Security

Apache中同一IP多个HTTPS虚拟主机的实现

2009-06-25 15:49 | Security | #Apache | #TLS | #作弊条

在 Apache 文档中提到，不能在单个 IP 上同时有多个按名字识别的虚拟主机(“named virtual host”)。不完全是这样。

HTTPS协议的过程是：服务器首先与客户机之间进行服务器身份验证并协商安全会话，然后，客户端向服务器发送 HTTP 请求。这样一来，在客户端开始发送请求之前，服务器就已经把证书发给了客户端（客户端根据本地的根证书去验证证书链，等等）。而最重要的是，为了表明身份，这个证书的周知名称（“Common Name”）填写的应该是域名，否则浏览器会给出警告。

阅读全文…( 本文约 800 字，阅读大致需要 2 分钟 )

绝对外行才会说和相信「绝对安全」这种说法

2009-05-20 13:19 | Security

我今天话放这儿。

参与评论

实现安全的三种途径

2009-05-13 11:52 | Security | #principals | #security

回国的时候和康神及端木吃饭的时候聊起过这个话题，这里整理出来。

实现安全有三种主要的手法：基于隐蔽的安全（或者，基于假象的安全）、基于默认配置的安全和基于设计的安全。

基于假象的安全很容易理解，也很容易实现。举一个简单的例子，在一片西瓜地前面戳一块牌子，说这块西瓜地里有一个西瓜里面注射了剧毒。

可以想象，由于信息的不对称（不知道是哪个西瓜有毒，或者根本就没有西瓜有毒），试图偷西瓜的人就会有所忌惮—-如果偷走的西瓜含有剧毒，那么这个西瓜是没办法吃的。然而，这样做有至少三个很致命的弱点：首先，为了实现最大化的利益，很可能瓜地的主人并不真的注射剧毒（或者反过来说，把偷瓜的人毒死并不是他的目的，他的目的是尽可能地保护瓜不被偷）；其次，即使瓜地的主人真的只给一个西瓜注射了剧毒，那么如果有人偷了那个西瓜并且死掉，那么知道这件事的人就可以冲过来直接把所有的西瓜偷走；最后，一个以牙还牙的小偷，很可能会在牌子上留下这么一段话：现在有两个了……

简单地说，基于假象或隐蔽的安全，建立在"别人不知道其机制"的基础上。这样的做法有时能够在一定程度上延缓攻击，但并不能使攻击的成功率降低。将弱点隐蔽这种方法成本比较低，例如，把门钥匙放在门框上、将知名服务端口如ssh（tcp/22）转到不知名端口如tcp/12580上、port knocking技术，以及国内银行常用的Active X插件等等。然而，假象终归是假象，这些方法都不能真正改善系统的安全性。这类做法，充其量只能作为没有其他更好的办法时候的一种临时 workaround，而不能带来长久的安全。

第二种做法，也就是基于默认配置的安全，是一类非常常见的策略。这种做法通常与其他安全机制合并使用。简单地说，采用这种策略的系统，在其出厂的时候是没有暴露在外的弱点的，例如它可能只开启了非常少量，甚至完全不开启任何服务，随后，管理员可以根据需要进行配置来开放一些需要的服务。

阅读全文…( 本文约 1515 字，阅读大致需要 4 分钟 )

终于，基于BIOS的终极木马诞生了

2009-03-25 19:16 | Security

终于，是吧，直接写入BIOS的终极木马诞生了。十几年前的CIH病毒等等现在看来都是小儿科。

这种东西迟早会出现，这个我并不觉得奇怪，但是这次CORE实现的这个攻击是一个通用性很强的攻击，换言之，它能够适应多种不同品牌的 BIOS；实际上我认为这种攻击很可能也适用于网卡、RAID卡、显卡上面的可刷写ROM。例如，如果在 VBE 中写上这么一个玩意呢？现在看来 ACPICA 真是一个有前瞻性的玩意，也许 Intel 早就意识到了这种问题可能会发生？

阅读全文…( 本文约 272 字，阅读大致需要 1 分钟 )

关于本地特权提升

2009-03-23 19:30 | Security | #FreeBSD | #Security Vulnerability | #Web

FreeBSD 今天发布了 2009 年第 6 号安全公告 FreeBSD-SA-09:06.ktimer。这个安全公告适用于 7.0-RELEASE 以上到修正日期之前的所有 FreeBSD 版本。

