Tag Archives: privacy

對 Open Data 的攻擊手段

前陣子看到的「Membership Inference Attacks against Machine Learning Models」,裡面試著做到的攻擊手法: [G]iven a data record and black-box access to a model, determine if the record was in the model's training dataset. 也就是拿到一組 Open Data 的存取權限,然後發展一套方法判斷某筆資料是否在裡面。而驗證攻擊的手法當然就是直接攻擊看效果: We empirically evaluate our inference techniques on classification models … Continue reading

Posted in Computer, Murmuring, Privacy, Programming, Search Engine, Security | Tagged , , , , , , , , , , | 1 Comment

Amazon Route 53 將會加緊支援 DNS CAA

看到 Amazon Route 53 要支援 DNS CAA 的消息:「Announcement: Announcement: CAA Record Support Coming Soon」。 裡面有提到 CA/Browser Forum 的決議,要求各瀏覽器支援 DNS CAA: On March 8, 2017, the Certification Authority and Browser Forum (CA/Browser Forum) mandated that by September 8, 2017, CA’s are … Continue reading

Posted in AWS, Cloud, Computer, DNS, Murmuring, Network, Security | Tagged , , , , , , , , , , , , , | Leave a comment

Google Chrome 對 WoSign 與 StartCom 的白名單要完全移除了

在 Twitter 上看到的: Chrome will fully distrust WoSign and StartCom in Chrome 61; beta in July, stable in September. https://t.co/5fnda6aUQw — Ivan Ristic (@ivanristic) July 7, 2017 對 WoSign 與 StartCom 的移除會發生在 61 版,而依照「Final removal of trust in WoSign and … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Service, Software, WWW | Tagged , , , , , , , , , , , | Leave a comment

Let's Encrypt 決定要規劃 Wildcard SSL Certificate 了

Let's Encrypt 把時間表喊出來了,預定在 2018 年年初開放使用:「Wildcard Certificates Coming January 2018」。 Wildcard SSL Certificate 會需要走新的 ACME v2 協定認證: Wildcard certificates will be offered free of charge via our upcoming ACME v2 API endpoint. We will initially only support base domain validation via … Continue reading

Posted in Computer, Murmuring, Network, Privacy, Security, Service | Tagged , , , , , , , , , , , , | Leave a comment

Alexa Top 1M 網站使用 HTTPS 的改善

Mozilla 觀測 Alexa Top 1M 網站,對 HTTPS 使用情況的分析:「Analysis of the Alexa Top 1M sites」。 可以看到比較明顯的是 HTTPS 以及 HTTP → HTTPS Redirection 這兩塊: 不過用 Alexa 的資料有種怪怪的感覺啊... 在討論 HTTPS (有點在推廣的感覺),但 Alexa 的網站現在是做反過來的 HTTPS → HTTP Redirection XDDD

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , | Leave a comment

Let's Encrypt 發出第一億個 SSL Certificate

Let's Encrypt 發文慶祝發出了一億個 SSL Certificate:「Milestone: 100 Million Certificates Issued」。 雖然是 Firefox 的資料,但還是很明顯可以看出來全世界都在往 HTTPS 走: 不知道會用多少時間衝到十億...

Posted in Computer, Murmuring, Network, Security, Service, WWW | Tagged , , , , , , | Leave a comment

Tails 3.0 出了,然後又開始提供 BitTorrent 下載了...

Tails 是個 Tor 的獨立環境,可以直接用 USB 開機或是透過虛擬機上線,避免受到其他干擾而洩漏資訊。 剛剛看到了 Tails 發佈 3.0 版的消息:「Tails 3.0 is out」,比較特別的是在下載頁面發現 BitTorrent 的下載方式又被放回去了。 前陣子本來在「BitTorrent 對 SHA-1 的改善計畫?」這邊有提到 Tails 的團隊因應 SHA-1 的問題,在討論是否要繼續提供 BitTorrent 的問題 (因為 BitTorrent 裡使用 SHA-1 做很多事情),當時的決議其實是暫時使用 BitTorrent 發佈:「Biterrant attack」。 不過後續的更新這樣寫,所以看起來暫時會先恢復 BitTorrent 下載的方式: After reading this … Continue reading

Posted in Computer, Murmuring, Network, P2P, Privacy, Security, Software | Tagged , , , , , , , , , , , | 1 Comment

nginx 記錄 TLS 連線資訊

想要在 nginx 的 access log 裡面記錄使用者在 HTTPS 連線使用的 TLS protocol 與 cipher。 在「How can I let nginx log the used SSL/TLS protocol and ciphersuite?」這邊有提到方向是 $ssl_protocol 與 $ssl_cipher (出自「Module ngx_http_ssl_module」內的 Embedded Variables 章節)。 他的方式是在前面就插入 protocol,但我希望前面的欄位保持不變,把 protocol & cipher 放到後面,所以我就加了一個 /etc/nginx/conf.d/combined_ssl.conf (這邊我用 … Continue reading

Posted in Computer, Murmuring, Network, Security, Service, Software, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

iOS 11 將 Location 的主權交還給使用者

在 Hacker News Daily 上看到這則 tweet,說 iOS 11 將會把 Location 的主權交還給使用者控制: iOS 11 Privacy Updates: 2. Location “While Using” is now ALWAYS an option for users. (It’s about time!)https://t.co/QW5lkGnWE9 — Tinfoil 2.0 😱 (@tfoil2) June 6, 2017 查了對應的一些網站,可以看到好幾個站台都有介紹這一點:「iOS 11 Users … Continue reading

Posted in Computer, Murmuring, Network, Privacy, Security, Software | Tagged , , , , , , , , , , | Leave a comment

Web Cache Deception Attack

在「How (Not) to Control Your CDN」這邊看到了「Web Cache Deception Attack」這個攻擊方式。 攻擊的手法是利用網站會把 /user/personal-info/foo.css 與 /user/personal-info 視為一樣的內容時,配合 CDN 或是 reverse proxy server 會把 .css 設定無差異 cache 時,就可以在 cache server (cache edge) 取得使用者的敏感資料。 這主要是 url routing 的條件放太寬造成的。 另外 Mark Nottingham 還建議 cache 應該在 origin … Continue reading

Posted in CDN, Computer, CSS, Murmuring, Network, Security, Service, WWW | Tagged , , , , , , , , , , , , | Leave a comment