Tag Archives: secure

Google Chrome 56 將會對 HTTP 網站標示「Not secure」

Google Chrome 宣佈從 56 版開始,將會對 HTTP 網站標示「Not secure」:「Moving towards a more secure web」,這是 Google 給的解釋圖片: 另外還更進一步規劃之後的圖示,標成紅色警示: 藉由這樣的表現來更大力推動 HTTPS 化。

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

Apple 打算把 iCloud 加密用的 Key 放到用戶端

在經過最近 FBI 與 Apple 的戰鬥中 (FBI–Apple encryption dispute),Apple 正規劃把 iCloud 加密所使用的 key 放到用戶端裝置上,而非放在伺服器端:「Apple to Hand iCloud Encryption Key Management to Account Holders」: In effect, Apple is following the lead of secure cloud services such as SpiderOak which has been offering … Continue reading

Posted in Cloud, Computer, Murmuring, Network, Political, Security, Software | Tagged , , , , , , , , , , , , , , , | Leave a comment

Mozilla 對非 HTTPS 站台的抵制

Mozilla Security Blog 上 Richard Barnes (Firefox Security Lead) 宣佈對非 HTTPS 站台的抵制政策。規劃在之後的 Firefox 新功能限定在 HTTPS 網站上:「Deprecating Non-Secure HTTP」。 詳細的日期還沒有確定,但預定分成兩個階段: Setting a date after which all new features will be available only to secure websites Gradually phasing out access to browser … Continue reading

Posted in Browser, Computer, Firefox, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

溫水煮青蛙:Windows 10 與 Secure Boot

Microsoft 的 Windows 10 更進一步限制了 Secure Boot 的選擇:「Linux’s worst-case scenario: Windows 10 makes Secure Boot mandatory, locks out other operating systems」。 之前是關閉,現在則是必須要 optional (包裝用語啦,意思是預設值打開,使用者可以進 UEFI console 關閉): OEMs are still required to ship Secure Boot, but the previously mandatory disable … Continue reading

Posted in Computer, Murmuring, OS, Software, Windows | Tagged , , , , , , , | Leave a comment

安全的 SSH (Secure Secure Shell)

在 Twitter 上看到「Secure Secure Shell」這篇文章,介紹要如何加強 OpenSSH。 文章裡分成四個部份討論,從 Key exchange 開始,Authentication、Symmetric ciphers 以及 Message authentication codes。 先把已知有問題的技術都先拿掉 (像是 MD5、RC4 與 DES),然後有被 NSA 影響到的技術,而且有不錯的替代方案的也拿掉。 另外還介紹了 Tor hidden service 下的保護。 感覺有點偏激的文件,可以拿來參考...

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , | 1 Comment

Google 提議將 Chrome 對 HTTP 的連線標示成「不安全」icon

在「Google Proposes Marking ‘HTTP’ as Insecure in 2015」這邊看到 Google 提議將 Chrome 對 HTTP 連線標示成「不安全」:「Marking HTTP As Non-Secure」。 其中一個提案是設定三個時間 (T1、T2、T3),逐步改變對 HTTP 的標示: T0 (now): Non-secure origins unmarked T1: Non-secure origins marked as Dubious T2: Non-secure origins marked as Non-secure T3: Secure … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , | Leave a comment

djb 的密碼學陰謀論

Daniel J. Bernstein (djb) 在巴西 H2HC 11 的的演講投影片:「Making sure crypto stays insecure」(PDF)。 對政府單位來說,並不樂見有安全的密碼系統。因為安全的密碼系統對於政府監控人民是個麻煩。 如果十年前拿出來講,可能大多數人會覺得投影片裡面的內容太過於「被害妄想」,但經過 Edward Snowden 的努力後,被證實政府完全站在人民的反面。 在演算法裡面藏後門 (經典的 Dual_EC_DRBG);干擾標準的制定,讓實做變得複雜,於是就會變得難以正確實做;在標準裡面故意低估安全威脅 (尤其是 timing attack 類);放出過時消息宣稱加密的成本很高 (指時間成本)。 這種種事情的透漏,甚至讓小說作者 cancel 掉小說的續集 (第三集),因為他發現他要寫的故事內容 NSA 都已經做過了:「Sci-fi Author Charles Stross Cancels Trilogy: the NSA Is Already … Continue reading

Posted in Computer, Murmuring, Political, Security | Tagged , , , , | 1 Comment

GitHub 總算把使用者頁面放到新的 domain 上:github.io

剛剛看到 GitHub 公告,將使用者網站 (http://username.github.com/ 這種) 改到 http://username.github.io/ 下:「New GitHub Pages domain: github.io」。 GitHub 總算把把使用者頁面放到 subdomain 下這種對安全性問題吃力不討好的事情給搞定了... PS:我還是對 HiNet 把 hinet.net 用在使用者 IP 上這件事情感覺到... XD

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , | 1 Comment

PostgreSQL 對 security update 的極端作法...

在 Hacker News 文摘上看到,PostgreSQL 決定對這次的 security update 採取最極端的作法:「Extra security measures for next week's releases」。 包括全面管制 Git repository 公開資訊:官方的 Git repository 將會在正式釋出修正前限制只有 committer 可以存取,並且暫停 GitHub 以及其他 git mirror 權限。 另外 mailing list 也受到管制,包括了 src commit log 以及 document commit log。 信件開頭就提到這次安全性漏洞足以說服 … Continue reading

Posted in Computer, Database, Murmuring, PostgreSQL, Software | Tagged , , , , , , , , , , , , | 1 Comment