Slashdot 的 There Is No Safe Web Browser 這篇文章從 Netscape 這次 Critical Update 講到 IE/Firefox 的種種,得出了相當有趣的結論:There is no ‘safe’ Web browser。
Category Archives: Security
Security :p
看到 Verisign 了
看到 bill.wretch.cc 去買 HiTrust (Verisign) 了「無名小站股份有限公司 確實擁有對BILL.WRETCH.CC之網址使用權」,賀!
寫下你的密碼
在 NEWS.COM 的 Microsoft security guru: Jot down your passwords 這篇裡面,Microsoft 的安全顧問告訴我們,當你必須設定很多系統的密碼時:寫下你的密碼,然後好好保管。
原因是:對於一般人而言,如果你不允許使用者寫下密碼,那麼他就會選一個爛密碼 (i.e. 好猜的密碼),而且每個系統都用同一個密碼,於是就… :p
不過… 我認為應該還是要保持良好的習慣:當你有能力多記幾組密碼時,就不要寫下來。
802.1x
因為校內想要上 802.1x 認證,所以這陣子找 802.1x 的資訊比較多…
以目前最普及的 Windows XP 來看,只有 MD5-Challenge 以及 PEAP 兩種認證方式可以用。理論上 PEAP 可以做 key-exchange,不過種種因素看來看去,最後還是選用最簡單的 MD5-Challenge。
不過 Windows 下面我有裝 3COM 802.11g 網卡的管理程式,這隻管理程式會把「認證」這個 tab 給拔掉 (統一管理?),於是我必須把這個管理程式關掉才會正確出現「認證」的 tab。
不過目前最大的問題是在 FreeBSD 4.x 與 5.x 沒有 client 可用 (需要 6-CURRENT),可能要找舊版的 wpa_supplicant 看看能不能用。
我把圖片放在 Flickr 上:在 Windows XP 下的 802.1x 認證,之後要做投影片會比較好找。
無名小站的 SSL Certificate
Firefox crash bug
threadwatch 上報導了怎麼用 javascript 將 Firefox 給弄爛 (包括前幾天剛出來的 1.0.4):Firefox Crash Bug Found,看了一下 javascript 的程式碼,呃…
<script>
function crash2(a) {
return a.substring(0, 1);
}
function crash() {
” “.replace(/( )/, crash2(“$1”));
}
</script>
用 PuTTY 的 tunnel 安全地瀏覽網頁
中午的時候跟 ashley 大姊聊到要怎麼躲過邪惡的 MIS 偷聽你的 HTTP Request,因為並不是每個站都有提供 HTTPS…
我的解法是透過 ssh 連到一台「安全」的機器幫你做一個 tunnel 連到 proxy server,這裡的「安全」是指 MIS 管不到的範圍 :p
我以 ccca.nctu.edu.tw 這台機器為例子把 127.0.0.1:3128 開一個通道到 140.113.54.50:3128 (交大的 Cacheflow Proxy),然後再將 IE 或 Firefox 設 proxy 到 127.0.0.1:3128:
按下 Add 後變成:
Firefox security hole – 0day
Firefox 1.0.3 有 security hole:New Mozilla Firefox 1.0.3 Exploit (from Slashdot),而且這次是 zero-day:發現 bug 與 exploit 被公開在同一天。
Google hacked?
在 Engadget 報導了 Google 被 hack (?) 的新聞:Google down? Google hacked!。在原文 Google Hacked? Or DNS Hosed? 講的比較完整:
Update #3: David Crane, the big PR cheese wrote back a few seconds ago and had this to add, “Google’s global properties were unavailable for a short period of time earlier today. We’ve remedied the problem and access to Google has been restored worldwide.”
這樣還是很有趣啊… Google 的 DNS 居然出包 :)
Download.com 拿掉所有 Adware/Spyware 軟體
在 threadwatch 看到 Download.com 這次將所有 Adware/Spyware Software 下架:Download.com Dumps Adware,原公告在 Reviews and free downloads at Download.com:
This week, we’ve upped the ante: we’re launching a new zero-tolerance policy toward all bundled adware. That means every time you download software from Download.com, you can trust we’ve tested it and found it to be adware-free–period. (See how we test.)
另外他們也在 How do you test for adware and spyware? 說明了如何測試軟體是否有 Adware 或是 Spyware:
Every time a new file is submitted to the CNET Download.com site through Upload.com, our editors download, install, and scan the program using up to three industry-standard anti-spyware tools: currently these include Lavasoft Ad-Aware, Webroot Spy Sweeper, and PC-Tools Spyware Doctor. If the program is identified by any of these programs as containing adware, we will decline to list it on Download.com. We also virus-scan every listing in the course of uploading it to our secure servers, and routinely review and rate the majority of products for overall quality.
Nice job, CNET :)