Tag Archives: security

SSH 在 Port 22 的故事

雖然現在全世界都在用 OpenSSH,但當初 SSH 其實是 SSH Communications Security 所發展出來的。最近上面在講當初申請 port 22 的故事:「How SSH Port Became 22」。 選 port 22 是因為剛好要取代 port 21 的 ftp 與 port 23 的 telnet: Anyway, I designed SSH to replace both telnet (port 23) and ftp … Continue reading

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , | Leave a comment

Bose 販賣用戶隱私被告

Unroll 在旁邊燒的時候 (參考 Uber 戰火蔓延到 Unroll),Bose 也不甘寂寞決定跟上科技業的潮流:「Bose headphones spy on listeners: lawsuit」。 Bose 直接將他們 app 收集到的資訊拿出來賣: Bose Corp spies on its wireless headphone customers by using an app that tracks the music, podcasts and other audio they listen to, and … Continue reading

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , , , , , , , , , | 1 Comment

在 F5 設備上使用 Let's Encrypt 憑證

找資料的時候翻到 F5 官方有給一篇導引,介紹如何自動化 Let's Encrypt 的憑證:「Lightboard Lessons: Automating SSL on BIG-IP with Let's Encrypt!」。 在 F5 的 GitHub 上也有一包「f5devcentral/lets-encrypt-python」可以看看。 還沒仔細看 & 測試,但大概有些輪廓了。看起來要考慮到裡面用的 letsencrypt.sh 已經改名成 dehydrated,另外就是實際測試了... 其實憑證貴的不是費用,是跑採購流程的成本... 單 domain 的如果可以用 Let's Encrypt 解決的話會可以省下不少功夫。

Posted in Computer, Hardware, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , | Leave a comment

利用 Unicode Domain 釣魚,以及 Chrome 與 Firefox 的解法

一個多禮拜前引起蠻多討論的一篇文章,利用 Unicode Domain 釣魚的方法:「Phishing with Unicode Domains」。 由於這是幾乎完美的攻擊,所以被提出來後 (Security: Whole-script confusable domain label spoofing) 有不少討論: This bug was reported to Chrome and Firefox on January 20, 2017 and was fixed in the Chrome trunk on March 24. The fix is … Continue reading

Posted in Browser, Computer, DNS, Firefox, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , , | Leave a comment

Cloudflare 推出 SSL 的 SaaS 服務

Cloudflare 把之前需要人力介入的操作,包成 API 直接提供給大家用:「Introducing SSL for SaaS」。 要解決的是「用戶自己的 domain 掛到我的服務上,而且需要 HTTPS」,而 Cloudflare 提供 API 把上面三部跑完,下面的就是 Cloudflare 自己處理 (包括取得用戶的同意):

Posted in CDN, Cloud, Computer, Murmuring, Network, Programming, Security, WWW | Tagged , , , , , , , , | Leave a comment

Netflix 的 BetterTLS,推廣 CA 的 Name Constraints

Netflix 因為想用 Name Constraints,所以決定自己跳出來推廣了:「BetterTLS - A Name Constraints test suite for HTTPS clients」。 就是在 CA 上可以綁定條件,只允許哪些 domain 可以被發放: 網站在「BetterTLS: Name Constraints」這邊可以看。

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , , , , | Leave a comment

利用 Side-channel 資訊判斷被 HTTPS 保護的 Netflix 影片資訊

在「Netflix found to leak information on HTTPS-protected videos」這篇看到了研究員透過 VBR 所透露出的 side channel 資訊,成功的取得了被 HTTPS 保護的 Netflix 影片資訊。這對於美國的 ISP 是個大利多 (加上之前通過的法案),但對於個人隱私則是嚴重的打擊。 這項研究的準確率非常高: To support our analysis, we created a fingerprint database comprised of 42,027 Netflix videos. Given this collection of fingerprints, … Continue reading

Posted in Computer, Movie, Murmuring, Network, Recreation, Security, Television | Tagged , , , , , , , , , , , , , , , | Leave a comment

關閉與開啟 Windows 10 內一堆侵犯與增強隱私的設定

DuckDuckGo 前陣子整理了一篇關於如何調整 Windows 10 的文章,洋洋灑灑列了十五條方式供使用者調整:「How To Protect Privacy On Windows 10」。 像是可以將無線網路的 MAC address 隨機化的方式就頗不錯: 然後有一堆要把資料送回 Microsoft 的...

Posted in Computer, Hardware, Murmuring, Network, OS, Security, Software, Windows | Tagged , , , , , , , , , | Leave a comment

django 的 LTS

看到「Django 1.11 released」這篇才發現 django 也有設計 LTS 機制... 在「Django’s release process」這邊有介紹: Certain feature releases will be designated as long-term support (LTS) releases. These releases will get security and data loss fixes applied for a guaranteed period of time, typically three years. … Continue reading

Posted in Computer, Murmuring, Network, Programming, Security, Software, WWW | Tagged , , , , , , , | Leave a comment

Docker Hub 上面 Image 的安全性

在「A study of security vulnerabilities on Docker Hub」這邊看到「A Study of Security Vulnerabilities on Docker Hub」這篇論文。 大概知道會很慘,只是比預期中慘很多:

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , | Leave a comment