safari

Home » Posts tagged "safari"

WebKit 對 HSTS Super Cookie 提出的改法

Twitter 上看到 WebKit 對 HSTS 所產生的 Super Cookie 提出的改善方案：

How WebKit crumbles the "Super Cookie". https://t.co/iwOpjM8p9f
— WebKit (@webkit) March 16, 2018

拿原文的例子來說明，先指定一個隨機數給 user，像是 8396804 (二進位是 100000000010000000000100)，所以就存取下面的網址：

https://bit02.example.com
https://bit13.example.com
https://bit23.example.com

在存取這些 HTTPS 網址時都會指定 HSTS，所以之後連到這三個網址的 HTTP request 就不會觸發到 HTTP 版本，會因為 HSTS 被轉到 HTTPS 版本。於是就可以用 32 個 HTTP request 測試 32bits 而判斷出身份。(當然你可以用更多)

WebKit 提出的改善方案大概有幾種，主要是就觀察到的現象來限制。

第一種解法「Mitigation 1: Limit HSTS State to the Hostname, or the Top Level Domain + 1」是因為會看到這樣的設計：

https://a.a.a.a.a.a.a.a.a.a.a.a.a.example.com
https://a.a.a.a.a.a.a.a.a.a.a.a.example.com
https://a.a.a.a.a.a.a.a.a.a.a.example.com
https://a.a.a.a.a.a.a.a.a.a.example.com
https://a.a.a.a.a.a.a.a.a.example.com
https://a.a.a.a.a.a.a.a.example.com
https://a.a.a.a.a.a.a.example.com
…etc...

https://bit00.example.com
https://bit01.example.com
https://bit02.example.com
...etc...
https://bit64.example.com

所以提出的方案是只有目前網站的 domain 以及 top domain + 1 (像是 example.com) 可以被設定 HSTS：

Telemetry showed that attackers would set HSTS across a wide range of sub-domains at once. Because using HSTS in this way does not benefit legitimate use cases, but does facilitate tracking, we revised our network stack to only permit HSTS state to be set for the loaded hostname (e.g., “https://a.a.a.a.a.a.a.a.a.a.a.a.a.example.com”), or the Top Level Domain + 1 (TLD+1) (e.g., “https://example.com”).

但其實廣告主只需要註冊 32 domains (或是 64) 就可以避開這個問題。

第二種是「Mitigation 2: Ignore HSTS State for Subresource Requests to Blocked Domains」，如果在 HTTPS 頁面上，某個 domain 的 cookie 已經因為某些原因被阻擋 (像是手動設定)，那麼就忽略掉 HSTS 的設計：

We modified WebKit so that when an insecure third-party subresource load from a domain for which we block cookies (such as an invisible tracking pixel) had been upgraded to an authenticated connection because of dynamic HSTS, we ignore the HSTS upgrade request and just use the original URL. This causes HSTS super cookies to become a bit string consisting only of zeroes.

後面這點在現在因為 SEO 設計而使得各大網站都往 HTTPS 方向走，應該會有些幫助吧...

March 17, 2018 Gea-Suan LinBrowser, Computer, Murmuring, Network, Privacy, Safari, Security, Software, WWWNo Comment

拿到標著 Stripe, Inc. 的 EV Certificate

在「Nope, this isn’t the HTTPS-validated Stripe website you think it is」這邊看到利用一家同名的公司取得相同的 EV Certificate 的方法：

這個不是你想像中的 Stripe 網站在 https://stripe.ian.sh/ 這邊。這在 Safari 上攻擊的效果特別好，因為不會顯示出 hostname：

不過 EV Certificate 當初設計的目的本來就是墊高 phishing 的成本，並不是完全阻止... 這應該暫時不會解吧 :o

December 12, 2017 Gea-Suan LinComputer, Murmuring, Network, Security, WWWNo Comment

所有主流瀏覽器的最新版都支援 WebAssembly 了

Mozilla 的「WebAssembly support now shipping in all major browsers」提到了最近幾個禮拜，新版的 Safari 與 Edge 都相繼支援 WebAssembly 了：

In the past weeks, both Apple and Microsoft have shipped new versions of Safari and Edge, respectively, that include support for WebAssembly.

由於 Chrome 與 Firefox 都已經支援了，這宣告 WebAssembly 的障礙都已經排除了，接下來只是時間的問題... 對於需要效能的應用程式來說多了一個方式加速。

November 14, 2017 Gea-Suan LinBrowser, Computer, Firefox, GoogleChrome, IE, Murmuring, Network, Opera, Programming, Safari, Software, WWWNo Comment

Safari 也有測試版本了

如標題所說的，現在 Apple 的團隊決定提供測試版本的 binary 了：「Introducing Safari Technology Preview」。可以在「Safari Technology Preview」下載到，版號從 1 開始跳 XD

類似於 Google Chrome 與 Firefox 的 channel 機制，開另外一條線讓大家玩新東西。

April 5, 2016 Gea-Suan LinBrowser, Computer, Murmuring, Network, Safari, Software, WWWNo Comment

Mozilla 在 iOS 上也出了自己的 Content Blocker

Mozilla 在 iOS 上也出了自己的 Content Blocker，叫做 Focus by Firefox：「Announcing Focus by Firefox, a Content Blocker for iOS」：

Today we’re pleased to announce the launch of Focus by Firefox, a free content blocker for Safari users on iOS 9 that gives users greater control of their mobile Web experience.

沒搞懂 Mozilla 跑出來弄這個的目的...

