Thursday, May 15th, 2008
本來昨天就打算說一下的了,無奈網頁寄存的資料庫好像有點問題,一整天都發不了文章。
言歸正傳。Linux 系統尤以安全見稱,但是昨天從 Debian Linux 團隊中傳出一個駭人聽聞的消息。兩年前由於一些人為的錯誤,用於產生密匙(Private Key) 的亂數產生器不小心被移除了。
很簡略的解釋一下。在現代加密技術裡,混亂性是決定加密資料的安全性的一項重要因素。就好像銀行會要求客戶的帳戶密碼非常難猜,最好跟自己沒有關係,以免被不法之徒撞破。電腦加密原理都差不多,不過製作密碼則交由電腦程式去負責。在使用者要求產生密匙(一串長到你不會記得住的數字)的時候,程式會使用亂數產生器弄一個隨機數。以後要加密文件的時候,電腦便會將這串數字和要加密的文件丟到演算法裡面,結果便是加密了的文件。
這一次的問題,就是最近有人發現這個亂數產生器在兩年前不小心被除掉。換而言之,有心人都可以很容易「猜」到這兩年來由 Debian OpenSSL 程式庫亂數產生器系統所產生的密碼,包括 SSL 證書,SSH 鑰匙等等。
令人震驚的是,負責程式碼維護的工作者居然可以這樣的不小心,而且這問題居然可以一直存在兩年而沒有被察覺。有人半開玩笑的質問那傢伙是不是來自微軟的間諜,此外這事更引發一場「開源是否真的安全」的討論。
如果你像我一樣曾經使用 Debian/Ubuntu 產生密匙用作無密碼自動登入,也許是時候重新整理一下那堆密匙了。
Posted in 技術文章, 新聞 | 2 Comments »
Wednesday, February 6th, 2008
要在網絡上做一些可能會被抓的行為,不論是被警察還是秘密邪惡組織也好,請先隱藏好你的 IP。例如用公用代理伺服器呀,洋蔥路由器等等。
硬碟裏有重要,見光即死的檔案,請使用加密軟件,以免外洩。我推薦 TrueCrypt。TrueCrypt 還提供偽裝空間功能,即使被對方嚴刑拷打迫出密碼,也可以以假密碼混過去。
只光顧一個你信任的電腦維修服務供應商。電腦離開自己身邊之前,請好好檢查和處理電腦上的個人資料。
Posted in 分享介紹, 技術文章 | 4 Comments »
Friday, December 14th, 2007
也不是這幾天的新聞,OpenID Foundation 終於正式公佈 OpenID 2.0 的規格,也已有一系列的程式庫跟 OpenID 服務供應商宣佈支援新規格,包括比較流行的 JanRain PHP Library和 MyOpenID。
在普通用家角度來說,這更新有甚麼意義呢?OpenID Foundation還同時公佈了交換個人資料的協定規格,除了可以讓服務提供的第三方向 OpenID 提供者要求更多樣化的使用者資訊,更可以將用戶儲存於服務商的資訊回傳到 OpenID 提供者。比方說,只要在以 OpenID 登記過的相片網站設定好頭像,這頭像設定也會隨著你的 OpenID 四處走。用戶也可以在 OpenID 提供者直接修改資料,讓所有網站一同更新。
另一方面,變動也便利開發者不少。首先協定將資料由 GET 改以 POST 傳送,令傳送資料的大小不再受限制。加密和公開鑰匙交換的演算法也增加了,狀況允許下可以提供用戶更安全的保障。新規格也支援 Yadis 指定 OpenID 的供應商通訊端,是除 HTML 以外的選擇。
順帶一提,如果 OpenID 供應商支援 OpenID 2.0,大家又使用網址委任(好像我就是使用 MyOpenID 為供應商,但以自己的網誌地址當 OpenID) 的話,記緊要在首頁加上兩個新的 tag,讓第三方能識別你的 OpenID 支援 2.0 的通訊協定。
延伸閱讀:
OpenID 2.0…Final(ly)!
淺談 OpenID
Posted in 技術文章, 新聞 | No Comments »
Wednesday, November 21st, 2007
自從 AOL 把免費防毒服務的供應商由 Kaspersky 轉為 McAfee 以後,應該也會有很多人跟我一樣把 AVS 這種便宜高質素的東西移除,另覓免費的防毒吧?我卻又沒想過買一套回來,從不法途徑拿一套風險又太大,畢竟這是保衛家園的看門犬,絕對馬虎不得。
最後選了 AntiVir 的免費版本,希望效果會比 AVG 來得好吧。
不過用了 AntiVir 有點不習慣,因為它不時彈出完全版的推銷廣告視窗,有一次還把我從 Team Fortress 2 的全螢幕趕了出來。更新視窗也是彈出式的,用字還引起了我對垃圾電郵的聯想...
