YouTube 在台灣建立 Cache Server

剛剛看影片時眼尖發現 r11.tpe1.c.youtube.com 這個網域名稱,應該就是台灣的 cache server 了,就底層來說,從國內幾個 ISP 看起來都是 direct peering,只是不確定是否所有台灣的 ISP 都會被導過去。

從「jQuery 提供的 code.jquery.com 重導至 Google’s AJAX Libraries API」這篇提到互連的事情,差不多過了一個半月...

Flickr API 的 MD5 簽名偽造攻擊

這次的攻擊在於 Flickr 本身定義 Protocol 時偷懶,而且在 MD5 被擺平後沒有更新 Protocol,造成可以利用目前在 MD5 上發展出來的攻擊,產生相同的簽名,但內容卻可以放入自己想放的資訊:「Flickr's API Signature Forgery Vulnerability」。

簡單來說,「以 shared secret 使雙方可以確認訊息是否正確」這件事情,有 HMAC 可以用,但 Flickr 並沒有使用 HMAC,而是自己定義了 MD5(secret + msg),相較之下弱很多,加上 MD5 本身的攻擊技術已經相當成熟,所以就...

另外一個是 Flickr 一直沒有 review API,當 MD5 有問題而且攻擊技術愈來愈豐富,API 推出 SHA256 版本並公告 MD5 版本會在某個時間後無法使用,會是個合理的作法。

這份 paper 是就九月底發出來的,接下來應該會訂新的 Protocol,通知所有使用 Flickr API 的應用程式作者,花時間改版。

OpenSSH 10 週年

Slashdot 上看到目前市占率最高的 SSH client/server 實做,OpenSSH,十週年了:「OpenSSH Going Strong After 10 Years With Release of v5.3」。

因為這次釋出的 5.3 版帶有紀念性質,所以只包含了少量的 bugfix,沒有增加任何新功能或是重大改變:「openssh.com/txt/release-5.3」。

四年前寫的「OpenSSH 與 SSH Communications 的 SSH」這篇文章現在再回頭看其實很有趣 (當初 SSH Communications 講的超酸),不曉得現在市占率變成多少了...

Google Docs OCR

在「Google Docs OCR」這邊看到 Google Docs 也開始試著提供 OCR 服務了:「Import Scans or Go Multilingual」,不過剛開始還不穩定,傳了兩次都是 error,應該是因為服務很吃資源,而想要測試的人又多。

以文章作者自己上傳文件測試的結果來看 (英文的文件,他拿 RFC 2616 印出來後掃描的圖檔),有些地方有錯字,不過整體的效果還不錯... 等穩定後再來測試中文文件,有沒有支援中文對我們很重要...

如同作者講的,網路上提供免費 OCR 的服務並不多,如果 Google 決定把這項服務併入 Google Docs 裡的話,一定會打亂現在 OCR 付費的生態...

TI 工程計算機的 RSA private key 被破解

TI 工程機算機的 OS firmware 需要 sign 過才能用,但其中使用的 RSA key 的有效長度只有 512bits,所以被暴力法搞定:「Texas Instruments Signing Keys Broken」。

查了 Wikipedia 上的「RSA Factoring Challenge」,早在 1994 與 1996 年左右,RSA-129 (426bits) 與 RSA-130 (430bits) 就已經被分解成功了,當時比較安全的 RSA 保護會是 1024bits (現在一般都建議 2048bits 了)。

在「Comparison of Texas Instruments graphing calculators」可以看到很多被破解出來的型號是在這之後 (甚至在 21 世紀推出的型號) 所推出的版本,於是在 2009 的電腦,透過 BOINC,一個禮拜內就把這些 private key 算出來:「All TI Signing Keys Factored」。

TI 用 DMCA 要求下架,不過在很多美國境外的網站上都找得到這些 private key 了,我猜這幾台會熱賣起來... (因為可以自己刷 OS 韌體)

FreeBSD 8.0-RC1 釋出

在「FreeBSD 8.0-RC1 available」這邊提到 8.0-RC1 出來了,看起來是第一個 kernel 沒有一堆 debug info 的版本,要測效能這時候跳下去測會比 8.0-BETA4 準確,順便把之前一直在測試的 8.0-BETA4 升級到 8.0-RC1... (測 NFS 的穩定度)

用台灣的前兩個 mirror site 安裝,發現慢到爆炸 (ftp.tw.freebsd.org 與 ftp2.tw.freebsd.org,分別是交大國高),實在沒時間找原因,暫時先跑去 ftp.jp.freebsd.org 抓...