December 9, 2015 Gea-Suan LinBrowser, Computer, Murmuring, Network, Safari, Software, WWWNo Comment

在 iOS 上不使用 Facebook App 時要完全砍掉 process

在「The Background Data and Battery Usage of Facebook’s iOS App」這邊提到 Facebook App 在 iOS 上使用了非常吃電的技巧來強制背景更新。

作者猜測，如果你把 Facebook App 設定成不允許背景更新，那麼 Facebook App 會利用 iOS 在「播放音樂」可以在背景執行來進行更新：(所以只是打開播放的 channel，但是沒有聲音)

My guess is that Facebook is hijacking audio sessions on iOS by keeping silent audio in the background whenever a video plays in the app. And because, by default, videos on Facebook auto-play on both Wi-Fi and Cellular and few people ever bother to turn it off, that means there's a high chance the Facebook app will always find a way to play a video, keep audio in the background, and consume energy to perform background tasks.

而且有些人也發現了類似的現象：

I'm not alone in noticing the mysterious "Facebook audio" background consumption, and video auto-play seems to me the most likely explanation at this point. I don't know if turning off auto-play may fix the problem, but I'd recommend doing that anyway to save data.

印象中我們家的 zonble 也有提過類似的事情，當時他好像還有抱怨不知道 Facebook App 在搞什麼鬼... Anyway，這就可以理解作者提到為什麼這麼吃電：

On my girlfriend's iPhone, for instance, iOS 9 reports 5 hours of on-screen usage for the last 7 days, and another 11 hours of background audio usage with Background App Refresh turned off.

我的想法是，如果不用的時候就按兩下 home 鍵把 Facebook App 整個踢出去，或者就如同作者建議用 Safari 開行動版本：

I wonder if Apple should consider additional battery controls to take action against shady practices like invisible background audio. What Facebook is doing shows a deep lack of respect for iOS users. I continue to recommend using Safari instead.

October 15, 2015 Gea-Suan LinComputer, Murmuring, Network, Social, Software, WWW6 Comments

在 iOS 9 裡安裝 Crystal 擋掉全版廣告

蘋果的 iOS 9 在今天放出來了，更新完以後可以用 Content Blocking 擋廣告，剛剛測過可以擋下全頁式的廣告。

這篇要介紹了的是「Crystal」這個目前限時免費的 app，你可以在「Crystal - Block Ads, Browse Faster.」這邊下載安裝。

iOS 9 的 Content Blocking 功能必須要應用程式支援，而目前只有 Safari 有支援，所以以下的測試是用 Safari 打開行動版的 Facebook (https://m.facebook.com/) 測試的，就拿這篇先來測試：(這張圖片是後來抓的，所以時間是 06:20)

直接打開會先出現全版廣告 (第一張圖)，關掉後還會有大量的廣告 (第二張圖)：

接著我們打開 Crystal，可以看到什麼都沒得設，因為這套軟體已經做完了：(這張圖片是剛裝完就裝的，所以是 06:00)

接著到「設定」裡面打開 Safari 的阻擋功能：

改完後就會是乾淨而且沒有廣告的版本了：

September 17, 2015 Gea-Suan LinBrowser, Computer, Murmuring, Network, Safari, Software, WWWNo Comment

uBlock 的改版：交接後再 fork 成 uBlock Origin (uBlock₀)

原先的 µBlock 改名成 uBlock₀，並且把 uBlock 的名字交出去給了 Colorado Springs 的 uBlock。

原因可以在「Please clarify uBlock₀ vs. uBlock」這邊看到，由於這不是 full time job (他也不想要成為 full time job)，所以他決定 freeze 目前的功能，僅維持 bugfix (因為對他來說夠用了，他自己平常也在用)。

依照這個原因，我的感覺是 uBlock 會成圍下一個肥大的 ABP，就乖乖留守 uBlock Origin (uBlock₀) 吧。

April 19, 2015 Gea-Suan LinBrowser, Computer, Firefox, GoogleChrome, Murmuring, Network, Safari, SoftwareNo Comment

jQuery 1.11.2 與 2.1.3 修正 iOS 8 上 Safari 7.1/8 的嚴重 bug

看到 jQuery 官方放出一個特別更新，專門為了 iOS 8 + Safari 7.1/8 的修正：「jQuery 1.11.2 and 2.1.3 Released – Safari Fail-Safe Edition」。

依據「Test failure on iOS 8: child and adjacent -> p#firstp + p」的說明，死在 document.querySelectorAll("p#firstp + p") 這邊，另外以下的 selector 也都掛掉：

p#a + p
p#a ~ p
.b#a ~ [id]
[style]#a ~ p

由於這個用法太基本，讓 jQuery 官方決定在 library 放 workaround 修正這個問題...

December 19, 2014 Gea-Suan LinComputer, CSS, Murmuring, Network, Programming, Software, WWWNo Comment

修正 Mac OS X Yosemite (10.10) 的設定以確保隱私

Hacker New Daily 上看到的：「Fix Mac OS X Yosemite」。原因是 Spotlight 的部份 Apple 與 Bing 合作：

If you've upgraded to Mac OS X Yosemite (10.10) and you're using the default settings, each time you start typing in Spotlight (to open an application or search for a file on your computer), your local search terms and location are sent to Apple and third parties (including Microsoft).

有兩個地方要關閉。一個是系統設定，一個是 Safari 設定，細節在原文裡面有，這邊就不抄過來了。

October 28, 2014 Gea-Suan LinBrowser, Computer, MacOS, Murmuring, Network, OS, Safari, Search Engine, Security, Software, WWWNo Comment

1 of 212 Next »

Tag: safari