token – Page 2 – Gea-Suan Lin's BLOG

Elasticsearch 的 CJK Bigram 設定

Elasticsearch 應該是目前大家搜尋引擎的首選了。而且預設的搜尋法不像以前的搜尋引擎，以前的搜尋引擎會把所有的中文字串當作一個 term，基本上是搜不到東西的。

不過偶而還是會出現一些問題，像是這樣：(這是在求職天眼通搜尋「訊力科技股份有限公司」的結果)

會發現出現了「104人力銀行_一零四資訊科技股份有限公司」，這是因為預設的搜尋演算法把中文字一個一個拆開，後面的「科技股份有限公司」八個字也都有出現，前面的「訊」與「力」也都有出現，於是就被拉出來了...

這種方式被歸類為 unigram 類的方式，像是「波音737 MAX」這一段就會被切成「波」、「音」、「737」與「MAX」。這個切法還算不錯，但有不少機會會遇到問題。

如果限制在 Elasticsearch 內建的功能，其實有更好的設定可以用，也就是對 CJK 文字改用 bigram 方式切：「CJK Bigram Token Filter」。

遇到英文數字還是照原來的切法，但遇到中文字 (更正確的說應該是 CJK) 會用 bigram 的方式切，像是搜尋詞「訊力科技股份有限公司」就會被切成「訊力」、「力科」、「科技」、「技股」、「股份」、「份有」、「有限」、「限公」與「公司」，而本來的「104人力銀行_一零四資訊科技股份有限公司」裡面就不會出現「訊力」、「力科」，於是就不會抓錯...

當然還是有更好的演算法，不過大多就需要另外安裝了，而 Elasticsearch 的升級又很容易跟這些另外裝的套件卡住，所以在考慮維護成本下，CJK Bigram Token Filter 應該是首選...

Netflix 用 CloudTrail 記錄找出 AWS key 外洩的小工具

在「aws-credential-compromise-detection – Detecting Credential Compromise in AWS」這邊看到可以抓漏的專案 Netflix-Skunkworks/aws-credential-compromise-detection。

透過分析 CloudTrail 記錄找出有哪些可疑的 AWS key 被外部使用，看起來預設值會過濾掉 Private IP range 以及 100.64.0.0/10 (設給給 CGNAT 使用的網段)。

不過 Netflix-Skunkworks 的定位是什麼啊，裡面好像有不少有趣的東西...

把 FreeOTP 搞掛了，只好換一套...

再弄 WordPress 的 U2F 時發現他也可以共存其他 2FA 機制 (也就是可以挑一種方式當 2FA，像是 TOTP)，就開始重設 OTP...

結果手賤把 FreeOTP 的 ' 改成 ' (因為看起來不順眼 XD)，就遇到「FreeOTP stuck crashing at startup if name contains certain characters · Issue #100 · freeotp/freeotp-ios」這個問題，結果 FreeOTP 直接閃退開不起來，而且沒有 workaround 的方式存取其他的 OTP token...

找了一下替代方案，目前先用「mattrubin/Authenticator: Two-Factor Authentication Client for iOS」這套了，要注意有同名而且界面很像的 app 在上面，要確認作者名稱...

然後接下來就是一連串 reset 2FA token 的步驟了，有些當初沒有留 backup code 超麻煩 @_@

AWS 推出 AWS Secrets Manager

AWS 推出 AWS Secrets Manager，你可以把各種帳號密碼丟進去讓系統管理，另外內建 rotate 的功能，針對 AWS 支援的服務可以無縫更換密碼 (目前看起來是 RDS)，或是透過 Lambda 換：「AWS Secrets Manager: Store, Distribute, and Rotate Credentials Securely」。

是個整合性的服務，之前就可以做 (用 Lambda 定時跑)，現在則是包裝起來針對 AWS 自家的服務弄的更簡單。

Cloudflare 推出在 HTTPS 下的壓縮機制

在 TLS (HTTPS) 環境下基本上都不能開壓縮，主要是為了避免 secret token 會因為 dictionary 的可預測性而被取出，像是 CRIME、BREACH、TIME、HEIST (沒完結過...)，而因為全面關閉壓縮，對於效能的影響很大。

而 Cloudflare 就試著去找方法，是否可以維持壓縮，但又不會洩漏 secret token 的方式，於是就有了這篇：「A Solution to Compression Oracles on the Web」。

重點在於 Our Solution 這段的開頭：

We decided to use selective compression, compressing only non-secret parts of a page, in order to stop the extraction of secret information from a page.

