幹壞事是進步最大的原動力
Amazon SES 是 2011 年年初發表的服務,過了九年總算想起來這幾區也是需要 SES 的服務了...:「Amazon Simple Email Service is now available in the US East (Ohio), Asia Pacific (Singapore), Asia Pacific (Tokyo), and Asia Pacific (Seoul) Regions」。
這些年來大家應該都是用 us-west-2 或是 us-east-1 workaround 很久了,現在開這些區域主要還是讓 API 的整合會比較方便,如果本來就是透過 IAM user + username + password 的方式寄信的話就沒什麼差...
另外一種是寄比較大的信件 (產生的流量很大),這次這樣可以避免降低跨區而被收兩次流量費用,不過這應該是比較少見的情況...
看到「Setting Up Git Identities」這篇,裡面提到的方法可以解決 Git 裡有多個身份時常見的用錯身份的問題...
個人的 Git repository 會希望用自己的 email address,而公司的 Git repository 則是希望用公司的 email address,但 Git 預設會使用 username 與 hostname 組一個出來,所以常常是推到公司的機器上後才發現 Git repository 沒設定公司的 email address...
上面提到的文章就是關掉 Git 預設會組合的行為,於是就會記得要設定了:
git config --global user.useConfigOnly true
然後記得要把全域設定裡的 name 與 email 拔掉,另外有些人可能會掛上 signingkey 也一起拔掉:
git config --global --unset user.name git config --global --unset user.email git config --global --unset user.signingkey
這樣當沒設定時想要 git commit,就會被擋下來要求你提供,就能避免把自己的 email address 混在公司的 Git repository 裡面了...
Amazon SES 居然加開服務區域了:「Amazon SES is Now Available in Three Additional AWS Regions」。
當初猜測一直沒增加的原因是法規的問題,各國對於 spam 的處理方式不同,有些地區可能會導致 AWS 有連帶責任之類的。這次還是沒開日本與新加坡,看起來應該也是評估後覺得不會有問題的才開:
Amazon Simple Email Service (Amazon SES) is now available in the Asia Pacific (Mumbai), Asia Pacific (Sydney), and EU (Frankfurt) Regions, in addition to the US East (Virginia), US West (Oregon), and Europe (Ireland) regions.
這樣看起來對於東京的使用者應該還是會去用美西的服務,但新加坡的使用者就有機會改用澳洲的服務了...
因為 Amazon SES 算是很基本的服務,一直以為 AWS 早就把 Amazon SES 過 HIPAA 了,剛剛看到 AWS 的公告 Amazon SES 過了 HIPAA 才發現並不是這樣:「Amazon SES Achieves HIPAA Eligibility」。
Anyway,這次是所有區域的 SES 都過了:
Amazon SES is now a HIPAA Eligible Service. HIPAA eligibility applies to all AWS Regions where Amazon SES is available.
然後翻了一下市場的情況,看起來 SendGrid 與 MailChimp 也沒過,但 Mailgun 有過... 所以是本來就有方案可以用。
從以前用 Subversion 就有習慣用 e-mail 收 diff log (內建的 hook 就有這個功能)。後來有了 Gmail 就更方便了,畢竟搜尋是 Google 的強項,另外一方面 Gmail 也是目前少數可以完全用鍵盤操作的 e-mail client。
現在用 Git 與 GitHub 平台讓這件事情麻煩不少,得透過 webhook + API 自己包出來,目前折衷的方法是收 GitHub 的通知信 (但是沒有 diff log),然後寫個 Userscript,在按下 i 之後會把 GitHub 通知信裡的連結全部點開:「open-github-links-in-gmail」。
寫的很簡單... 最花時間反而是因為 hotkey 都被吃掉了,要測出哪個鍵還沒被用掉。
不知道是不是各種網站註冊的比較少,好像有陣子沒看到這種出包信了... 都是 template variable XDDD
Imgur 官方發佈公告說明他們發現資料洩漏了:「Notice of Data Breach」,資料的洩漏是發生在 2014 年,包括了帳號與密碼:
Early morning on November 24th, we confirmed that approximately 1.7 million Imgur user accounts were compromised in 2014. The compromised account information included only email addresses and passwords. Imgur has never asked for real names, addresses, phone numbers, or other personally-identifying information (“PII”), so the information that was compromised did NOT include such PII.
