Tag Archives: policy

利用上傳的檔案跳過 CSP 限制

用 CSP 可以做到一些簡單的保護機制,但在設計不良的情況下還是有辦法繞過。 這次是上傳合法的 JPEG 檔案,但當作 javascript 檔案繞過去:「Bypassing CSP using polyglot JPEGs」。 開頭的「FF D8 FF E0」可以在「List of file signatures」這邊看到是「JPEG raw or in the JFIF or Exif file format」,而這四個字元在 javascript 不會出問題。接下來的「2F 2A」表示 JPEG header 長度,剛好就是「/*」,把後面的東西給包起來,後面再用類似的方式一直組合就打穿了... 這種攻擊要跳過的是「用 CSP 的 self 限制不能引用外部網站 javascript」的限制,但還是有些前提: … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , | Leave a comment

Mozilla 也在考慮對 Certificate Transparency 的掌握度

由於 Firefox 要支援 Certificate Transparency 的緣故,在「Mozilla CT Policy」這邊 Mozilla 在討論要建立自己的 CT policy 以及自己的架構: CT is coming to Firefox. As part of that, Mozilla needs to have a set of CT policies surrounding how that will work. Like our root inclusion … Continue reading

Posted in Browser, Computer, Firefox, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

Mozilla 對 WoSign + StartCom 的正式處分

Mozilla 對 WoSign + StartCom 的不信任處分出爐了:「Distrusting New WoSign and StartCom Certificates」,最後處分的內容跟之前的討論差不多 (參考先前寫的「Mozilla 對於 WoSign + StartCom 根憑證的新發展:拔除」)。 Mozilla 台灣有放出中文版的說明 (差不多就是英文翻譯的版本):「取消對 WoSign 與 StartCom 新簽發憑證的信任」。 這次比較麻煩的地方在於要信任已經發出的 certificate,而且量太大無法窮舉。所以必須改增加程式碼處理,而這個方法無法對使用 Mozilla CA Certificate Store 的人生效 (因為這包套件只是一堆 pem 檔案,沒辦法放特殊的邏輯進去...) 另外現在 Firefox 是 49 版,要到 51 … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , , , | Leave a comment

在 Google Chrome 連上因 HSTS 而無法連線的網站

像是把 StartCom 停用掉後造成 www.kernel.org 無法連線的問題: 前幾天在 Twitter 上看到解法: Chrome的神秘功能……遇到因为安全原因禁止进入的网站,在那个提示页面输入“badidea”(不含引号)就能进入了…… — Xidorn Quan (@upsuper) September 11, 2016 說道 StartCom,StartCom 與 WoSign 的故事才剛要開始,前陣子在「Mozilla 在考慮移除 WoSign 的 CA Root」這邊提到的問題,最近 mailing list 上越來愈刺激了。(發現更多沒有通報的問題) 另外也發現 StartCom 被 WoSign (的 CEO) 買下來了,當初因為「Why I stopped using StartSSL … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Political, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

強迫要求使用者改密碼反而會不安全?

在「Want Safer Passwords? Don't Change Them So Often」這邊在討論改目前 password policy 會有要求一定時間要改密碼造成的問題。原報導出自 美國聯邦貿易委員會 blog 上的「Time to rethink mandatory password changes」。 當你強制要求改密碼時,由於因為是被逼的,他們不會放太多心力: Lorrie Cranor recently outlined, the weight of recent research agrees that when people are forced to change their passwords on … Continue reading

Posted in Computer, Murmuring, Science, Security | Tagged , , , , , | Leave a comment

Mozilla 的人提出討論,把 Debian 上的 Iceweasel 改名回 Firefox

2006 年時因為 Mozilla 的人認為 Debian 改了太多東西 (以及其他原因),不應該使用 Mozilla Firefox 這個帶有商標的名稱,要求 Debian 改名 (事情的經過可以參考維基百科上的「Mozilla software rebranded by Debian」條目)。 而在九年後,最近 Mozilla 的人在 Debian 上開了一個 bug report,討論是否還需要維持 Iceweasel 這個名字:「#815006 - Renaming Iceweasel to Firefox」。 Debian 這邊的人也提出了很多不一樣的意見 (尤其是對 Mozilla 的商標使用規範),目前還在爭論...

Posted in Browser, Computer, Firefox, Murmuring, Network, Software, WWW | Tagged , , , , , , , | Leave a comment

PCI DSS 的更新:PCI DSS 3.1

PCI DSS 3.1 出了:「PCI COUNCIL PUBLISHES REVISION TO PCI DATA SECURITY STANDARD — PCI DSS 3.1 and supporting guidance helps organizations address vulnerabilities within SSL protocol that put payment data at risk; PA-DSS revision to follow —」(PDF)。 與 3.0 相比,修正了 … Continue reading

Posted in Computer, Murmuring, Network, Security | Tagged , , , , , , , , , , , , | Leave a comment

Google 的 Project Zero 修正 Policy

在之前受到批評後,Google 的 Project Zero 修正了對應的 Policy:「Feedback and data-driven updates to Google’s disclosure policy」。 原先的 Policy 是 90 天強制公開,修正的 Policy 有幾個改善: 如果揭露日是週末或是美國的假日,會順延到下一個工作日。 如果原廠有告知需要更多時間修復,Project Zero 會延長 14 天的寬限期。 在公開前會申請對應的 CVE 號碼。

Posted in Computer, Murmuring, Security | Tagged , , , , | Leave a comment

要瀏覽器不要送出 Referrer 的 Referrer Policy

在讀「The No CAPTCHA problem」這篇的時候看到的:「Referrer Policy」。 <meta name="referrer" content="never"> 目前正式版本的瀏覽器中,只有 Google Chrome 有支援,而其他瀏覽器正在開發,像是 Firefox 上個月才進 trunk:「Bug 704320 - Implement <meta name="referrer">」,預定在 36 版才會納入 (目前是 34)。 還蠻新的 HTML5 標準 (還在制定),可以來定期追進度...

Posted in Browser, Computer, Firefox, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , | Leave a comment

CSP (Content Security Policy)

在 Twitter 上看到 Dan Kaminsky 的 retweet: Awesome deck on practical aspects of CSP from @ndm https://t.co/fKS4a6RrIr — hillbrad⚡ (@hillbrad) September 12, 2014 開頭的幾篇就列出不少 CSP 常見的情況,並且說明 CSP 應該要在軟體開發時就引入: 另外提到的 CSP Level 2 也是個很有趣的觀念,像是 nonce: 以及 hash: 不過 Level 2 目前還在 … Continue reading

Posted in Browser, Computer, Murmuring, Network, Programming, Security, Software, WWW | Tagged , , , | Leave a comment