透過 regex 判斷那些東西屬於 secret token，然後對這些資料例外處理不要壓縮，而其他的部份就可以維持壓縮。這樣傳輸量仍然可以大幅下降，但不透漏 secret token。然後因為這個想法其實很特別，沒有被實證過，所以成立了 Challenge Site 讓大家打：

We have set up the challenge website compression.website with protection, and a clone of the site compression.website/unsafe without it. The page is a simple form with a per-client CSRF designed to emulate common CSRF protection. Using the example attack presented with the library we have shown that we are able to extract the CSRF from the size of request responses in the unprotected variant but we have not been able to extract it on the protected site. We welcome attempts to extract the CSRF without access to the unencrypted response.

這個方向如果可行的話，應該會有人發展一些標準讓 compression algorithm 不用猜哪些是 secret token，這樣一來就更能確保因為漏判而造成的 leaking...

imgproxy：自動處理圖片的工具

看到「imgproxy: Resize your images instantly and securely」這篇文章，介紹「DarthSim/imgproxy」這個專案，想起很久以前的同事在 PIXNET 弄的 *.pimg.tw 系列服務...

imgproxy 可以 resizing，也可以 croping，然後也支援 signature token 機制，感覺是每個大一點的站台都會自己刻一次的服務 XD

整個專案以 Golang 為主，效能應該是不錯... 不過一般前面還是會放 cache 機制 (像是 CDN 之類的服務)，而不會把 loading 直接打進來，避免同樣的圖片一直重複計算。

GitHub 推出軟體版的 U2F Authenticator (目前只有 macOS)

用軟體實做 U2F，目前是開發在 macOS 上：「Introducing Soft U2F, a software U2F authenticator for macOS」。

實在是不愛這種方式，由於是軟體式的，安全性低了不少... (機器被入侵後就都沒有防護了)

不過 U2F 是目前少數可以在 protocol 層抵抗 phishing 的方式，相較於一般 OTP 的方式還是得很注意網址，所以站在推廣的立場的確是希望能多一點人用...

當 AWS Root Account 的 Access Key 被使用時發信通知

AWS 對於帳號建議的管理方式是把 Root Account 封印，改開 AWS IAM，而這篇就是在介紹要如何偵測 Root Account 的 access key 被使用的情況 (一般來說應該連 access key 都不會生，這邊是放了一道警告機制防萬一)：「How to Receive Notifications When Your AWS Account's Root Access Keys Are Used」。

CloudTrail + CloudWatch 的組合技。

GitHub 保護自家的 OAuth Access Token 不會進入 GitHub 上公開的 Repository

GitHub 的公告：「Keeping GitHub OAuth Tokens Safe」。

當你不小心把 GitHub 的 OAuth Access Token 推到 GitHub 的 public repository 時，站方會自動 revoke 掉：

Starting today you can commit more confidently, knowing that we will email you if you push one of your OAuth Access Tokens to any public repository with a git push command. As an extra bonus, we'll also revoke your token so it can't be used to perform any unauthorized actions on your behalf.

保護使用者在使用 GitHub 自家的產品。

AWS 推出信用卡式的 MFA

AWS 推出信用卡式的 MFA：「A Convenient New Hardware MFA Form Factor」。

一樣是跟 Gemalto 合作。相較於之前掛在鑰匙圈上變得更容易收納 (可以放到皮夾內)：

實體的 OTP 還是比 app 形式的安全強度好，變成信用卡形式後應該再弄一片來玩玩...