Posted in 分享介紹 | 2 Comments »
Tuesday, April 17th, 2007
wpopenid+ 原是由 wpopenid 分支出來的插件,同樣讓 WordPress 支援以 OpenID 留言,以及將帳戶連結至現有 OpenID。不過,wopenid+ 比 wopenid 優勝的地方,除了除掉幾隻蟲以外,還加入了不少新功能。例如讓留言的網址欄跟 OpenID 結合啦,顯示留言用家的全名(不是只是 OpenID URL),可以在 OpenID 伺服器支援 SREG 的情況下使用留言者提供的電郵等等。
原本真的有點技巧想寫一下的,不過在上一篇文章寫了以後才發現 wpopenid+ 的作者在 svn 發佈了新版,加入了不用為留言者開設帳戶的功能(以往來留言的插件便會自動產生一個新帳戶,他們也可以直接走進去瀏覽 dashboard,感覺怪怪的),所以再也不用繁複的修改步驟啦。
Posted in 分享介紹, 技術文章 | No Comments »
Saturday, April 14th, 2007
約略說一下。
OpenID 是一套開放的分散式認證系統。傳統中央化的驗證系統,使用者的資料,例如用戶名稱,密碼等等也是存放到跟應用程式同一個地方,用戶如果要到另一個網站登入,便必須再註冊另一個帳戶,非常不方便。現在互聯網大部份網站便是如此。
於是有人想到了單次登入(Single Sign-On, SSO) 這個構思。最普及的單次登入系統非微軟的 Passport (Windows Live ID) 莫屬。只需要一組帳戶,登入後即可使用所有微軟的服務,好像 Spaces,Messenger,Mail 等等。Yahoo! 跟 Google 也有類似系統,不過這些現成系統的缺點還是他們之間不能共通:你不可以拿 Google 的帳戶登入 Yahoo! 的服務。同樣,登入了 Yahoo! 網站到 Microsoft 的網站還得要輸入 Live ID 這邊的帳戶名稱及密碼,還是夠麻煩的。
所以才會有 OpenID 的出現。OpenID 的儲存帳戶的地方(身份伺服器)是分散的:在這個系統裏,每個人也可以有自己的伺服器儲存自己的用戶資料,不再只限於服務提供者。一個 OpenID 帳戶的擁有人如果要登入某個支援 OpenID 的網站,步驟如以下這樣:(我們把 A 當成服務提供者,B 是認證伺服器,C 則是帳戶擁有者)
C 要登入網站 A,提供了一個由 C 自己擁有(或由 B 提供) 的 URL 給 A。
A 透過那條 URL 提供的資料找到 ...
Posted in 分享介紹, 技術文章 | No Comments »
Thursday, March 29th, 2007
直到現在我還是用 Windows XP 內建的陽春防火牆。雖然漏動是有,而且程式也可以輕易繞過防備,不過實在不太想為自己的機器再掛多一個常駐程式,好節省記憶體。
不過早前頭殼不知道甚麼地方壞了,居然想安裝一套較為專業的防火牆。在這種動機不明的渴求所推動下,找了找網絡資料,有為數不少的網民推薦 Comodo Firewall Professional。
CFP 被一堆人捧成最佳的防火牆軟件(PC Magazine Online 編輯首選),而且功能頗強大,甚至可以為不同程式的每個元件劃分規則,也可以查看不同程式的網絡流量,所用連接埠等等功能。這套軟件對不同的入侵與偽裝方法也可以加以阻擋,例如 hosts 更改對安裝了這套防火牆的電腦絲毫不起作用。此外,在作業系統啟動的時候也會把所有連接埠關上以防入侵,形容為滴水不漏再好不過。
問題也在這裏。基本上我的電腦是一部開發工作台,時常要安裝不同的伺服器程式。好像現在寫 J2EE,便安裝了 Sun 的 J2EE 平台來當實驗場。可是,CFP 不只是滴水不漏,而且是密不透風,毫無先兆,連警告也不給我發一下便把 J2EE 的 JMX 擋掉了。關上了防火牆也是無效,它居然可以把裏頭的 hostname 解析成奇怪的 IP(這便是我知道為甚麼 hosts 改動不起作用的原因),所以這個 J2EE Server 一直啟動不了。
所以,剛剛我又把它刪掉,用回那套危險而簡陋的內建防火牆。然而,如果你不像我要一部像蜂巢般的工作平台,平時用電腦只是看看網頁,收發郵件等等,這套防火牆應該是不錯的產品。
對了對了,我從不會介紹要錢買的軟件。
Posted in 分享介紹 | 2 Comments »