然後 2014 年用的是 SHA-256:
We have always encrypted your password in our database, but it may have been cracked with brute force due to an older hashing algorithm (SHA-256) that was used at the time. We updated our algorithm to the new bcrypt algorithm last year.
以單台八張 GTX 1080 跑 hashcat 的速度來看 (出自「8x Nvidia GTX 1080 Hashcat Benchmarks」),是 23GH/z 左右:
Hashtype: SHA256
Speed.Dev.#1.: 2865.2 MH/s (96.18ms)
Speed.Dev.#2.: 2839.8 MH/s (96.65ms)
Speed.Dev.#3.: 2879.5 MH/s (97.14ms)
Speed.Dev.#4.: 2870.6 MH/s (96.32ms)
Speed.Dev.#5.: 2894.2 MH/s (96.64ms)
Speed.Dev.#6.: 2857.7 MH/s (96.78ms)
Speed.Dev.#7.: 2899.3 MH/s (96.46ms)
Speed.Dev.#8.: 2905.7 MH/s (96.26ms)
Speed.Dev.#*.: 23012.1 MH/s
這對於鍵盤可以打出的所有字元來計算 (95 chars),八個字的密碼只要 3.33 天就可以跑完;如果只考慮英文數字 (62 chars),九個字的密碼只要 6.81 天。
這些還不是最新的 GPU,而且是單機計算,對於現在的攻擊應該會用 ASIC,可以考慮多三到四個數量級的數度在算 (看財力才會知道買多少機器)。
不過 Imgur 的帳號主要是參與討論 (因為不用帳號密碼也可以上傳圖片),一般比較不會在上面註冊... 真的有註冊的因為沒有其他個資,主要是怕共用密碼的問題。如果有用 password manager 應該也還好。
Amazon SES 的新功能,讓使用者可以設定 policy,以確保 mail reputation 不會掉的太差:「Amazon SES introduces email pausing and reputation metrics for configuration sets」,介紹的文章在「Protect your Reputation with Email Pausing and Configuration Set Reputation Metrics」。
所以你可以設定某些條件,停用某個 configuration set,或是停用整個帳號:
This release includes API operations that allow you to temporarily pause email sending for a specific configuration set, or across your entire Amazon SES account. You can use this feature to automatically pause email sending when your reputation metrics cross certain thresholds that you define.
這應該是在一個帳號有多個服務使用的情境下,用來降低風險的方式... 某個服務突然送出一堆 bounce mail 時可以只停用有問題的服務,而不是被 Amazon SES 整包停用。
另外因為經過 Amazon CloudWatch,所以可以串上 Amazon SNS 後將 AWS Lambda 接上去做更複雜的處理:
在 Twitter 上看到 18F 貼了 DHS 的新規定:「Enhance Email and Web Security」。
Just launched by our friends at DHS! A new federal directive to require DMARC and STARTTLS, and to cut RC4 and 3DES: https://t.co/gp5G7A6LMA pic.twitter.com/6V4UJ9sGIo
— 18F (@18F) October 16, 2017
郵件系統的部份,要求要有 STARTTLS,並且設定 SPF 與 DMARC。另外禁用 SSLv2 與 SSLv3,以及 RC4 與 3DES。
網站的部份,則是要求 HTTPS 以及 HSTS。另外也與郵件系統一樣禁用 SSLv2、SSLv3,以及 RC4 與 3DES。
不只 18F 一個單位在推動,這樣整體的速度才會加快...
Amazon SES 推出了 Dedicated IP Pool:「New – SES Dedicated IP Pools」,也就是發信時可以使用自己專屬的 IP address。
Today we released Dedicated IP Pools for Amazon Simple Email Service (SES). With dedicated IP pools, you can specify which dedicated IP addresses to use for sending different types of email.
價錢其實不算貴?每個 IP 的費用是 USD$24.95/month,對於量夠大的單位可以避免被其他人影響:
Dedicated IPs are $24.95 per address per month at the time of this writing – but you can find out more at the pricing page.
不過 SES 用起來最痛的問題還是在對於收信人不存在時的 bounce rate...