Security

PSA: 如何给自己的信用记录上锁

根据洛杉矶时报报道,骇客可能窃取了全部美国人的社会安全号

社会安全号码(Social Security Number, SSN)是依据 42 U.S.C. § 405(c)(2) 发给一部分美国纳税人(包括公民、永久居民,以及有工作许可的临时居住在美国的人员)的一个九位数字。 目前,这个号码是由社会保障署(Social Security Administration)发给这些纳税人的, 尽管社会安全号码的设计本意是帮助社会保障署区分这些纳税人的,但由于它是由联邦机构签发的终生不变的数字, 因此它成了事实上的美国全国身份证识别代码,并且在税务以及许多其他地方都有使用。

阅读全文…( 本文约 666 字,阅读大致需要 2 分钟 )

SMTP Smuggling

最近没怎么关注安全方面的进展,结果错过了去年年底披露的 SMTP Smuggling。 这是 Timo Longin 发现的一个全新的针对 SMTP 协议的攻击手法, 现在的年轻人真是蛮厉害的。

阅读全文…( 本文约 1493 字,阅读大致需要 3 分钟 )

关掉了 Google 账户的 passkey

最近, Google 账户新增了一种叫做 passkey 的登录方式。

传统的采用密码登录的登录方式中,用户需要用某种方式证明自己知道密码,而绝大多数实现中这意味着网站必须保存用户的密码, 或是密码的 hash 值(通常是HMAC),这意味着网站如果发生了拖库的情况,有可能会将用户的密码或其 hash 值泄漏出去。 此外,用户可能必须输入密码,并将密码通过某种方式传输到服务器上,这样一来在这个过程中便有可能由于本地的木马, 或是网站采用的 SSL/TLS 实现的漏洞导致密码泄漏。除此之外,即使用户十分小心地在每一个不同的网站都使用了不同的密码, 他们仍然需要担心被「钓鱼」的问题,所谓「钓鱼」是这样一种攻击方式:攻击者架设一个看起来很像是用户希望登录的网站的网站, 并诱骗用户输入密码。

阅读全文…( 本文约 1673 字,阅读大致需要 4 分钟 )

iCloud 的 Advanced Data Protection

最近 Apple 的一系列更新中的一项新的安全特性是 iCloud 的 Advanced Data Protection, 大概看了一下还是挺有意思的。

阅读全文…( 本文约 1473 字,阅读大致需要 3 分钟 )

Telegram Premium

Telegram 最近宣布了其订阅付费计划。 说起来我也不是特别信任其安全/隐私方面的特性(*),不过作为一个跨平台即时通讯软件来说, 其在不同平台上的功能基本上做到了完全一致,并且在这个礼崩乐坏 的时代,能够在不同平台上都做到不狂吃CPU/内存,在不同平台上的界面行为上高度一致, 并且完全没有各种令人抓狂的智障设计(举例来说:随便干什么事情都弄个二维码还非让你扫描一下借此获得摄像头权限、 多机登录时以手机为主并且时不时就得再扫描一次二维码、完全无法回溯的会话引用、 没头没脑地给一条「有人@你」的通知,却无法迅速定位到消息等等),并且公开客户端源代码以便第三方进行代码审计, 确实是十分难得的。

阅读全文…( 本文约 797 字,阅读大致需要 2 分钟 )

geli(8)的HMAC设计

| Kernel | #geli | #FreeBSD | #Encryption | #HMAC | #Security | #加密

读到哪算哪的先记一笔。

geli(8)在启用了数据完整性检测的时候采取的设计是将HMAC数据保存在同一扇区中,换言之它在保存数据时,物理扇区(通常是512字节)中占用了32字节来保存HMAC数据。

阅读全文…( 本文约 590 字,阅读大致需要 2 分钟 )

这也太不注意卫生了

| Security | #Xcode | #security | #malware

razor 同学对于 Xcode ghost 的事情的评价是:这也太不注意卫生了。个人深以为然。

技术细节、影响等等,已经有很多大牛写过很好的文章来介绍。但是我想问的是,这事完了吗?在我看来远远没有,根据有关厂商的介绍,想要装上这个下了马的 Xcode,首先得从 App Store 以外的渠道去下载,其次还得允许运行来自 ‘Anywhere’ 的应用程序,或者开发人员习惯于绕过系统的数字签名检查。

阅读全文…( 本文约 710 字,阅读大致需要 2 分钟 )

还是得提高知识水平

| Security | #FreeBSD | #ssh | #slogin | #security

📜 历史文件已不具备现实意义

freebsd-update 目前已进入维护状态并可能在后续 FreeBSD 版本中逐步被替换掉。

今天搞了一个 大新闻。如果你用BIND并且今天之前没打过补丁的话,请读到这里为止,立即去补吧。

我觉得还是得提高知识水平。做 freebsd-update 补丁的时候,赫然发现修改的文件中有一个不认识的:

阅读全文…( 本文约 412 字,阅读大致需要 1 分钟 )

OpenBSD的spamd

| Security | #OpenBSD | #spamd | #security | #anti-spam

许久不碰反垃圾邮件的事情了,一来前段时间垃圾邮件确实也没有那么多,加上spamassassin确实相当有效,二来也是因为犯懒。

不过,最近几天垃圾邮件明显比平时多了许多,所以决定坐下来仔细处理一下。

阅读全文…( 本文约 604 字,阅读大致需要 2 分钟 )

FreeBSD -CURRENT随机数发生器问题

| Kernel | Security | #FreeBSD | #security | #RNG

今天 John-Mark Gurney 修正了一个影响过去4个月左右的 FreeBSD -CURRENT 的随机数发生器问题,具体受影响的版本是 r273872(引入问题)到 r278907 (修正)。

由于问题只影响 -CURRENT,因此我们不会就此发表安全公告。

阅读全文…( 本文约 407 字,阅读大致需要 1 分钟 )