擋廣告的 Pi-hole

Pi-hole 最近愈來愈紅的一個計畫,技術上是透過 DNS 把不想要的網域名稱擋掉,通常就是擋掉各種 tracking 與廣告系統。 因為是透過 DNS 擋,當然沒有像 uBlock Origin 直接 parse 網頁內容來的有效,但對於方便性來說則是大勝,只需要在網路設備上設一次,所有的裝置都可以用到。 剛剛看到「How a Single Raspberry Pi made my Home Network Faster」這篇,可以看到 Pi-hole 有不錯的介面可以看 (讓你自我感覺良好?XD): 文章作者跑了一個月後,也直言還是有些東西會壞掉,需要設定一些白名單讓他動: Review after 1 month in operation The Pi-Hole has been running for 1 month now on my home network. I have had to whitelist 1 or 2 … Continue reading "擋廣告的 Pi-hole"

相對路徑的攻擊方式 (Relative Path Overwite,RPO)

在「Large-scale analysis of style injection by relative path overwrite」這邊看到的,記得這個方式不是新方法,不過還是有人會中... 這種攻擊是組合技,基礎是引用 css 或是 js 時使用相對路徑 (像是 static/style.css 這樣的引用法),再加上 https://www.example.com/a.php 這樣的頁面通常也可以吃 https://www.example.com/a.php/,甚至是後面再加東西... 在某些情境下組不出來,但精心策劃後就有機會在頁面上弄出奇怪的 xss 或是其他攻擊了。而論文內列出了常見的的組合: 然後拿 Alexa 的排名來看,其實還是有些站台可以打: 防禦的方式也不算太難,absolute path 是個還不錯的方式: One option is to use only absolute URLs, taking away the relative path expansion. 而 base tag 也是個方式 (不過在 IE 上還是有問題): Alternatively you can specify a … Continue reading "相對路徑的攻擊方式 (Relative Path Overwite,RPO)"

各家 Session Replay 服務對個資的處理

Session Replay 指的是重播將使用者的行為錄下來重播,市面上有很多這樣的服務,像是 User Replay 或是 SessionCam。 這篇文章就是在討論這些服務在處理個資時的方式,像是信用卡卡號的內容,或是密碼的內容,這些不應該被記錄下來的資料是怎麼被處理的:「No boundaries: Exfiltration of personal data by session-replay scripts」,主要的重點在這張圖: 後面有提到目前防禦的情況,看起來目前用 adblock 類的軟體可以擋掉一些服務,但不是全部的都在列表裡。而 DNT 則是裝飾品沒人鳥過: Two commonly used ad-blocking lists EasyList and EasyPrivacy do not block FullStory, Smartlook, or UserReplay scripts. EasyPrivacy has filter rules that block Yandex, Hotjar, ClickTale and SessionCam. At least one of the five companies … Continue reading "各家 Session Replay 服務對個資的處理"

電視節目上表演從 Amazon Echo 買東西...

然後觀眾家裡的 Amazon Echo 就跟著買了 XDDD:「TV anchor says live on-air 'Alexa, order me a dollhouse' – guess what happens next」。 A San Diego TV station sparked complaints this week – after an on-air report about a girl who ordered a dollhouse via her parents' Amazon Echo caused Echoes in viewers' homes to also attempt to order … Continue reading "電視節目上表演從 Amazon Echo 買東西..."

Amazon Echo 會保留錄音的音頻

在「Police seek Amazon Echo data in murder case (updated)」這邊看到 Amazon Echo 的隱私問題,起因自警方要求要取得 Amazon Echo 的錄音內容。 Amazon Echo 會錄下所有喊出「Alexa」後的句子,並且傳到 cloud 上持續保留: [,] Echo only captures audio and streams it to the cloud when the device hears the wake word "Alexa." A ring on the top of the device turns blue to give a visual indication that … Continue reading "Amazon Echo 會保留錄音的音頻"

HPKP 遇到的阻礙

關於 HPKP,可以參考「HTTP Public Key Pinning 介绍」這篇介紹,寫得很清楚。 HPKP 是解決 CA 架構錯發憑證的方案 (無論是無意或是故意),像是最近吵的比較熱的 WoSign 發出 GitHub 的憑證的問題就可以用 HPKP 解。 原理上來說,就是在 HTTP header 裡面指出這個站台所允許的 Root CA 有哪些。所以跟 HSTS 一樣是走 Trust On First Use 架構,當 client 第一次連上的時候會記下資訊,之後就可以使用這個資訊來驗證。 但 HPKP 與 HSTS 不同的地方在於,HSTS 只是個 Yes/No 問題 (i.e. 是否強迫使用 HTTPS),而且通常 migrate 上去後就不會拔掉。 但 HPKP 則是要指定 Root CA,這代表不能隨便換一家簽。當你用的那家 Root CA 出包時就苦了... (就像 … Continue reading "HPKP 遇到的阻礙"

Adblock 與 Paywall 帶來的影響

這邊探討了新聞網站引入 Adblock 反制與 Paywall 帶來的影響:「Sites that block adblockers seem to be suffering」。 作者拿了 WIRED、Bild (Axel Springer)、Forbes、City AM 以及 Washington Post 的 Alexa 數字來歸納,可以看出新聞網站的取代率太高 (甚至看不到就算了),可以看到 bounce rate 大幅增加 (很多人發現不能看就不會繼續看下去),而且 pageview 也大幅下降。 WIRED: Bild: Forbes: City AM: Washington Post: 不過文章還是很粗糙,有太多變數沒有考慮進去...

利用 HSTS 資訊得知網站紀錄的 sniffly

看到「sniffly」這個工具,可以利用 HSTS 資訊檢測逛過哪些網站,程式碼在「diracdeltas/sniffly」這邊可以找到: Sniffly is an attack that abuses HTTP Strict Transport Security and Content Security Policy to allow arbitrary websites to sniff a user's browsing history. It has been tested in Firefox and Chrome. 測試網站則可以在這邊看到,作者拿 Alexa 上的資料網站來掃,所以熱門網站應該都會被放進去... 主要是利用 HSTS + CSP policy 的 timing attack (有逛過網站而瀏覽器裡有 HSTS 時的 redirect 會比較快,沒有逛過的時候會因為有網路連線而比較慢): Sniffly sets a CSP … Continue reading "利用 HSTS 資訊得知網站紀錄的 sniffly"

分析網站流量的工具

在「Find Out How Much Traffic a Website Gets」這邊講到了五個分析網站流量的工具,分別是 Alexa、Compete、Similar Web、SEM Rush 以及 Quantcast。 由於你不可能知道其他網站的實際流量,這些都是估算值,就只是拿來參考用的,幫助你稍微有個概念而已 :p

CloudHarmony 的市占率統計 (CDN、DNS、Cloud Computing)

CloudHarmony 發表了他們對 CDN、DNS、Cloud Computing 市占率的統計數據: Alexa and Fortune 500 CDN Marketshare - 20 Nov 2014 Alexa and Fortune 500 DNS Marketshare - 20 Nov 2014 Alexa and Fortune 500 Compute Marketshare - 20 Nov 2014 CDN 的部份可以看出來 Akamai 仍然是稱霸整個市場,不過 CloudFlare 也不是小數字就是了... DNS 的部份比較沒有那麼明顯,由於 CloudFlare 免費方案必須把 DNS hosting 指到他們家,所以 CDN 連帶影響到 DNS 的部份,看起來頗亂,比較明顯的是 Route53 一直在成長。 Cloud … Continue reading "CloudHarmony 的市占率統計 (CDN、DNS、Cloud Computing)"