由于这个安全公告修正的是一个零时差 (0-day，也就是发现者直接对问题进行了全面披露，而不是等待供应商修正之后再发布漏洞细节) 披露的漏洞，因此，适当地评估其风险并采取措施就非常重要。安全公告中提到，这是一个"Local privilege escalation"（本地特权提升问题），这种问题属于一类非常常见的（特别是 Linux 内核）、严重的安全漏洞，具体来说，通过一定的方法，登录在系统上的用户可以提升其权限，并实施进一步的攻击。

关于这类漏洞的一个常见的误解是，“本地"漏洞通常是没什么大碍的。然而，那种无关大碍的一类"本地"漏洞，指的是只能在本地控制台触发的问题。例如，如果手中有一张包含了某些工具的Windows PE光盘，用它启动系统便可以得到本地的管理员权限—-这是一个安全问题，但是并不严重，因为事实上如果别人能够接触本地系统，那么他就可以做任何事情。

而 FreeBSD-SA-09:06 指出的问题则不是这类问题。在其上下文中，“本地"是指能够登入系统的任何用户，以及能够以本地用户身份运行的服务进程。对于 Web 服务器而言，这是一个非常严重的安全威胁—-例如，如果在设计时因为疏忽而没有考虑上传文件是否有可能由于某种条件被执行，那么，之前这可能只是一个简单的 DoS 问题（例如，用户可以上传一个不停 fork() 的程序，将 www 用户的进程配额耗尽而导致新的服务请求无法被及时响应），而有了这个漏洞，这些问题便成了远程特权提升问题，其危害也就非常严重了。

阅读全文…( 本文约 898 字，阅读大致需要 2 分钟 )

基于生物特征识别的计算机登录安全吗？

2009-02-26 17:20 | Security | #Authentication | #Fingerprint | #PAM

许多新的笔记本计算机系统配备了基于指纹的身份识别系统。与通常人们的认知不同，这类系统的安全性往往仅仅与使用口令相当，甚至要比基于口令的身份认证系统来的更差；这类系统的价值在于，它们简化了用户的身份验证过程，而不是其改善了系统的安全性。

阅读全文…( 本文约 828 字，阅读大致需要 2 分钟 )

互联网时代没有隐私

2008-12-31 15:28 | Security | #Internet | #privacy

之前和 A core 聊过这个问题。整理一下发出来。

这个话说的可能比较绝对，有人说，缺少信任的社会是可悲的—-而我想说的是，现今，被过度滥用的信任则是可怕的。通过各式各样的社交网站，如 Facebook、LinkedIn、开心网、天际网等等（我想有人会提到豆瓣，但是我个人认为豆瓣算是一个比较另类的社交网站，因为上面的人很少使用真名），很多人之间的联系被轻易地挖掘和利用。

阅读全文…( 本文约 1377 字，阅读大致需要 3 分钟 )

山寨开心网：这家公司真恶心

2008-12-06 14:05 | Security

在Hotmail里面收到了很多假开心网的邀请信。点开一看，恶心的来了：填好了MSN地址，然后让你填密码。

这家公司真恶心。

参与评论

MPLS

前几天和网通的人聊起了这项最新科技，看起来这项技术已经民用相当长时间了，它可以与IPv4和IPv6并存（实际上是互相不干扰），并且解决了一些ATM不适应时代的问题。

参与评论

DNS漏洞续----为什么我们需要全面披露

2008-08-05 19:01 | Security | #djb | #DNS forge | #schneier

Bruce Schneier大师说，DNS漏洞的细节还是被提前披露了，人们开始撰写利用这一漏洞的攻击程序，等等。这里摘录一些比较精彩的内容，推荐您阅读原文。

然而，因此而对 Kaminsky 展开口诛笔伐显然是不对的。在圈外人士看来，也许如果他在这个事情上缄口不语，我们便不会有这许多的麻烦。这显然是不对的， Kaminsky 偶然发现了这个问题，他没有理由相信自己是第一个，更没有理由相信自己是最后一个发现这些问题的。问题出在 DNS 协议本身，而不是 Kaminsky。

阅读全文…( 本文约 467 字，阅读大致需要 1 分钟 )