事後看了 traceroute 與一些紀錄,交大的部份大概沒救,應該是奇怪的 filter 或是 routing 亂跑之類問題造成。國高因為只能看單邊 (TFN 端),看不出原因。

再來就是文章的這段,看了讓人笑得蠻開心的:

How many RC's we have will depend on how well 8.0-RC1 does. At the moment only one more RC is on the schedule but odds are fairly high we will wind up inserting at least one more RC. Between BETA4 and RC1 a lot of work has gone into IPv6 issues as well as many other issues that have been brought up from the public testing. And a patch set was committed by the people who handle porting ZFS to FreeBSD that they felt makes ZFS production-ready.

我的解讀是:

這之後到底還會出多少 RC,要看這次 release 的 8.0-RC1 表現的如何。照表操課最少還有一次 RC,不過因為從 8.0-BETA4 到 8.0-RC1 我們又翻動太多東西 (IPv6 與 ZFS),沒有意外的話應該會有東西爛掉,所以應該還會再多一個 RC。

至於 8.0 的 ZFSv13 是否 stable,我還是很懷疑... 備份時跑大量的 rsync 時,有一些 rsync process 會卡死 (process 砍不掉)。另外有 kernel level memory leak,不過這點可以用每天重開機來解決... (順便解決前面的卡死問題)

Google Chrome Frame - 在 IE 裡面使用 Chrome

TechCrunch 看到 Google 推出「Google Chrome Frame」,將 Chrome 嵌到 IE 裡面:「Google Has A Solution For Internet Explorer: Turn It Into Chrome」,這個軟體的作法有種 IETab 的感覺...

使用者裝了 Google Chrome Frame 後,並不會使得所有的頁面都用 Webkit Engine 呈現,而是網頁製作人必須要指定「我的頁面可以用 Google Chrome Frame 顯示」才會執行:(如果是 XHTML 的話要記得加上 slash)

<meta http-equiv="X-UA-Compatible" content="chrome=1">

另外還可以利用 Google 提供的 API,可以偵測使用者是不是 IE 而且沒有裝 Google Chrome Frame,如果沒有的話,可以提示使用者安裝...

裝好後,可以在 IE 裡面用 cf:http://... 強制使用 Google Chrome Frame 測試,最明顯的改善就是字體與 input 框 (當 focus 上去時邊框會改變顏色),可以測試看看。

除此之外,裝了以後發現 Google Gears 也被裝進去了...

最後留個在 IE7 + Google Chrome Frame 的 Acid3 畫面吧 XD

用 Facebook 上的公開資料猜測性向

Slashdot 上看到兩位 MIT 的學生發展一套程式 (這個計畫被稱為「Gaydar Project」),試著用 Facebook 上公開的資料來研判「是否為同性戀」:「MIT Project "Gaydar" Shakes Privacy Assumpitons」,除此之外,參與的團體、喜愛的音樂也都能夠拿來分析各種性向。

這個計畫應該會使得網路上的隱私問題又被拿出來批判一番... 一定會有鄉愿的人跳出來批評「不應該做這類研究」。

這類問題在於,資料是公開的,方法也是人發展出來的,就算在全美禁止,也會有學者在其他國家發展出來。真正想要解決問題還是得從根本解決,也就是「個人資料有沒有辦法保護的更好」,現有的保護程度 (更精確的說,至少 Facebook 現有的保護程度) 可以讓研究人員取得足夠資料,表示不夠用。

可以預見之後政府單位 (尤其是教育單位) 會宣導「不要在網路上留下個人資料」試著卸責,但卻沒有成效。

磁碟出錯機率與 RAID

在「RAID's Days May Be Numbered」這篇文章裡面提到使用 RAID6 的好處。

不過,比較有趣的地方是在 2009 年現在的「Hard Error Rate in Bits」數據,說明消費性 SATA 硬碟、企業級 SATA 硬碟、SAS/FC 硬碟的差異。這個數字也是在規劃 RAID 時的重要依據。

由於用料與製作過程的差異造成 error rate 不同,在重視資料的場合裡,大檔案會用企業級 SATA 硬碟跑 RAID6,而資料庫會用 SAS/FC 硬碟跑 RAID1+0,而且都不會串太多顆。