Tag Archives: privacy

就算關掉 Google 的定位服務也還是會蒐集位置資訊...

就如標題所寫的,Quartz 獨家刊出來的新聞,即使你關掉 Google 的定位服務,Google 還是會蒐集你的位置 (而且跟 Google 發言人確認後也證實):「Google collects Android users’ locations even when location services are disabled」。 而且是全背景作業,在你沒有開定位服務,沒有插 SIM 卡,也沒有跑任何 app,他就會將定位資訊傳出去: Many people realize that smartphones track their locations. But what if you actively turn off location services, haven’t … Continue reading

Posted in Computer, Murmuring, Network, Privacy, Security, Service|Tagged , , , , , , , , , , , |2 Comments

StartCom 決定關門

在 Hacker News 上看到 StartCom 決定關門的消息:「Termination of the certificates business of Startcom」。 2018 停發新的憑證,然後維護兩年 CRL 與 OCSP 服務: We´ll set January 1st 2018 as the termination date and will stop issuing certificates therefrom. We will maintain our CRL and OCSP … Continue reading

Posted in Computer, Murmuring, Network, Privacy, Security, Service|Tagged , , , , , , , , , , |Leave a comment

新的 DNS Resolver:9.9.9.9

看到新的 DNS Resolver 服務,也拿到了還不錯的 IP address,9.9.9.9:「New “Quad9” DNS service blocks malicious domains for everyone」,服務網站是「Quad 9 | Internet Security and Privacy in a Few Easy Steps」,主打宣稱過濾已知的危險站台... 由政府單位、IBM 以及 Packet Clearing House 成立的: The Global Cyber Alliance (GCA)—an organization founded by law … Continue reading

Posted in CDN, Cloud, Computer, DNS, Murmuring, Network, Privacy, Security, Service, WWW|Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , |Leave a comment

各家 Session Replay 服務對個資的處理

Session Replay 指的是重播將使用者的行為錄下來重播,市面上有很多這樣的服務,像是 User Replay 或是 SessionCam。 這篇文章就是在討論這些服務在處理個資時的方式,像是信用卡卡號的內容,或是密碼的內容,這些不應該被記錄下來的資料是怎麼被處理的:「No boundaries: Exfiltration of personal data by session-replay scripts」,主要的重點在這張圖: 後面有提到目前防禦的情況,看起來目前用 adblock 類的軟體可以擋掉一些服務,但不是全部的都在列表裡。而 DNT 則是裝飾品沒人鳥過: Two commonly used ad-blocking lists EasyList and EasyPrivacy do not block FullStory, Smartlook, or UserReplay scripts. EasyPrivacy has filter … Continue reading

Posted in Computer, Murmuring, Network, Privacy, Security, Service, WWW|Tagged , , , , , , , , , , , , |Leave a comment

掃網域下主機名稱的方式...

原文是講滲透測試的前置作業,需要將某個特定 domain 下的主機名稱掃出來:「A penetration tester’s guide to sub-domain enumeration」。 最直接的還是 DNS zone transfer (AXFR),如果管理者沒設好 DNS server 的話,這會是最快的方式。當沒有這個方法時就要用各種其他方式來掃了。 看了一下有幾種方式: 透過各種第三方記錄撈:用 Google 以及 Bing 的 site: 指令過濾;用 VirusTotal 列;翻 Certificate Transparency 記錄;透過 ASN 資訊;透過 Forward DNS。 程式類的 DNS query:用 DNSRecon;Altdns 其他:透過 NSEC … Continue reading

Posted in Computer, DNS, Murmuring, Network, Privacy, Search Engine, Security, Service, Software|Tagged , , , , , , , , , , , , , , , , , , , , , , , , |Leave a comment

Firefox 計劃性的將 Tor Browser 提供的隱私保護移植回 Firefox 瀏覽器上

Tor Browser 是個基於 Firefox 改出來的瀏覽器,將 Tor 包進去,讓使用者可以很方便的直接透過 Tor 上網,不需要另外再安裝其他程式。 在 Twitter 上看到 The Tor Project 的這則 tweet,提到 Tor Browser 阻擋 Canvas Fingerprinting 的功能將被移植回 Firefox: Another privacy-preserving feature from Tor Browser is being added to @firefox! It'll block canvas fingerprinting ❌ … Continue reading

Posted in Browser, Computer, Firefox, Murmuring, Network, Privacy, Security, Software, WWW|Tagged , , , , , , |Leave a comment

Let's Encrypt 的 Embed SCT 支援

翻到 Let's Encrypt 的 Upcoming Features 時看到: Embed SCT receipts in certificates ETA: February, 2018 對 Embed SCT 不熟,所以查了查這個功能。 這指的是在簽發 SSL certficiate 後,把資料丟給 Certificate Transparency (CT) 伺服器後,伺服器會提供 signed certificate timestamp (SCT);而這個資料放到 SSL certificate 內叫做 Embed SCT:(出自 CT 的 FAQ) What … Continue reading

Posted in Browser, Computer, DNS, GoogleChrome, Murmuring, Network, Privacy, Security, Service, Software, WWW|Tagged , , , , , , , , , , , , , , , , , , , |Leave a comment

Chromium 內提案移除 HPKP (HTTP Public Key Pinning)

Twitter 上看到這則 tweet,提到要移除 HPKP (HTTP Public Key Pinning): Intent To Deprecate And Remove: Public Key Pinning (in Chromium) https://t.co/agS3fll7eR — Adam Langley (@agl__) October 27, 2017 blink-dev 上的討論可以參考「Intent To Deprecate And Remove: Public Key Pinning」(就是上面那個連結,只是拉出來)。 這個提案大概可以推敲出理由... 目前的作法必須寫進瀏覽器內,這樣明顯會有 scale 問題,而且這個作法本身就很 workaround,只能保護所謂「高價值」的 … Continue reading

Posted in Browser, Computer, DNS, GoogleChrome, Network, Security, Software, WWW|Tagged , , , , , , , , , , , , , , , , , , , |2 Comments

紐約時報網站上 Tor 的 Hidden Service (i.e. Tor Onion Service)

紐約時報官方把整個站台放到 Tor 的 Hidden Service 上了:「The New York Times is Now Available as a Tor Onion Service」。 而且也買了 SSL certficiate: The address for our Onion Service is: https://www.nytimes3xbfgragh.onion/ 讓所有人想看到的人都有辦法看到是紐約時報的目標,所以就推出了許多不一樣的方式讓使用者可以看到內容... The Times is dedicated to delivering quality, independent journalism, and our … Continue reading

Posted in Computer, Murmuring, Network, P2P, Privacy, Security, Service, Social, WWW|Tagged , , , , , , , , , , |1 Comment

Google Cloud Platform 的 DLP API

在「New ways to manage sensitive data with the Data Loss Prevention API」這邊提到三月的時候就推出了 DLP API (在「Discover and redact sensitive data with the Data Loss Prevention API」這邊提到的),不過沒什麼印象: The Data Loss Prevention (DLP) API, which went beta in March, can help you quickly … Continue reading

Posted in Cloud, Computer, GCP, Murmuring, Network, Privacy, Security, Service, Social|Tagged , , , , , , , , , , |Leave a comment