Tag Archives: insecure

2015 年的 Turing Award 由 Whitfield Diffie 與 Martin E. Hellman 獲得

從紐約時報看到今年的 Turing Award 由 Whitfield Diffie 與 Martin E. Hellman 獲得:「Cryptography Pioneers Win Turing Award」。在 Turing Award 官網上也可以看到對應的說明。 Diffie–Hellman key exchange 是全世界第一個 (1976 年) 在公開頻道上建立 shared secret 的演算法,直到現在都還廣泛的被使用,可以防禦被動式的監聽攻擊: The Diffie–Hellman key exchange method allows two parties that have no prior … Continue reading

Posted in Computer, Murmuring, Network, Science, Security | Tagged , , , , , , , , , , , | Leave a comment

把 HTTP 站台逐步換向 HTTPS 站台的步驟

Jerry Qu 寫的「关于启用 HTTPS 的一些经验分享」這篇文章講了要怎麼將 HTTP 站台逐步換成 HTTPS 站台的方式 (以及工具)。 一開始會遇到 Mixed Content,瀏覽器預設值不會直接全部擋掉,而是會放行圖片類資源 (但是出現對應的警告)。然後可以用 upgrade-insecure-requests 來幫助邊換,讓 url 裡指定 http 的自動連到 https。 當全站把 url 都修完後,接著就可以考慮用 HSTS 強制全上 HTTPS。 做到這邊的安全性已經到一定程度了,接下來要不要進 HSTS Preload List 就看大家自己的想法了。

Posted in Computer, CSS, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

還有超過 20% 的網站使用 SHA-1 憑證

依照 Netcraft 的說明,還有超過 20% 的網站使用 SHA-1 certificate:「One million SSL certificates still using “insecure” SHA-1 algorithm」。 雖然轉換速度算是很快了,不過本來依照進度,2015 年底瀏覽器就應該要把 SHA-1 certificate 認為不安全 (於是失效): 照目前速度,今年年底應該只能掉到 10% 左右吧...

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , | Leave a comment

Google 提議將 Chrome 對 HTTP 的連線標示成「不安全」icon

在「Google Proposes Marking ‘HTTP’ as Insecure in 2015」這邊看到 Google 提議將 Chrome 對 HTTP 連線標示成「不安全」:「Marking HTTP As Non-Secure」。 其中一個提案是設定三個時間 (T1、T2、T3),逐步改變對 HTTP 的標示: T0 (now): Non-secure origins unmarked T1: Non-secure origins marked as Dubious T2: Non-secure origins marked as Non-secure T3: Secure … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , | Leave a comment

網路上使用預設密碼的攝影機...

從「Website Peeps Into 73,000 Unsecured Security Cameras Via Default Passwords」看到的,有人掃過一輪後,把大約七萬多個攝影機的資料做成網站:「Online IP netsurveillance cameras of the world」。 隨便找一個台灣的:「73454」,網站速度不快,但看起來超歡樂的...

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , | Leave a comment

djb 的密碼學陰謀論

Daniel J. Bernstein (djb) 在巴西 H2HC 11 的的演講投影片:「Making sure crypto stays insecure」(PDF)。 對政府單位來說,並不樂見有安全的密碼系統。因為安全的密碼系統對於政府監控人民是個麻煩。 如果十年前拿出來講,可能大多數人會覺得投影片裡面的內容太過於「被害妄想」,但經過 Edward Snowden 的努力後,被證實政府完全站在人民的反面。 在演算法裡面藏後門 (經典的 Dual_EC_DRBG);干擾標準的制定,讓實做變得複雜,於是就會變得難以正確實做;在標準裡面故意低估安全威脅 (尤其是 timing attack 類);放出過時消息宣稱加密的成本很高 (指時間成本)。 這種種事情的透漏,甚至讓小說作者 cancel 掉小說的續集 (第三集),因為他發現他要寫的故事內容 NSA 都已經做過了:「Sci-fi Author Charles Stross Cancels Trilogy: the NSA Is Already … Continue reading

Posted in Computer, Murmuring, Political, Security | Tagged , , , , | 1 Comment