Tag Archives: issue

cURL 接下來的安全性更新...

cURL 的維護老大放話要大家注意接下來的安全性更新:「An alert on the upcoming 7.51.0 release」。 最少 11 個安全性更新: This release will bundle no less than _eleven_ security advisories and their associated fixes (unless we get more reported in the time we have left). 由於這些 security issue 的特性,會採取不公開的 … Continue reading

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , , , , | Leave a comment

Libgcrypt 與 GnuPG 的安全性問題

在「Security fixes for Libgcrypt and GnuPG 1.4 [CVE-2016-6316]」這邊看到這個歷史悠久的 bug: Felix Dörre and Vladimir Klebanov from the Karlsruhe Institute of Technology found a bug in the mixing functions of Libgcrypt's random number generator: An attacker who obtains 4640 bits from the … Continue reading

Posted in Computer, Murmuring, Security, Software | Tagged , , , , , , , , , , , | Leave a comment

Facebook 上貼的所有的連結都是公開的

tl;dr:Facebook 認為這個功能是 feature,不是 bug。 在「Why you shouldn’t share links on Facebook」這邊作者發現在 Facebook 上貼的「任何一個連結」都會產生 object id,而任何一個 object id 都可以直接取得 url,無論權限設定,像是這樣: 而 Facebook 認定這是 feature 而非 bug: 可以想像 NSA 之類的單位與地下組織開始狂掃...

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , | 1 Comment

LinkedIn 在 2012 年的密碼外洩比想像中嚴重,超過一億筆帳號密碼洩漏

在「Another Day, Another Hack: 117 Million LinkedIn Emails And Passwords」這邊看到 LinkedIn 在 2012 年的帳號密碼外洩情況比想像中嚴重許多,當時大家認為只有 650 萬筆資料洩漏,但實際上在 2016 年的現在被確認有 1.17 億筆。 官方也確認 2016 的這份洩漏是正確的,兩份公告在: An Update on LinkedIn Member Passwords Compromised (2012) Protecting Our Members (2016) 很多人都收到 password reset 信件了...

Posted in Computer, Murmuring, Network, Security, Social, WWW | Tagged , , , , , , | Leave a comment

GitHub 加上 +1 與 -1 功能 (順便加上表情符號)

這是回應之前社群對 GitHub 的請願 (or 抱怨?) 而生的新功能,(參考先前的文章「GitHub 對 Open Source Community 請願的回應」):「Add Reactions to Pull Requests, Issues, and Comments」。 這避免了在討論時大量的 +1 與導致混亂的情況。

Posted in Computer, Murmuring, Network, Programming | Tagged , , , , , , , , | Leave a comment

IPv6 表示法的包袱

IPv6 address 表示法的確有不少問題,說「包袱」是因為應該是很難改了。 在「The IPv6 Numeric IP Format is a Serious Usability Problem」這篇文章裡作者討論 IPv6 address 表示法的問題,像是因為用 colon 切割造會跟 url 裡的 port 混淆,於是引入了 bracket 的 workaround: An IPv4 URL of the form http://127.0.0.1:1234/ indicates that HTTP should be used to access … Continue reading

Posted in Computer, Murmuring, Network | Tagged , , , , , , | 2 Comments

GitHub 對 Open Source Community 請願的回應

大約一個多月前 (2016 年一月 15 日),一群用 GitHub 發展 Open Source 軟體的人對 GitHub 提出請願,要求重視 Open Source Community 在 GitHub 平台上遇到的問題:「An open letter to GitHub from the maintainers of open source projects」。 這個請願在卡了將近一個月後,陸陸續續有相當多要搬出 GitHub 的討論,像是 eslint 就直接在 GitHub 開了 issue,討論搬出 GitHub 會遇到的問題以及可能的解決方法:「Investigate switching … Continue reading

Posted in Computer, Murmuring, Network, Programming, Social | Tagged , , , , , , , , , , | 1 Comment

CVE-2015-7547:getaddrinfo() 的 RCE (Remote Code Execution) 慘案

Google 寫了一篇關於 CVE-2015-7547 的安全性問題:「CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow」。 Google 的工程師在找 OpenSSH 連到某台特定主機就會 segfault 的通靈過程中,發現問題不在 OpenSSH,而是在更底層的 glibc 導致 segfault: Recently a Google engineer noticed that their SSH client segfaulted every time they tried to connect to a specific host. That … Continue reading

Posted in Computer, DNS, Linux, Murmuring, Network, OS, Security, Software | Tagged , , , , , , , , , , , , , , , , , , , , | Leave a comment

Adobe 的 Typekit 推廣 HTTPS only

Adobe 的 Typekit 宣佈之後的 embed code 預設就會是 HTTPS only:「Font loading update: All HTTPS, all the time」。 主要的原因是出自於最近發現的安全問題,攻擊者可以藉由字型處理的 security issue 攻擊,而導入 HTTPS 後可以降低這部分的風險: We’ve made this change as a response to the recent vulnerabilities and exploits in the OpenType and TrueType … Continue reading

Posted in CDN, Cloud, Computer, Murmuring, Network, Security | Tagged , , , , , , , , , , | Leave a comment

Noto 的逗點問題

Noto 的逗點問題。 Plurk 上查到的 http://www.plurk.com/p/k7pya8 (pingooo),在 GitHub 上已經修正,也就是下一個版本就會更新:「The `U+FF0C FULLWIDTH COMMA` (,) is visually unaligned in Source Han Sans TWHK」。

Posted in Computer, Murmuring | Tagged , , , , , | Leave a comment