今天幫家人送電腦硬碟去修,不過我怕有人順手幫忙做檔案備份,所以先拿刪除工具把硬碟的資料抹乾淨。在網路上找了一下,相關的免費工具大概有:
對 web programming 的人來說,XSS 很早以前就不是新聞,而且不管是為了 XSS、SQL injection 或是其他理由,任何 user input 都不應該被信任,在使用以前就應該先被 validate 或是 filter 過。
但是問題來了,一般的 filter 都很好解,有許多現成的工具,甚至大不了就用駝鳥法把 html 的特殊字元 escape 掉。但是對於需要依賴使用者輸入 html 的東西怎麼辦?最明顯的例子就是 blog site。Blog 站台總不能不讓使用者輸入 HTML 吧?甚至插插圖、秀秀跑馬燈、放個 YouTube video 之類的,應該也都是稀鬆平常的事情。但是要達到這種效果,該怎麼做呢?
比較明顯的有幾個解法:
You save my day by allowing me not to write another damned HTML parser.Read more...
早起的鳥兒有蟲吃。
今天難得早起,看到 Techcrunch 有一篇新聞在講 My Yahoo! 改版。想說上去玩玩看到底有什麼特別的,做的跟其他的 customized homepage 到底有什麼差別。點了 http://my.yahoo.com 選 Sign In,如同往常的蹦出登入畫面,沒想到看到的是這個:
有沒有注意到登入那塊地方?下面有個「Keep me signed in for two weeks unless I sign out」。
看到的時候心想,哇靠,總算有個像樣的登入機制出來了啊... 對 user 來說,這應該比改版十個產品還有感覺吧?這年頭,有多少人願意只為了開一個 RSS Reader、看一下信件就要重新登入一次?不斷的重複登入只會把 user drive 到競爭對手那裡去吧...?當然有的人是本來就比較 paranoid 沒錯,但不是 majority 的人都這樣嘛...
這個改變真是值得鼓鼓掌。雖然來的有點晚,還是該給 Y! 一點掌聲。啊,我好像看 login 畫面看的太爽,完全忘記 My Yahoo! 更新的事情了。如果你想玩玩看新版,可以從這個連結進去。
Update: 看起來 TW 這邊還沒有 merge 這功能過來...
More and more paranoid. (請參考這一篇: Paranoids)
但是對公家機關來說, 這種程度的保密似乎也是應該的啦....
原本美國政府要求公家單位的筆記型電腦內部硬碟的資料
要全部經過全磁碟加密, 不過現在看起來美國政府正打算對
所有公家電腦都採用一樣的標準。
Source: U.S. Gov't to use Full Disk Encryption on All Computers
They really are paranoid.
美國國防部似乎決定要限制進出的郵件, 不允許 HTML 格式的 email,
理由是這些格式讓 email 內部更容易夾帶間諜軟體或是其他有的沒的。
Well, 現在是 ban HTML email, what's next? 當你夠 paranoid 的時候,
或許你的 web server 也會從此只提供靜態頁面了。
不過眾所週知, slashdot 的精髓都在 comments 裡面:
"In my day email was dashes and dots, and we liked it that way." :-)
Source: Department of Defense Now Blocking HTML Email
之前一直斷斷續續有傳言, 說 Google 正在跟 Youtube 洽談併購,
價碼大約是 1.6 個 Billion 上下。Youtube 也不斷放出風聲, 沒有1.5
個 Billion 他是不會賣的。現在消息終於證實, Google 確定要用 1.65
Billion 買下 Youtube, 全部用股權交換進行。
請看 CNet 的特輯: Google's video play
買下 Youtube 後的 Google, 儼然成為 online video 的獨霸地位, 不過
對於 Youtube 和 Google video 之間的區隔顯然還不夠明確。也許將
來 Google video 會轉往 dedicated video search 方面發展吧 ?
不過, Youtube 被 Google 買走以後, 會不會跟當年的 Blogger 一樣慘呢?
