man – Gea-Suan Lin's BLOG

man 的復活節彩蛋

有人在 Unix & Linux Stack Exchange 上抱怨他的自動化測試在清晨會爛掉，但其他時間都好的：「Why does man print “gimme gimme gimme” at 00:30?」。

We've noticed that some of our automatic tests fail when they run at 00:30 but work fine the rest of the day. They fail with the message "gimme gimme gimme" in stderr, which wasn't expected. Why are we getting this output?

然後兇手跟作者都自己跑來出來說明 & 修正了 XDD

該 tweet 出自：

Dear @colmmacuait, I think that if you type "man" at 0001 hours it should print "gimme gimme gimme". #abba
— Marnanel Thurman (@marnanel) November 4, 2011

最近 man 怎麼這麼紅啊 XDDD (像是「10 Year Old Root Exploit Found in 'man' Command」)，你們這些人不要亂搞啊 XDDD 這樣很吃大家通靈的時間啊 XDDD

重設密碼 + Social Engineering

在「The password reset MitM attack」這邊看到 PRMitM (Password Reset Man-in-the-Middle) 這樣的攻擊，原始論文在「The Password Reset MitM Attack」這邊可以取得。

用圖說明基本版的攻擊方式：

另外列出了各大站台的狀態：

以及各家簡訊的文字，可以發現不是每一家都有把產品的名稱寫上去：

這方法好有趣啊... XD

用人力就可以達到離心機的效果...

看到「This Human-Powered Paper Centrifuge Is Pure Genius」這個設計真的很巧妙... 全文刊登在 nature biomedical engineering 上：「Hand-powered ultralow-cost paper centrifuge」。

起源來自於小時候的玩具 (我也有印象，但忘記中文叫什麼了...)：

Here, we report an ultralow-cost (20 cents), lightweight (2 g), human-powered paper centrifuge (which we name ‘paperfuge’) designed on the basis of a theoretical model inspired by the fundamental mechanics of an ancient whirligig (or buzzer toy; 3,300 BC).

研究後發現離心速度可以到 125000rpm：

The paperfuge achieves speeds of 125,000 r.p.m. (and equivalent centrifugal forces of 30,000 g), with theoretical limits predicting 1,000,000 r.p.m.

對於無法買昂貴醫療器材的地區，這樣就有簡單但又頗有效的離心機做檢驗...

英國計畫在 2018 年開始強制企業公佈男女的平均薪資及 Bonus

英國計畫從 2018 年開始，超過 250 人的公司必須公佈男女的平均薪資及 Bonus：「Companies will be forced to reveal their gender pay gap」：

The new rules, revealed on Friday, will apply to all companies with more than 250 employees.

除了平均薪資以及 bonus 外，還必須公開每個區間的人數：

In addition to publishing their average gender pay and bonus gap, around 8,000 employers across the country will also have to publish the number of men and women in each pay range.

目標是希望讓資訊更透明讓人力市場更健康：

The government is hoping that naming and shaming firms that pay women a lot less than men in the same jobs will push them to stop the practice, because it will make it harder for them to attract top talent.

可以看到目前估算出來的差異：

另外美國也在規劃類似的法案，不僅僅是性別，還包括了種族等其他資訊：

In the U.S., similar plans are also under discussions. President Obama announced a proposal earlier this month that would require companies with more than 100 employees to report how much they are paying their employees by race, ethnicity and gender.

法國政府 ANSSI 偽造 Google 的 SSL 憑證被抓到...

Google 在 Google Chrome 裡面有放一段 SSL 白名單 (transport_security_state_static.json)，針對某些特定 domain 只允許特定的 CA 所發出來的 SSL 憑證，另外當發現異常時也會回報。

這個機制可以保證在白名單內的網域比較不容易被 CA 搞到。

前幾天 Google 偵測到法國政府 ANSSI 的一個中介憑證發行單位 (Intermediate certificate authorities) 發出 Google 所擁有網域的 SSL 憑證：「Further improving digital certificate security」。

這也是繼一年前 TURKTRUST 發出的 *.google.com 以來再次被這個機制抓到的案例：「這次 TURKTRUST 誤發 *.google.com SSL 憑證...」。

同時，這也是首次政府機關相關的 CA 搞 MITMA (Man-in-the-middle attack)。

ANSSI 官方的說法是「誤發」：「Revocation of an IGC/A branch」，不過可信度... XD

Google 後來在 12/12 再次更新公告文章，決定把 ANSSI 的 CA 信任範圍限縮到法國相關的網域，共 13 個。(*.fr、*.gp、*.gf、...)

另外可以參考 Mozilla 在收到 Google 通知後的公告：「Revoking Trust in one ANSSI Certificate」。