檢查 Android 裝置的安全性問題

在「How to check if your Android device is vulnerable to attack」這邊看到有新的 open source 工具可以偵測 Android 裝置的安全性問題,在 Google Play 上可以下載:「VTS for Android」。

官方的擷圖可以看到偵測的項目,以及對應的 CVE 編號。拿手上的 LG G2 測試 (官方的最新韌體),看起來是該刷 3rd-party 韌體了...

測試 HTTPS 設定的 shell script

在「Using testssl.sh」這邊看到「testssl.sh」這個工具。

需要新版的 OpenSSL 會掃的比較完整,不過看起來 Ubuntu 14.04 內建的就可以掃不少東西了 (當然還是少了 ChaCha20+Poly1305)。

Qualys 的「SSL Server Test」只能掃有開放給公開使用的站台,而這個工具就可以拿來掃內部網站了。

拿官方給的 screenshot 來看結果:

Salt 要做到「當某個檔案存在時,執行某個指令」的方法...

愈用愈有感覺 SaltStack 是一堆 workaround 的集合,一開始在設計整個系統時沒有規劃好,然後一直堆上去。

標題的這個問題是出自於 Ubuntu 預設會將 CPU 調節成 ondemand,方式是透過 /etc/rc*.d/ 下的 symbolic link 在開機時自動執行。

拔掉的方法是 updated-rc.d ondemand disable (而非直接砍掉 /etc/rc*.d/ 裡面的檔案),想要透過 SaltStack 提供的 file.exists 或 file.missing 都發現不可行。

最後是 cmd.run + onlyif + test 搞定:

ondemand-disable:
  cmd.run:
    - name: update-rc.d ondemand disable
    - onlyif: test -e /etc/rc2.d/S99ondemand

SaltStack 對於 dependency 的設計看起來問題重重,如果想要用 SaltStack 的人可以好好考慮一下。

現在的作法是直接 trial and error 跟他拼,PuppetChefSaltStack 都直接用時間跟他換。原因是這東西實在太底層了,架構不好就是上面的管理員與 DevOps 一直 workaround。

現在有種互相在比爛的感覺...

用 testling-ci 測試各種瀏覽器的結果...

testling-ci 是個測試服務,只要在 package.json 裡把要測的環境要求寫好,然後 GitHub 上的 web hook 設好,剩下就是驗收了...

網站的維護者在「How to write Testling-CI tests」這篇給了一個很簡單的範例,拿一個 IE9+ 才支援的語法實際測試所有的瀏覽器,然後有個 badge 讓你掛:

對於 open source 軟體應該是很方便,是 Travis CI 的另外一個選擇 :p

PHP 5.4 與 php-test-helpers

先給連結,PHP 5.4 可以編的版本在這裡:github.com/gslin/php-test-helpers,clone 下來後的安裝方法是:

phpize
./configure
make
make install

另外自己增加 extensions.ini

extension=test_helpers.so

主要是 PHP 內部的資料結構有變動,本來存取的方式要改掉。發了 pull request 但不知道作者會不會收,如果有需要的人可以自己先裝。

會用到 php-test-helpers 是因為寫 test case 的時候要換掉整個 HttpRequest,而 RunKit 不能換系統的 HttpRequest,所以找了不少 extension 發現 php-test-helpers 可以用。

換法是這樣:

set_new_overload(function($name){
    if ('HttpRequest' == $name) {
        return 'My_HttpRequest';
    }   
    return $name;
}); 

拿掉可以直接呼叫 unset_new_overload(); 整個拔乾淨...

把 Google Plus 的數字 icon 藏起來...

那個紅色的數字 icon 還蠻妨礙工作的,到 userscripts.org 上翻一翻,果然有人有寫過了 (雖然是沒幾天前):「Go Away! Google Plus」。

PS:隨便丟字進去測試的時候,發現 "test" 第五名是 tw.yahoo.com,這是怎麼了...?