Tag Archives: transparency

掃網域下主機名稱的方式...

原文是講滲透測試的前置作業,需要將某個特定 domain 下的主機名稱掃出來:「A penetration tester’s guide to sub-domain enumeration」。 最直接的還是 DNS zone transfer (AXFR),如果管理者沒設好 DNS server 的話,這會是最快的方式。當沒有這個方法時就要用各種其他方式來掃了。 看了一下有幾種方式: 透過各種第三方記錄撈:用 Google 以及 Bing 的 site: 指令過濾;用 VirusTotal 列;翻 Certificate Transparency 記錄;透過 ASN 資訊;透過 Forward DNS。 程式類的 DNS query:用 DNSRecon;Altdns 其他:透過 NSEC … Continue reading

Posted in Computer, DNS, Murmuring, Network, Privacy, Search Engine, Security, Service, Software|Tagged , , , , , , , , , , , , , , , , , , , , , , , , |Leave a comment

CloudFlare 也要提供 Certificate Transparency 的 Log 伺服器了...

看到 CloudFlare 請求加入 Chromium (Google Chrome) 的伺服器列表:「Certificate Transparency - Cloudflare "nimbus2017" Log Server Inclusion Request」。 對照之前的「Chromium 內提案移除 HPKP (HTTP Public Key Pinning)」以及「Let's Encrypt 的 Embed SCT 支援」,這樣看起來是瀏覽器內會有一份白名單,只有在這白名單上的 Embed SCT 才會被信任... 但弄到這樣的話,log server 是不是也要有稽核機制? 好像哪邊搞錯了方向啊...

Posted in Computer, Murmuring, Network, Privacy, Security, Service, WWW|Tagged , , , , , , , , , , , , , , |Leave a comment

Let's Encrypt 的 Embed SCT 支援

翻到 Let's Encrypt 的 Upcoming Features 時看到: Embed SCT receipts in certificates ETA: February, 2018 對 Embed SCT 不熟,所以查了查這個功能。 這指的是在簽發 SSL certficiate 後,把資料丟給 Certificate Transparency (CT) 伺服器後,伺服器會提供 signed certificate timestamp (SCT);而這個資料放到 SSL certificate 內叫做 Embed SCT:(出自 CT 的 FAQ) What … Continue reading

Posted in Browser, Computer, DNS, GoogleChrome, Murmuring, Network, Privacy, Security, Service, Software, WWW|Tagged , , , , , , , , , , , , , , , , , , , |Leave a comment

Chromium 內提案移除 HPKP (HTTP Public Key Pinning)

Twitter 上看到這則 tweet,提到要移除 HPKP (HTTP Public Key Pinning): Intent To Deprecate And Remove: Public Key Pinning (in Chromium) https://t.co/agS3fll7eR — Adam Langley (@agl__) October 27, 2017 blink-dev 上的討論可以參考「Intent To Deprecate And Remove: Public Key Pinning」(就是上面那個連結,只是拉出來)。 這個提案大概可以推敲出理由... 目前的作法必須寫進瀏覽器內,這樣明顯會有 scale 問題,而且這個作法本身就很 workaround,只能保護所謂「高價值」的 … Continue reading

Posted in Browser, Computer, DNS, GoogleChrome, Network, Security, Software, WWW|Tagged , , , , , , , , , , , , , , , , , , , |2 Comments

歐盟對於盜版是否帶來傷害的研究

歐盟在 2014 年做了關於盜版與銷量的研究,結果一直被壓到最近才發表出來 (於是就大概可以猜到結論了...):「EU Piracy Report Suppression Raises Questions Over Transparency」。 “In general, the results do not show robust statistical evidence of displacement of sales by online copyright infringements,” the study notes. 甚至: The study found that piracy had a … Continue reading

Posted in Computer, Financial, Game, Movie, Murmuring, Network, Recreation, Social, Television|Tagged , , , , , , , |Leave a comment

Mozilla 也在考慮對 Certificate Transparency 的掌握度

由於 Firefox 要支援 Certificate Transparency 的緣故,在「Mozilla CT Policy」這邊 Mozilla 在討論要建立自己的 CT policy 以及自己的架構: CT is coming to Firefox. As part of that, Mozilla needs to have a set of CT policies surrounding how that will work. Like our root inclusion … Continue reading

Posted in Browser, Computer, Firefox, Murmuring, Network, Security, Software, WWW|Tagged , , , , , , , , , , , , , |Leave a comment

Google Chrome 也宣佈不信任 WoSign + StartCom 的計畫

Google Chrome 也公開了對 WoSign + StartCom 的計畫:「Distrusting WoSign and StartCom Certificates」。 由於大家遇到的技術問題都一樣 (之前發出的量太大,無法窮舉表列出來),所以處理的方法也類似於 Mozilla 的作法,只信任 2016/10/21 前發出的 certificate: Beginning with Chrome 56, certificates issued by WoSign and StartCom after October 21, 2016 00:00:00 UTC will not be trusted. Google Chrome … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Software, WWW|Tagged , , , , , , , , , , , , |1 Comment

iOS 阻擋 WoSign 憑證

在 mozilla.dev.security.policy 上看到有人行動了:「Apple's response to the WoSign incidents」。這使得 Apple 成為 WoSign 事件中第一個行動的單位。 Apple 這次先把 WoSign 放入 iOS 憑證清單的黑名單公告在這邊:「Blocking Trust for WoSign CA Free SSL Certificate G2」。 WoSign 在 iOS 產品線中是靠 StartCom 與 Comodo 的交叉簽章,所以如果 Apple 只想擋 WoSign 憑證的話,必須以阻擋 Intermediate CA … Continue reading

Posted in Browser, Computer, Murmuring, Network, OS, Safari, Security, Software|Tagged , , , , , , , , , , , , , , , |Leave a comment

Certificate Transparency 開始紀錄 Untrusted CA

Google 宣佈他們開始收 Untrusted CA 的 Certificate Transparency 記錄:「Certificate Transparency for Untrusted CAs」,主要是這兩種 CA: Those that were once trusted and have since been withdrawn from the root programs. New CAs that are on the path to inclusion in browser trusted roots. … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW|Tagged , , , , , , |Leave a comment

OpenSSL 1.1.0 的 Release Notes 先放出來了 (現在是 Beta 1)

雖然才 Beta 1,但 OpenSSL 先放出 1.1.0 的 Release Notes 了:「OpenSSL 1.1.0 Series Release Notes」。 有幾個新的功能以及重大的改變,包括了對 ChaCha20 與 Poly1305 的支援,並且把 SSLv2、RC4、所有 40bits 與 56bits 的 cipher 拔掉,然後支援 Certificate Transparency。 讓人頗期待... 不知道來不來得及跟上 Ubuntu 16.04?

Posted in Computer, Murmuring, Network, Security, Software|Tagged , , , , , , , , , , |Leave a comment