Security
作弊条:如何用pf实现基于源地址的发出流量分网卡/网关路由
我想这可能是很多人比较关心的问题,特别是希望用一台机器,多块网卡,甚至有多个网关来实现伪双线的同学。
默认情况下FreeBSD系统中配置的网关,是不会自动使用多个网卡的。网关会与某一块网卡关联,并且,默认网关只能有一个。
但是,我们经常会遇到一些比较复杂的情况。例如,你有两块网卡,并且都接入了同一个网段,使用同一个网关,此时,所有的流量都会从一块网卡出去,另一块网卡则没有出流量;另一种比较极端的情况是,你有网通、电信各一个IP,但只有1台机器,而且机房也不给做BGP(当然,这是伪双线,我个人强烈建议不要使用这种机房服务),标准的路由方式就不太好用了。这时候,我们可以借助 FreeBSD 内建的 pf (通过route-to规则)来完成一些比较复杂的功能。
阅读全文…有关招行网银安全,回应一位网友
针对这篇blog,一位名为"醉梦流仙"的朋友给出了下列回应:
要破,也要立。如果像你这样只是破,那毫无意义。。 网银的安全要怎么做?我是研究游戏安全的,顺便也研究了一下网银,实际上网银做不到绝对安全,只要你用计算机,不管你用什么技术手段都不可能有绝对安全,只是需要增加难度,通过增加门槛让木马制作更困难些。。
你一味的追究数字签名这样的问题,更是舍本逐末,对大部分用户而言是否签名没有意义,签名也保护不了程序安全—-可以运行时修改内存。。
总之,程序放在客户端执行,不可能做到完美,只能通过把事情搞复杂,提高技术门槛,来减少木马。。
加了这个ActiveX控件,起码通用型木马截取不到其密码,难道不是进步?
安全不能建立在别人不知道的基础上,这是过于理想化。你的银行卡,为什么我不能网上取你的款,那就是因为我不知道你的卡号/密码/身份证等等;你的这个BLOG为什么我不能冒充你的身份登录发表文章,只是因为我不知道你的用户名/密码;为什么现在有大量的加壳软件?就是要把程序搞复杂,让人难破解。。
实际上运行在客户端的东西,总是可以研究透的,只是时间问题,那还加壳干嘛,以前很多公司用软件狗,现在很多共享软件用序列号,难道它们都是不能破解的?不可能,只是难度问题。复杂度和难度达到一定程度,就可以挡住很多或者说多数攻击者,这样至少比祼奔要安全。
这位朋友为招商银行着急,我完全可以理解,但是,你对安全存在很多常识上的误解,我不得不为你所开发的网游的安全性捏一把汗。
阅读全文…招商银行大众版密码控件再度「升级」
今天看到招商银行网站上发出了一篇公告说:
尊敬的客户: 因业务发展需要,我行定于2007年2月2日升级网上个人银行大众版密码控件。客户第一次登录大众版时,将看到浏览器弹出窗口提示安装新密码控件,客户确认后即可自动完成升级。
一如既往地,在一个涉及用户安全的产品上,这个公告采取了模糊和回避的态度。计算机的所有权属于用户,升级控件没问题,可是到底为什么升级?是否也应该告知用户?
