Tag Archives: privacy

又是 ImageMagick 出包...

ImageMagick 的 information leaking,然後 Yahoo! 很無奈的中獎,然後被稱為 Yahoobleed:「Yahoo! retires! bleeding! ImageMagick! to! kill! 0-day! vulnerability!」。發現問題的作者把問題寫在「*bleed continues: 18 byte file, $14k bounty, for leaking private Yahoo! Mail images」這邊。 作者利用 ImageMagick 的不當處理,取得 uninitialized memory 的資訊,藉以取得可能是上次轉檔的記憶體內容。而這個 jpeg 只有 18bytes (所以作者戲稱每個 byte 價值 USD$778): A … Continue reading

Posted in Computer, Library, Mail, Murmuring, Network, Security, Software | Tagged , , , , , , , , , , , , | Leave a comment

IE 與 Edge 推出更新,阻擋 SHA-1 憑證

微軟這幾天推出更新,IE 與 Edge 將不會接受 SHA-1 憑證:「Microsoft Makes it Official, Cuts off SHA-1 Support in IE, Edge」。微軟的公告則是在「Deprecation of SHA-1 for SSL/TLS Certificates in Microsoft Edge and Internet Explorer 11」這邊。 根憑證不受影響 (所以企業自己產生的 Root CA 也不受影響): Beginning May 9, 2017, Microsoft released updates … Continue reading

Posted in Browser, Computer, IE, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , | Leave a comment

OpenSSL 1.1.1 將支援 TLS 1.3

OpenSSL 的文章「Using TLS1.3 With OpenSSL」提到了: The forthcoming OpenSSL 1.1.1 release will include support for TLSv1.3. 另外也提到了 TLS 1.3 的標準是 blocker,在 TLS 1.3 沒出來前不會出 OpenSSL 1.1.1: OpenSSL 1.1.1 will not be released until (at least) TLSv1.3 is finalised. OpenSSL 實做的 TLS … Continue reading

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , | Leave a comment

肥大的 DISQUS

在「Replacing Disqus with Github Comments」這邊看到作者抱怨 DISQUS 的肥大,然後作者自己寫了一個用 GitHub 當後端的 comment system XDDD 先看沒有 DISQUS 的: 然後把 DISQUS 掛進來 XDDD:(不得不說 uBlock Origin 與 Disconnect 是你的好朋友...)

Posted in Computer, Murmuring, Network, Programming, Security, Social, Software, WWW | Tagged , , , , , , | Leave a comment

Bose 販賣用戶隱私被告

Unroll 在旁邊燒的時候 (參考 Uber 戰火蔓延到 Unroll),Bose 也不甘寂寞決定跟上科技業的潮流:「Bose headphones spy on listeners: lawsuit」。 Bose 直接將他們 app 收集到的資訊拿出來賣: Bose Corp spies on its wireless headphone customers by using an app that tracks the music, podcasts and other audio they listen to, and … Continue reading

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , , , , , , , , , | 1 Comment

Uber 戰火蔓延到 Unroll

最近 Uber 的 CEO 被 Tim Cook 叫去喝咖啡的事情被報導出來:「Uber’s C.E.O. Plays With Fire」,裡面提到了 Uber 試著要「辨別」使用者的 iPhone,而這違反蘋果的政策: To halt the activity, Uber engineers assigned a persistent identity to iPhones with a small piece of code, a practice called “fingerprinting.” Uber could then … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security, Software | Tagged , , , , , , , | 1 Comment

在 F5 設備上使用 Let's Encrypt 憑證

找資料的時候翻到 F5 官方有給一篇導引,介紹如何自動化 Let's Encrypt 的憑證:「Lightboard Lessons: Automating SSL on BIG-IP with Let's Encrypt!」。 在 F5 的 GitHub 上也有一包「f5devcentral/lets-encrypt-python」可以看看。 還沒仔細看 & 測試,但大概有些輪廓了。看起來要考慮到裡面用的 letsencrypt.sh 已經改名成 dehydrated,另外就是實際測試了... 其實憑證貴的不是費用,是跑採購流程的成本... 單 domain 的如果可以用 Let's Encrypt 解決的話會可以省下不少功夫。

Posted in Computer, Hardware, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , | Leave a comment

Netflix 的 BetterTLS,推廣 CA 的 Name Constraints

Netflix 因為想用 Name Constraints,所以決定自己跳出來推廣了:「BetterTLS - A Name Constraints test suite for HTTPS clients」。 就是在 CA 上可以綁定條件,只允許哪些 domain 可以被發放: 網站在「BetterTLS: Name Constraints」這邊可以看。

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , , , , | Leave a comment

利用 Side-channel 資訊判斷被 HTTPS 保護的 Netflix 影片資訊

在「Netflix found to leak information on HTTPS-protected videos」這篇看到了研究員透過 VBR 所透露出的 side channel 資訊,成功的取得了被 HTTPS 保護的 Netflix 影片資訊。這對於美國的 ISP 是個大利多 (加上之前通過的法案),但對於個人隱私則是嚴重的打擊。 這項研究的準確率非常高: To support our analysis, we created a fingerprint database comprised of 42,027 Netflix videos. Given this collection of fingerprints, … Continue reading

Posted in Computer, Movie, Murmuring, Network, Recreation, Security, Television | Tagged , , , , , , , , , , , , , , , | Leave a comment

關閉與開啟 Windows 10 內一堆侵犯與增強隱私的設定

DuckDuckGo 前陣子整理了一篇關於如何調整 Windows 10 的文章,洋洋灑灑列了十五條方式供使用者調整:「How To Protect Privacy On Windows 10」。 像是可以將無線網路的 MAC address 隨機化的方式就頗不錯: 然後有一堆要把資料送回 Microsoft 的...

Posted in Computer, Hardware, Murmuring, Network, OS, Security, Software, Windows | Tagged , , , , , , , , , | Leave a comment