secure – Page 5 – Gea-Suan Lin's BLOG

在 Perl 裡用 LWP::UserAgent (以及繼承它的模組) 時使用 HTTPS 連線處理 CA 認證...

libwww-perl 裡的 LWP::UserAgent 可以處理 HTTPS，並利用 CA 驗證 public key 是否簽過。在 FreeBSD 下安裝 ca_root_nss 後可以在 /usr/local/share/certs/ 下看到檔案，於是可以這樣用：

#!/usr/bin/env perl
use strict;
use warnings;
use LWP::UserAgent;

INIT {
    my $ua = LWP::UserAgent->new;
    $ua->ssl_opts(SSL_ca_file =>
        '/usr/local/share/certs/ca-root-nss.crt');

    my $res = $ua->get('https://mail.google.com/mail/');
    print $res->content;
}

在 Debian 或是 Ubuntu 下則是透過 ca-certificates 裝到 /etc/ssl/certs/ 下，並且分成很多檔案，這時候本來的 ssl_opts 就要改成 SSL_ca_path => '/etc/ssl/certs/';。

PS：FreeBSD 上因為是單檔，依照 SSL_CTX_load_verify_locations(3) 這邊的說明，沒辦法用 CApath...

addons.mozilla.org 的 Comodo SSL Certificate 被放出 Private Key

之前被人破台，利用 Comodo CA 生出 addons.mozilla.org SSL certification 的 private key 被放出來了：「Comodo Hacker releases Mozilla certificate」。借 Netcraft 的圖：

Firefox 的 revoke 機制不怎麼完善，對於用 Firefox 的人，直到 Mozilla 有新的方法解決之前都必須很小心了 :/

網路愈來愈不安全，能自救的方式並不多...

這兩件事情加起來會不會太巧合...

首先是有攻擊者成功利用 Comodo CA 產生 www.google.com、login.yahoo.com、login.skype.com、addons.mozilla.org、login.live.com 的 SSL certificate：「Report of incident on 15-MAR-2011」，雖然被 revoke (撤銷)，但是我們知道 revoke 機制極度脆弱：「Revocation doesn't work」。

過沒幾天，有人發現 AT&T 到 Facebook 的流量會流經中國 ISP 的網路設備：「Facebook traffic mysteriously passes through Chinese ISP」。

關於這幾件事情，我們能做的並不多，只能僅可能的做：

首先先移除 CNNIC 的 CA，步驟用 Google 找應該很多，因為去年二月時有不少人有寫文章：搜尋「移除 CNNIC」。
在 Facebook、Twitter 上預設開啟 SSL：「A Continued Commitment to Security」、「Making Twitter more secure: HTTPS」。

接下來就是祈禱了...

在 Ubuntu 10.10 x86_64 下連 Cisco AnyConnect

老舊的 Notebook 是跑 32bits 版本 (因為 CPU 根本就不支援 64bits)，把 Java 開起來 (我平常是關掉的)，連上 SSLVPN 後就會自動安裝了 (安裝的過程中會跳視窗出來要 sudo permission)，但在 x86_64 下面卻一直跑不起來，就沒辦法連回公司內部網路...

網路上找了找發現這篇：「Manual Installation only for Ubuntu Linux 10.10 64-bit」，居然要裝 32bits Firefox XDDD

自己亂翻以後發現 vpnc - client for cisco vpn concentrator 可以用，而且有被整合進 Network Manager，測了以後發現沒問題，這樣我的 Notebook 也換成 vpnc 好了...

Update：剛剛在 Notebook 上重設，發現不是 vpnc 連上去 (這是 IPSec VPN)，而是 OpenConnect...

接下來要找 Juniper SSLVPN 的 solution 了...

HTTPS 的 Persistent Cache...

在 Twitter 上又看到有人在講 HTTPS 的資料無法 persistent cache (寫入硬碟保存)，所以當瀏覽器重開後就消失，如果能避免使用就應該避免...

但實際上並不是這樣，HTTPS 的資料是「可以」被 persistent cache 的，只是預設不會這樣作。

只要在 response header 裡告訴瀏覽器 Cache-Control: public，瀏覽器就會 persistent cache。因為你已經跟瀏覽器說這個檔案是公開資料，就算是透過 HTTPS 傳輸也可以寫到硬碟裡保存。在「HTTPS Performance Tuning」這篇文章裡有提到 IE 與 Firefox 都沒有問題...

有用 HTTPS 的可以檢查看看是不是能夠加速...

Twitter 提供使用者「強制使用 HTTPS」的選項

Twitter 剛剛公告，使用者現在可以選擇強制使用 HTTPS：「Making Twitter more secure: HTTPS」。

之前是透過 Force-TLS 強制設定 twitter.com 與 api.twitter.com 強制使用 HTTPS。現在官方提供這個功能等於多了一層保護...

目前還不包括 3rd-party 應用程式，只有網站版本與 iPhone 及 iPad 的官方 client。

所有的手機應用程式都應該要上 SSL (另一個說法，HTTPS)

這是實際用過一堆手機程式後的感想 XD

不覺得直接在捷運台北車站放一個 SSID 與某些公開讓大家免費使用的 Wifi，就可以收集到很多東西嗎...？

另外要注意的是很多便宜的 SSL Certificate 是沒有辦法過 Android 與 iPhone 內建瀏覽器的認證的，要買之前先試著找 Demo Site 測試看看會比較保險。據說大多數的 wildcard ssl 都可以過認證，不過這也只是路邊聽來的，測過才是王道...

奇怪，我記得之前有看到有一張表格是列出手機上瀏覽器支援的情況，一時間要找卻找不到了...

Protocol Preserve URI 的過濾

雖然知道 //host.domain/path 這種 Relative Protocol 用法 (而且也用很久了)，不過最近在 irc.perl.org 上的 #plack 剛好有人提到，再加上最近剛好有人在探討安全性問題：「Bypassing "RequestPolicy" Using Protocol Relative URLs」，剛好可以拿出來再說一次。

簡單來說就是「以 / 開頭的 URI 並非一定是 same origin，不可以以此當作 same origin 的判斷」。因為「//ajax.googleapis.com/ajax/libs/jquery/1.5.0/jquery.min.js」這種用法是正確的用法，表示保留 Protocol。

另外講些題外話，這個用法也還是有缺點，用在 IE 的 css 時會造成重複抓取 (到 IE9 都還是)：「CSS files downloaded twice in Internet Explorer with protocol relative URLs」，script 或是 relative path 都不會，只有 css 會...

反過來說，因為 js 的部份大家都沒問題，所以當使用 Google 提供的 jQuery 時，「永遠」都應該使用「//ajax.googleapis.com/...」，因為 Google Libraries API 是同時支援 HTTP 與 HTTPS 的。

AWS EC2 可以匯入自己的 SSH public key 了...

今天 AWS EC2 一口氣丟出一堆小功能：

其實這些功能都沒什麼大不了的，Idempotent Instance Creation 可以避免重複產生 instance，而 Resource Tagging 暫時想不到用途，Filtering 則是 describe 的功能加強...

對現在最有幫助的是第四個，ssh 時可以不用指定 -i .ssh/ooxx.pem 算是有直接影響的吧？目前還不能透過 Web Console 匯入，必須用 ec2-import-keypair 指令匯入。