在「The password reset MitM attack」這邊看到 PRMitM (Password Reset Man-in-the-Middle) 這樣的攻擊,原始論文在「The Password Reset MitM Attack」這邊可以取得。
用圖說明基本版的攻擊方式:
另外列出了各大站台的狀態:
以及各家簡訊的文字,可以發現不是每一家都有把產品的名稱寫上去:
這方法好有趣啊... XD
重設密碼 + Social Engineering
Tag: the
Go 1.9 的 GC 改善
Update:被提醒後仔細看了一下,是 1.8 預設生效 (但保留選項切回來 debug),如果沒問題的話 1.9 把舊的方式拔乾淨:
Assuming things go smoothly, we will remove stack re-scanning support when the tree opens for Go 1.9 development.
標題就不改了... 以下原文。
在「Sub-millisecond GC pauses」這邊看到的。Golang 想辦法將 GC 造成的影響降低:「Proposal: Eliminate STW stack re-scanning」。
目標是解決最大的 GC pause 來源:
As of Go 1.7, the one remaining source of unbounded and potentially non-trivial stop-the-world (STW) time is stack re-scanning.
然後拿新的解法來戰,目前初步的測試看起來可以降到 50µs (== 0.05ms):
We propose to eliminate the need for stack re-scanning by switching to a hybrid write barrier that combines a Yuasa-style deletion write barrier [Yuasa '90] and a Dijkstra-style insertion write barrier [Dijkstra '78]. Preliminary experiments show that this can reduce worst-case STW time to under 50µs, and this approach may make it practical to eliminate STW mark termination altogether.
在「runtime: eliminate stack rescanning · Issue #17503 · golang/go」這邊可以看到進度,現在已經在 master branch 上了,看起來會在 1.9 的時候被放出來... 不過 worst case 的時間上修了 XDDD
The high level summary is that this reduces worst-case STW time to about 100 µs and typical 95%ile STW time to 50 µs (assuming, of course, that the OS doesn't get in the way and that the system isn't otherwise overloaded).
但看起來應該還是很大的效能改善,尤其是 CPU bound 的應用?
2012 與 2016 美國總統選舉的變化
在 The Economist 這邊看到圖表,比較 2012 與 2016 年投票的變化:「Who voters supported in the last American election compared with this one」。2016 美國總統選舉將在 11 月初舉辦,這邊是目前的情況。
這張圖表頗清楚的,雖然有些比例不太對... 可以看到兩大黨以外的票比 2012 增加了不少。
Mike Bostock 的 Visualizing Algorithms
Mike Bostock (D3.js 的創始人之一) 在 Eyeo 2014 上展現了要如何將演算法視覺化表現出來:「Visualizing Algorithms」。
既然是對演算法的展示,當然也都伴隨著對資料的處理。每一個圖形表示都有 D3.js 的 sample code 告訴你怎麼產生的。
與其他看到的 D3.js 範例不同,他給出來的範例可以感覺到「樸實無華」的壓迫感。文章開頭用梵谷「隆河上的星夜」也很配合整篇文章的風格。
有玩 D3.js 或是對資料視覺化的人有興趣或是有研究的人都應該去看他怎麼表現「動作」(演算法) 的部份。
NSA 每天從全世界的基地台蒐集行動電話資料,所以全民公敵裡演的都是真的嘛...
雖然也不怎麼意外了,不過看到還是想要碎碎唸一下...
NSA 每天從「全世界的」基地台蒐集五十億筆資料:「NSA Tracking Cellphone Locations Worldwide」。
全世界啊... 感覺 Hadoop 之類的 big data 技術論壇找 NSA 很有看頭啊 @_@
Update:有人給了模擬案例了「Meet Jack. Or, What The Government Could Do With All That Location Data」:
法國政府 ANSSI 偽造 Google 的 SSL 憑證被抓到...
