Tag Archives: protocol

Tim Berners-Lee 拿下 2016 年 Turing Award

今年的 Turing Award 頒給了 Tim Berners-Lee: For inventing the World Wide Web, the first web browser, and the fundamental protocols and algorithms allowing the Web to scale. 終於啊...

Posted in Browser, Computer, Murmuring, Network, Science, Software, WWW | Tagged , , , , , , , , , , | Leave a comment

收 Wikimedia (包括維基百科) 的 Recent Changes

所以有新的 streaming protocol 取代本來的 RCStream:「Get live updates to Wikimedia projects with EventStreams」。 這次新的 protocol 是走標準協定: EventStreams is built on the w3c standard Server Sent Events (SSE). SSE is simply a streaming HTTP connection with event data in a particular text … Continue reading

Posted in CMS, Computer, Murmuring, Network, Programming, Wiki, WWW | Tagged , , , , , , , , , , , | Leave a comment

用 mRemoteNG 取代 PuTTY

由於架構的隔離政策,有些服務需要透過 VM 裡面的 Windows 存取,所以又花了點時間看看 PuTTY 到底有沒有改善下載問題,也就是 2014 年「Downloading Software Safely Is Nearly Impossible」這邊作者提到的問題 (之前在「如何安全下載軟體...」這篇有提過)。 而即時再過了兩年半,還是沒辦法確認你抓到的 PuTTY 是正確的,Let's Encrypt 還是沒上... 找了一些替代方案,看到 mRemoteNG 這個可以連多種不同 Protocol 的專案,應該會是解法,裝起來用了一陣子感覺還算 okay,之後應該會拿這個用:「mRemoteNG is the next generation of mRemote, open source, tabbed, multi-protocol, remote connections manager.」。 話說回來,找資料的時候發現「simon-git: … Continue reading

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , | 2 Comments

CloudFlare 放出可以同時支援 HTTP/2 與 SPDY 的 nginx patch

CloudFlare 放出可以同時支援 HTTP/2 與 SPDY 的 nginx patch:「Open sourcing our NGINX HTTP/2 + SPDY code」。 不過 patch 的版本有點舊: We've extracted our changes and they are available as a patch here. This patch should build cleanly against NGINX 1.9.7. 如同原文下面 comment … Continue reading

Posted in CDN, Computer, Murmuring, Network, Programming, Security, Software, WWW | Tagged , , , , , , , , , , , , | Leave a comment

Amazon 之前放出的 s2n 的安全性問題

Amazon 之前放 s2n 出來當作 TLS protocol 的方案,於是就有人摸出東西來:「Lucky Microseconds: A Timing Attack on Amazon's s2n Implementation of TLS」。 即使是經過外部資安檢證,仍然還是有找到問題。這次找到的問題是 timing attack 類在 CBC-mode 下的 plaintext recovery: At the time of its release, Amazon announced that s2n had undergone three external security … Continue reading

Posted in Computer, Network, Programming, Security, Software, WWW | Tagged , , , , , , , , , , , , , , , | 1 Comment

OCSP stapling

OCSP (Online Certificate Status Protocol) 是用來檢查 SSL certificate 是否被撤銷的方法。OCSP server 接受 HTTP POST 後,回答 client 這個 SSL certificate 是否仍然有效。 對於 client 來說,這主要有兩個問題: client 需要多花時間連到 OCSP server 確認。 隱私問題:OCSP server 會知道「這個使用者試著連到使用這個 SSL certificate」的資訊。 而對於 OCSP server 來說,這個方法的 scalability 很差,熱門的站台會產生大量的流量打進 OCSP server。 … Continue reading

Posted in Murmuring | Tagged , , , , , , , | Leave a comment

擋 Open Redirect 的問題...

Open Redirect 的問題可以參考: CWE-601: URL Redirection to Untrusted Site ('Open Redirect') Open redirect 這兩個連結。主要是要避免 phishing 的問題上。 一開始是以「只允許 / 開頭」為條件過濾,但 protocol-relative 的 //www.example.com 可以繞開。 如果變成「只允許 / 開頭,但不允許 // 開頭」,是不是就沒事了呢? 在「Evolution of Open Redirect Vulnerability.」這邊又看到新招:「/\www.example.com」。 想要用 parse_url() 檢查?沒問題: $ php -a Interactive … Continue reading

Posted in Browser, Computer, GoogleChrome, IE, Murmuring, Network, Programming, Security, WWW | Tagged , , , , , , | Leave a comment

WebFinger 協定

Finger 是個 1977 年發展的協定 (RFC 742 - NAME/FINGER,以及 1991 年的 RFC 1288 - The Finger User Information Protocol),現在幾乎廢棄不用了... 2013 年,基於 OpenID 協定的 WebFinger 出現了!而且是進入 Standards Track 狀態了:「WebFinger is now RFC 7033!」。 用了 OpenID 基礎以及 JSON 格式... 看起來 blog 可以先支援?至於其他的東西就還要再想想...

Posted in Computer, Murmuring, Network, WWW | Tagged , , , , , | Leave a comment

OCSP 是如何影響 HTTPS 的效率...

Netcraft 從 2012 年 11 月開始偵測 OCSP 的 availability,然後發現各家 OCSP 的穩定性都不太好:「Certificate revocation and the performance of OCSP」。 OCSP 是 Online Certificate Status Protocol 的縮寫,當 HTTPS 連線建立中,client 可以透過 OCSP 詢問這份 certificate 是否有效。這是 PKI 架構下的事後補救機制,因為已經發出去的簽名是無法被收回的,只好靠連線時再查詢。 另外一個機制比較舊,叫 CRL (Certificate Revocation List),則是屬於清單類的機制,更新速度比 OCSP 慢。 … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , | Leave a comment

Protocol Preserve URI 的過濾

雖然知道 //host.domain/path 這種 Relative Protocol 用法 (而且也用很久了),不過最近在 irc.perl.org 上的 #plack 剛好有人提到,再加上最近剛好有人在探討安全性問題:「Bypassing "RequestPolicy" Using Protocol Relative URLs」,剛好可以拿出來再說一次。 簡單來說就是「以 / 開頭的 URI 並非一定是 same origin,不可以以此當作 same origin 的判斷」。因為「//ajax.googleapis.com/ajax/libs/jquery/1.5.0/jquery.min.js」這種用法是正確的用法,表示保留 Protocol。 另外講些題外話,這個用法也還是有缺點,用在 IE 的 css 時會造成重複抓取 (到 IE9 都還是):「CSS files downloaded twice in Internet … Continue reading

Posted in Browser, Computer, IE, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , | Leave a comment