Tag Archives: policy

在 Google Chrome 連上因 HSTS 而無法連線的網站

像是把 StartCom 停用掉後造成 www.kernel.org 無法連線的問題: 前幾天在 Twitter 上看到解法: Chrome的神秘功能……遇到因为安全原因禁止进入的网站,在那个提示页面输入“badidea”(不含引号)就能进入了…… — Xidorn Quan (@upsuper) September 11, 2016 說道 StartCom,StartCom 與 WoSign 的故事才剛要開始,前陣子在「Mozilla 在考慮移除 WoSign 的 CA Root」這邊提到的問題,最近 mailing list 上越來愈刺激了。(發現更多沒有通報的問題) 另外也發現 StartCom 被 WoSign (的 CEO) 買下來了,當初因為「Why I stopped using StartSSL … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Political, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

強迫要求使用者改密碼反而會不安全?

在「Want Safer Passwords? Don't Change Them So Often」這邊在討論改目前 password policy 會有要求一定時間要改密碼造成的問題。原報導出自 美國聯邦貿易委員會 blog 上的「Time to rethink mandatory password changes」。 當你強制要求改密碼時,由於因為是被逼的,他們不會放太多心力: Lorrie Cranor recently outlined, the weight of recent research agrees that when people are forced to change their passwords on … Continue reading

Posted in Computer, Murmuring, Science, Security | Tagged , , , , , | Leave a comment

Mozilla 的人提出討論,把 Debian 上的 Iceweasel 改名回 Firefox

2006 年時因為 Mozilla 的人認為 Debian 改了太多東西 (以及其他原因),不應該使用 Mozilla Firefox 這個帶有商標的名稱,要求 Debian 改名 (事情的經過可以參考維基百科上的「Mozilla software rebranded by Debian」條目)。 而在九年後,最近 Mozilla 的人在 Debian 上開了一個 bug report,討論是否還需要維持 Iceweasel 這個名字:「#815006 - Renaming Iceweasel to Firefox」。 Debian 這邊的人也提出了很多不一樣的意見 (尤其是對 Mozilla 的商標使用規範),目前還在爭論...

Posted in Browser, Computer, Firefox, Murmuring, Network, Software, WWW | Tagged , , , , , , , | Leave a comment

PCI DSS 的更新:PCI DSS 3.1

PCI DSS 3.1 出了:「PCI COUNCIL PUBLISHES REVISION TO PCI DATA SECURITY STANDARD — PCI DSS 3.1 and supporting guidance helps organizations address vulnerabilities within SSL protocol that put payment data at risk; PA-DSS revision to follow —」(PDF)。 與 3.0 相比,修正了 … Continue reading

Posted in Computer, Murmuring, Network, Security | Tagged , , , , , , , , , , , , | Leave a comment

Google 的 Project Zero 修正 Policy

在之前受到批評後,Google 的 Project Zero 修正了對應的 Policy:「Feedback and data-driven updates to Google’s disclosure policy」。 原先的 Policy 是 90 天強制公開,修正的 Policy 有幾個改善: 如果揭露日是週末或是美國的假日,會順延到下一個工作日。 如果原廠有告知需要更多時間修復,Project Zero 會延長 14 天的寬限期。 在公開前會申請對應的 CVE 號碼。

Posted in Computer, Murmuring, Security | Tagged , , , , | Leave a comment

要瀏覽器不要送出 Referrer 的 Referrer Policy

在讀「The No CAPTCHA problem」這篇的時候看到的:「Referrer Policy」。 <meta name="referrer" content="never"> 目前正式版本的瀏覽器中,只有 Google Chrome 有支援,而其他瀏覽器正在開發,像是 Firefox 上個月才進 trunk:「Bug 704320 - Implement <meta name="referrer">」,預定在 36 版才會納入 (目前是 34)。 還蠻新的 HTML5 標準 (還在制定),可以來定期追進度...

Posted in Browser, Computer, Firefox, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , | Leave a comment

CSP (Content Security Policy)

在 Twitter 上看到 Dan Kaminsky 的 retweet: Awesome deck on practical aspects of CSP from @ndm https://t.co/fKS4a6RrIr — hillbrad⚡ (@hillbrad) September 12, 2014 開頭的幾篇就列出不少 CSP 常見的情況,並且說明 CSP 應該要在軟體開發時就引入: 另外提到的 CSP Level 2 也是個很有趣的觀念,像是 nonce: 以及 hash: 不過 Level 2 目前還在 … Continue reading

Posted in Browser, Computer, Murmuring, Network, Programming, Security, Software, WWW | Tagged , , , | Leave a comment

用 Content-Security-Policy 攻擊

在「When Security Generates Insecurity」這篇文章裡,介紹了如何利用 Content-Security-Policy 攻擊網站。 首先,我想要知道是不是有登入 Facebook 或是 Google: Interest piqued by the report-uri feature, I looked into abusing it to glean information about user state, my idea was this: when a user is not logged into Google Calendar, … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , | Leave a comment

AWS ELB 加強安全性...

AWS ELB 加強對 SSL 安全性的功能:「Elastic Load Balancing – Perfect Forward Secrecy and Other Security Enhancements」。 第一個是支援 PFS (Perfect Forward Secrecy),愈大多數的實做相同,是使用 ECDH。 第二個是 Server Order Preference,由 server 這邊決定最終的 cipher。 最重要的是第三個,也就是「懶人包」。推出新的 security policy ELBSecurityPolicy-2014-01,把上面兩個都設進去了。 這次的升級是對安全性的提昇...

Posted in AWS, Cloud, Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , , , , , , , , , , | Leave a comment

加州理工學院對於學術研究的公開公告

引用加州理工學院的「Caltech Announces Open Access Policy」開頭: On January 1, 2014, a new open-access policy for faculty's scholarly writings will take effect at the California Institute of Technology (Caltech). According to this policy, approved by the faculty at their June 10 meeting, … Continue reading

Posted in Murmuring, Science | Tagged , , , | Leave a comment