Google 在 Google Chrome 裡面有放一段 SSL 白名單 (transport_security_state_static.json),針對某些特定 domain 只允許特定的 CA 所發出來的 SSL 憑證,另外當發現異常時也會回報。
這個機制可以保證在白名單內的網域比較不容易被 CA 搞到。
前幾天 Google 偵測到法國政府 ANSSI 的一個中介憑證發行單位 (Intermediate certificate authorities) 發出 Google 所擁有網域的 SSL 憑證:「Further improving digital certificate security」。
這也是繼一年前 TURKTRUST 發出的 *.google.com 以來再次被這個機制抓到的案例:「這次 TURKTRUST 誤發 *.google.com SSL 憑證...」。
同時,這也是首次政府機關相關的 CA 搞 MITMA (Man-in-the-middle attack)。
ANSSI 官方的說法是「誤發」:「Revocation of an IGC/A branch」,不過可信度... XD
Google 後來在 12/12 再次更新公告文章,決定把 ANSSI 的 CA 信任範圍限縮到法國相關的網域,共 13 個。(*.fr、*.gp、*.gf、...)
另外可以參考 Mozilla 在收到 Google 通知後的公告:「Revoking Trust in one ANSSI Certificate」。
英國衛報對 Snowden 爆料 NSA 的特刊...
衛報 (The Guardian) 對 Snowden 爆料的事情開了一個特刊:「NSA files decoded: Edward Snowden's surveillance revelations explained」。
首先,Snowden 爆料 NSA 這件事情的熱潮一直在延續 (一直都很精彩),而且衛報本來就是在這整件事情裡面佔有很重要的角色,由衛報做這個特刊並不意外。
但衛報這個頁面利用 HTML5 video 與大量 CSS3 效果,向全世界展示了「網站上的特刊可以這樣做!」,強烈建議有在關注這個主題的企劃,以及視覺設計的人花時間去看看整體的呈現。
以往類似的東西要嘛就是主題不夠精彩,要嘛就是呈現不夠精彩。這次因為 Snowden 的爆料已經持續幾個月了,衛報自然願意花大量的資源專訪 (於是可以看到不少 video 短片) 以及整理。在手上素材夠多,以及一流的呈現方式,造就了這個精彩的特刊。
白宮 We the People 提高答覆連署人數
白宮宣佈提昇 We the People 的強制答覆連署上限,將原本 25k 人提昇至 100k 人:「Why We're Raising the Signature Threshold for We the People」。
因為最近參與的人變多太多:
另外白宮給了一份 Infograph,更詳細的說明參與的狀況:
英國有個 data.gov.uk,美國有個 We the People,再加上昨天看到的 alpha.data.gov (A collection of open data from the government, private sector, and non-profits that are fueling a new economy.),感覺台灣跟世界上的已開發國家愈差愈遠了...
The Pirate Bay 將全面 Magnet 化...
The Pirate Bay 宣佈將所有的 .torrent 拿掉,改用 Magnet URI:「No more torrents=no changes anyhow」,另外可以參考「The Pirate Bay, Now Without Torrents」這篇。
不過也不是全部拿掉。只有當 .torrent 檔被十個人下載後,The Pirate Bay 才會將 .torrent 下載轉成 Magnet URI 的形式提供後續服務,以確保有足夠的使用者擁有 torrent 檔。這樣使得 The Pirate Bay 的頻寬用量降低,並且拉高阻擋的難度。
PS:imgur 剛好掛掉了,等恢復後再把上面的圖換成 imgur...
Update:imgur 恢復了...
The Pirate Bay (海盜灣) 從 Torrent 檔下載換成 Magnet URI (磁力連結)
The Pirate Bay 將把 torrent 檔下載方式換成磁力連結:「The Pirate Bay Will Stop Serving Torrents」。
Magnet URI 下載 BitTorrent 檔案其實只是多了一個抓 torrent 檔的步驟:首先先從 Magnet URI 內取得 SHA1 值,然後透過 DHT 抓到 torrent 檔的 metadata,然後後面就可以照舊進行... 至於 DHT 的初次建立,除了可以透過中央式的 router.utorrent.com 取得外,也可以透過其他 torrent 檔案下載所提供的 tracker 找到節點。在取得一批節點後,透過 PEX 交換出更多的節點。
DHT + PEX 的技術逐漸成熟 (愈來愈多程式支援),然後是最大的 torrent site 採用。之後的 public torrent site 應該都會改朝這個方向走...