就讓我們拭目以待吧 :p
[Note] 前幾天, Google 在 Blogger 的官方 Blog 才發表一篇說他們很
重視security: Our security stance, 兩天後馬上就被破台, 被發表了
一篇冒用官方名義的 post。Google 雖然馬上刪除並且貼了一篇回應:
About that fake post, 但是無疑的是被打了一記耳光啊 XD
剛剛看到這裡才知道, PGP 的作者 Phil Zimmermann 寫了一套給
VoIP 用的 secure communication 軟體, 讓使用者透過 VoIP 通訊
一樣可以被編碼保護。
不過出人意料之外的, 他使用的 Protocol 並不是 SIP 裡面多的 stack,
而是直接 hack RTP layer 做出來的東西, 叫做 ZRTP。不必使用傳統
的 PKI, 也不需要 public key server 來運作, 更不需要 CA 來 sign key.
不支援 ZRTP protocol 的 SIP agent 仍然可以照常運作, 但是支援的
agent 就可以享有編碼保護。Furthermore, ZRTP 已經在 ietf 審
draft 了。
很有趣對不對? 他的這套軟體叫 Zfone, 目前已經在 public beta,
看來只要是採用 SIP protocol 的 VoIP 軟體, 都可以相容, 也都
有機會套用 ZRTP 來使用加密通訊。
可惜的是, Skype 使用的是自己獨特的 protocol, 因此 ZRTP
並沒有辦法應用在 skype 上面。
不過不知道我是不是被 PGP 的印象影響太深了, 我看到 Zfone
的第一個想法, 居然是「說不定以後可以使用這個來對 VoIP
做 digital signature, 這樣打完電話以後, 對方不用經過聲紋
比對就可以確認對方談話者的法律效力?」
我好像真的想太多了 XD
幹過壞事的人都知道, 拿任何使用者輸入的資料都必須很小心。
你永遠也不知道會遇上什麼壞蛋, 所以任何使用者輸入的東西
都得小心檢查。
以前 C 的 Boundary check 這種算是很小咖的, 在現在這個年代,
各種各樣網路上的服務都必須接受使用者許多的資料輸入, 仔細
方便的驗證使用者輸入就變成一個大問題。
well, 感謝無敵的 Rasmus, 寫了一個 extension 給 PHP 用。
雖然其他語言還是必須依靠自己的工具來過濾使用者輸入的玩意,
至少在 PHP 的平台上面有快速安全的工具堪用...
PECL::filter - http://oss.backendmedia.com/PeclFilter
難道流氓才比較凶悍?
根據這裡的消息, 似乎在中國大陸有一家十人的小公司, 用 reverse
engineering 來 crack 了 skype 的通訊 protocol, 然後藉此希望建構
出自己的 skype compatible 應用程式?
Note: 為了怕別人讀這篇 blog 誤解, 這邊並不是說 skype 的加密
通訊被 crack 了, 而是說 skype 本身的通訊協定被解讀出來了。
觸角現在終於伸到防毒軟體的領域來了...
這個新聞對趨勢 & Symantec 來說當然不會是新聞,
他們想必也早有腹案應對, 我比較好奇的是他們想變
的是什麼花招?
http://informationweek.com/story/showArticle.jhtml?articleID=174403101
http://www.theregister.com/2005/12/01/microsoft_anti-virus_public_beta/
Well, 似乎終於有人把腦袋動到這上面來了。這會不會又是一串 related trojan cases 的開頭 ?
其實我更想知道的, 是樊先生聽到這個故事會說什麼 :p
Original link: http://it.slashdot.org/it/05/05/29/1413217.shtml?tid=172
Err... 可能又有筆戰文要出現了。nmap 的作者似乎跟微軟槓上了...
http://www.zdnet.com.au/news/security/0,2000061744,39189876,00.htm
在 IE7 的 official blog 可以看到, 一些 IE7 beta1 準備修的東西。目前看來, 似乎是第二季會出 beta1 ?
link at :http://blogs.msdn.com/ie/archive/2005/04/22/410963.aspx
雖然我用 firefox, 不過我從來都不覺得 firefox 比較安全 :P
或許應該說, 我認為 firefox is safer as long as the user population is smaller than IE :p
發表文章
所有留言
© Free Blogger Templates Autumn Leaves by Ourblogtemplates.com 2008
Back to TOP