阅读全文…【译文】有关「全面披露」(Full disclosure)的争论
作者 Bruce Schneier
原文 Debating Full Disclosure
作者授权 blog.delphij.net 发表此翻译版本。未经许可请勿转载。
全面披露 —— 将安全漏洞的细节公之于众 —— 是一种很好的做法。公开并让更多的人检查是改善安全唯一可靠的途径,而遮遮掩掩则只会让我们的安全受到损害。
阅读全文…有感于某公司拒绝另一家公司的邮箱
在CNBeta上看到一条消息,说是某公司甲开始拒绝使用另一家公司乙的邮箱注册,理由是「不稳定」。
阅读全文…在tcpm上看到一篇论文
今天有人在IETF的tcpm上有人提到一篇《Misbehaving TCP Receivers Can Cause Internet-Wide Congestion Collapse》的论文。看起来是一个很有意思的问题,即,乐观ACK(opt-ack)在作者看来是一个潜在的DoS攻击工具,而且粗略地扫了一眼,这个问题很可能是真实存在的(但是这篇2005年11月的文章,目前似乎只有Sun做了回应……),等周末有时间研究一下。
参与评论招商银行专业版的开发人员到今天还是没有学会如何撰写64位Windows驱动服务
又是等待了将近一个月,很遗憾,对于为招商银行写驱动的这位兄弟,不是我那么想在快过年了的时候跟你过不去,而是——你让我在从11月6日到今天——12月22日——将近两个月的时间里,我一直对你抱有希望,抱有期待,然而,直到现在,今天我所看到的、经过招商银行再次签名确认的5.1.3.9版本,依然无法在Windows 2003 x64版本上无法运行,这两个月来,我一直不得不依靠电话银行甚至ATM来进行所需的工作。
原因依然是,你花了两个月的时间,竟然仍然不了解如何撰写一个能够支持64位Windows版本的程序——我们且不论你的程序是否需要这个服务,是否应该安装一个捆绑我的键盘的驱动——你依然在我行我素地坚持将可执行文件或动态连接库命名为.dat的错误习惯,更过分的是,你甚至不曾找过一个64位版本的Windows 2003来进行哪怕一点点的兼容性测试,在我看来,根据我对银行这个行业的粗浅了解,这样的程序能够经过重重的发布审计,并最终发布,是令人震惊的。
哪怕是一家非常小的作坊式软件企业,花了两个月的时间,也应该想到「回退到已知正确版本」这最后一招了吧?
阅读全文…招行事件最新进展:重视安全,新版5.1.3.8加入了数字签名
尽管目前最新的5.1.3.8仍然无法在Windows x64版本中正常运行,但招商银行在今天做出了一项非常重要而富于决定性意义的改善:他们今天发布的版本,已经进行了数字签名。尽管这个新的版本仍然无法在Windows x64上运行,但无论如何,这个可能并没有被许多人注意到的小改进,至少让我们看到了招商银行在安全方面的决心和意志,是值得广大用户信任的。
阅读全文…关于招行事件的进展
今天收到了很多朋友关于招行问题的回应,如同我所预期的那样,回应分成了两派,一派是支持,一派是反对,具体的我就不转载了,因为这些回应,都不能代表招商银行的态度,而目前我能做的,在法律许可范围内的事情也就到此为止了——招商银行并没有在授权协议中明示是否允许对其驱动程序进行逆向工程,因此,我们应该默认不允许这样做,并尊重相关的版权宣示。对于招商银行,我想说的是,请尽快修正问题,因为招商银行提供的是我认为目前国内最好的网上银行服务。
阅读全文…招商银行5.1.3.8版本继续无法使用中
__【已过时的信息】__本篇所描述的问题,已经得到了部分修正。本文将不再更新,请参见后续的进展报道。
继续昨天的话题。今天,招商银行的工作人员给我打来电话,建议我升级到最新版本。现将情况告知大家如下:
* 如同之前他们所做的事情一样,这个版本依然没有数字签名。在打了客服电话之后,我勉强执行了这个版本。[20061205更新:招商银行已经在网站上修正了这个问题]
* 如同之前的版本一样,这个版本仍然无法运行在amd64版本的Windows 2003上。
* 为了掩人耳目,这个版本中的WinIO.dll被改头换面放到了用户目录下的CMB\PB40\SysData\cmb8783.dat。
* 而另一方面,那个驱动的名字,变成了CertClient.dat。
(20061201修改:此处删去了一些具体的信息。这些信息出现在了招商银行专业版所安装的某些文件中,并且其内容确实有可能包含敏感数据。)
阅读全文…