Tag Archives: content

Adobe Flash 將在 2020 年 End of Life

Adobe 發出的公告,將在 2020 年中止所有對 Flash 的支援:「Flash & The Future of Interactive Content」。 Specifically, we will stop updating and distributing the Flash Player at the end of 2020 and encourage content creators to migrate any existing Flash content to these new … Continue reading

Posted in Browser, Computer, GoogleChrome, IE, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , | 1 Comment

利用上傳的檔案跳過 CSP 限制

用 CSP 可以做到一些簡單的保護機制,但在設計不良的情況下還是有辦法繞過。 這次是上傳合法的 JPEG 檔案,但當作 javascript 檔案繞過去:「Bypassing CSP using polyglot JPEGs」。 開頭的「FF D8 FF E0」可以在「List of file signatures」這邊看到是「JPEG raw or in the JFIF or Exif file format」,而這四個字元在 javascript 不會出問題。接下來的「2F 2A」表示 JPEG header 長度,剛好就是「/*」,把後面的東西給包起來,後面再用類似的方式一直組合就打穿了... 這種攻擊要跳過的是「用 CSP 的 self 限制不能引用外部網站 javascript」的限制,但還是有些前提: … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , | 1 Comment

CloudFront 支援將 Query String 內的特定 Key/Value 當作 Cache Key 的一部分

Amazon CloudFront 可以指定 query string 中的某個特定的 key/value 當做 cache key 的一部分了:「Announcing Query String Whitelisting for Amazon CloudFront」,對應的文件在「Configuring CloudFront to Cache Based on Query String Parameters」這邊可以查到。 先前只能針對選擇忽略掉整個 query string,或是把整個 query string 當作 cache key 的一部分,現在可以細部調整了。 最簡單的應用可以用在 css/js 的 asset 上,針對 v=\d+ … Continue reading

Posted in AWS, CDN, Cloud, Computer, Murmuring, Network, WWW | Tagged , , , , , , , , , , , , , , | Leave a comment

Linode 的被攻擊報告

Linode 這陣子一直被 DDoS 攻擊,前幾天放出報告:「The Twelve Days of Crisis – A Retrospective on Linode’s Holiday DDoS Attacks」。 其中這段提到了一些數字,Linode 有個小機房有 40Gbps 的能力,但以現在的 DDoS 規模會馬上爆掉: Linode’s capacity management strategy for IP transit has been simple: when our peak daily utilization starts approaching 50% … Continue reading

Posted in Computer, DNS, Murmuring, Network, Security | Tagged , , , , , , , , | Leave a comment

Mozilla 在 iOS 上也出了自己的 Content Blocker

Mozilla 在 iOS 上也出了自己的 Content Blocker,叫做 Focus by Firefox:「Announcing Focus by Firefox, a Content Blocker for iOS」: Today we’re pleased to announce the launch of Focus by Firefox, a free content blocker for Safari users on iOS 9 that gives … Continue reading

Posted in Browser, Computer, Murmuring, Network, Safari, Software, WWW | Tagged , , , , , , , , , , | Leave a comment

把 HTTP 站台逐步換向 HTTPS 站台的步驟

Jerry Qu 寫的「关于启用 HTTPS 的一些经验分享」這篇文章講了要怎麼將 HTTP 站台逐步換成 HTTPS 站台的方式 (以及工具)。 一開始會遇到 Mixed Content,瀏覽器預設值不會直接全部擋掉,而是會放行圖片類資源 (但是出現對應的警告)。然後可以用 upgrade-insecure-requests 來幫助邊換,讓 url 裡指定 http 的自動連到 https。 當全站把 url 都修完後,接著就可以考慮用 HSTS 強制全上 HTTPS。 做到這邊的安全性已經到一定程度了,接下來要不要進 HSTS Preload List 就看大家自己的想法了。

Posted in Computer, CSS, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

CloudFlare 對 Brotli 的測試

之前有提過這件事情,由於 Firefox 已經支援 Brotli 了 (Google 推出 Brotli 無損壓縮法),所以 CloudFlare 的人整理了目前的效能比較:「Results of experimenting with Brotli for dynamic web content」。 主要還是 Brotli 拿了不少資源來換壓縮率,對於 static content 由於可以事先算好而大勝不少 (大約可以再榨出 15% 的壓縮率,從 zlib 9 的 27.7% 降到 brotli 10 的 23.3%): The current state … Continue reading

Posted in Browser, CDN, Computer, Firefox, Murmuring, Network, Software, WWW | Tagged , , , , , , , , , , , , | Leave a comment

Google Chrome 46 修改 Mixed Content 的 HTTPS Icon

剛剛出的 Google Chrome 46 除了安全性更新外,還修改了在 Mixed Content 時的 HTTPS icon:「Simplifying the Page Security Icon in Chrome」。 官方的這張圖就給了不錯的解釋: 本來是用黃色三角形表示,現在直接變成跟 HTTP 一樣沒有 Secure Icon,這樣減少了使用者要了解的情況: This change will reduce the number of page security states in Chrome from four to three. 而接下來還打算再減少: In … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

Adblock Plus 推出在 iOS 9 上的 Content Blocking 功能

Adblock Plus 推出在 iOS 9 上的 Content Blocking 功能了:「Adblock Plus for iOS is finally here! Pssst, it's free!」。 與桌機版本一樣可以關掉 Acceptable Ads。

Posted in Browser, Computer, Murmuring, Network, Safari, Software, WWW | Tagged , , , , , , | Leave a comment