , , , , , , , , | Leave a comment

Mozilla 在 iOS 上也出了自己的 Content Blocker

Posted on December 9, 2015 by Gea-Suan Lin

Mozilla 在 iOS 上也出了自己的 Content Blocker,叫做 Focus by Firefox:「Announcing Focus by Firefox, a Content Blocker for iOS」: Today we’re pleased to announce the launch of Focus by Firefox, a free content blocker for Safari users on iOS 9 that gives … Continue reading

Posted in Browser, Computer, Murmuring, Network, Safari, Software, WWW | Tagged , , , , , , , , , , | Leave a comment

把 HTTP 站台逐步換向 HTTPS 站台的步驟

Posted on December 4, 2015 by Gea-Suan Lin

Jerry Qu 寫的「关于启用 HTTPS 的一些经验分享」這篇文章講了要怎麼將 HTTP 站台逐步換成 HTTPS 站台的方式 (以及工具)。 一開始會遇到 Mixed Content,瀏覽器預設值不會直接全部擋掉,而是會放行圖片類資源 (但是出現對應的警告)。然後可以用 upgrade-insecure-requests 來幫助邊換,讓 url 裡指定 http 的自動連到 https。 當全站把 url 都修完後,接著就可以考慮用 HSTS 強制全上 HTTPS。 做到這邊的安全性已經到一定程度了,接下來要不要進 HSTS Preload List 就看大家自己的想法了。

Posted in Computer, CSS, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

CloudFlare 對 Brotli 的測試

Posted on October 25, 2015 by Gea-Suan Lin

之前有提過這件事情,由於 Firefox 已經支援 Brotli 了 (Google 推出 Brotli 無損壓縮法),所以 CloudFlare 的人整理了目前的效能比較:「Results of experimenting with Brotli for dynamic web content」。 主要還是 Brotli 拿了不少資源來換壓縮率,對於 static content 由於可以事先算好而大勝不少 (大約可以再榨出 15% 的壓縮率,從 zlib 9 的 27.7% 降到 brotli 10 的 23.3%): The current state … Continue reading

Posted in Browser, CDN, Computer, Firefox, Murmuring, Network, Software, WWW | Tagged , , , , , , , , , , , , | Leave a comment

Google Chrome 46 修改 Mixed Content 的 HTTPS Icon

Posted on October 14, 2015 by Gea-Suan Lin

剛剛出的 Google Chrome 46 除了安全性更新外,還修改了在 Mixed Content 時的 HTTPS icon:「Simplifying the Page Security Icon in Chrome」。 官方的這張圖就給了不錯的解釋: 本來是用黃色三角形表示,現在直接變成跟 HTTP 一樣沒有 Secure Icon,這樣減少了使用者要了解的情況: This change will reduce the number of page security states in Chrome from four to three. 而接下來還打算再減少: In … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

Adblock Plus 推出在 iOS 9 上的 Content Blocking 功能

Posted on October 2, 2015 by Gea-Suan Lin

Adblock Plus 推出在 iOS 9 上的 Content Blocking 功能了:「Adblock Plus for iOS is finally here! Pssst, it's free!」。 與桌機版本一樣可以關掉 Acceptable Ads。

Posted in Browser, Computer, Murmuring, Network, Safari, Software, WWW | Tagged , , , , , , | Leave a comment

在 iOS 9 裡安裝 Crystal 擋掉全版廣告

Posted on September 17, 2015 by Gea-Suan Lin

蘋果的 iOS 9 在今天放出來了,更新完以後可以用 Content Blocking 擋廣告,剛剛測過可以擋下全頁式的廣告。 這篇要介紹了的是「Crystal」這個目前限時免費的 app,你可以在「Crystal - Block Ads, Browse Faster.」這邊下載安裝。 iOS 9 的 Content Blocking 功能必須要應用程式支援,而目前只有 Safari 有支援,所以以下的測試是用 Safari 打開行動版的 Facebook (https://m.facebook.com/) 測試的,就拿這篇先來測試:(這張圖片是後來抓的,所以時間是 06:20) 直接打開會先出現全版廣告 (第一張圖),關掉後還會有大量的廣告 (第二張圖): 接著我們打開 Crystal,可以看到什麼都沒得設,因為這套軟體已經做完了:(這張圖片是剛裝完就裝的,所以是 06:00) 接著到「設定」裡面打開 Safari 的阻擋功能: 改完後就會是乾淨而且沒有廣告的版本了:

Posted in Browser, Computer, Murmuring, Network, Safari, Software, WWW | Tagged , , , , , , | Leave a comment