Clik here to view.
Google Chrome 要推動預設使用 HTTPS 連線
Google Chrome 從 90 版要把 https:// 變成網址輸入時的預設值:「A safer default for navigation: HTTPS」。Hacker News 上的「Chrome’s address bar will use https:// by default (chromium.org)」也可以看一下。 也就是說,沒有輸入 schema 的網址,預設會用...
View ArticleFirefox 87 推出 SmartBlock 阻擋 3rd-party tracking
Firefox 87 推出了 SmartBlock,試著阻擋各種追蹤器:「Firefox 87 introduces SmartBlock for Private Browsing」,不過這不是一般的預設值,而是只有 Strict 模式與無痕模式會用到。 對於追蹤的問題,最早的作法是直接擋掉 3rd-party tracking javascript...
View ArticleClik here to view.
讓 Tor 的 .onion 支援 HTTPS
看到 Tor 官方的「Get a TLS certificate for your onion site」這篇,查了一下發現先前漏掉一些資訊... 首先是 2020 年二月的時候 CA/Browser Forum 就已經在投票是否有開放 v3 .onion 的憑證:「[Servercert-wg] Voting Begins: Ballot SC27v3: Version 3 Onion...
View ArticleClik here to view.
英國五十英鎊鈔票圖案 (Alan Turing) 釋出
Twitter 上看到圖案釋出了: The new £50 note featuring Alan Turing is coming on 23 June 2021. Find out about its design and security features: https://t.co/nbOlU9kgCU #TheNew50 pic.twitter.com/FhPBJAVFP6 — Bank...
View ArticleFreeBSD & pfSense 上的 WireGuard 問題
FreeBSD 與 pfSense 上的 WireGuard 實做問題前幾天被 Ars 的人整理出來:「Buffer overruns, license violations, and bad code: FreeBSD 13’s close call」,文章有點長度,但整個劇情有種在看八點檔的感覺... 在 Hacker News 上的「Buffer overruns, license...
View ArticlePHP 的 Git Server 被打穿,決定把整個 Git 系統搬到 GitHub 上
就如同標題說的:「Changes to Git commit workflow」,Hacker News 上的討論也可以看一下:「PHP's Git server compromised, moving to GitHub (php.net)」。 Yesterday (2021-03-28) two malicious commits were pushed to the php-src repo...
View ArticleClik here to view.
還原被碼掉的 PEM 資訊 (SSH RSA key)
在「Recovering a full PEM Private Key when half of it is redacted」這邊看到的,起因是 _SaxX_ 幫客戶做滲透測試時找到客戶公開在網路上的 SSH key,然後他就碼掉一部分貼出來: This morning, I began another #pentest for a client. After some google-fu...
View ArticleTwitter 的 MFA 可以加入多支 YubiKey 了
我手上有好幾隻 YubiKey,目前幾個有在用的服務都有支援同時綁定多組 U2F/WebAuthn 的能力 (像是 Facebook 與 GitHub)。 Twitter 一開始推出的時候也可以支援多組,但在去年 2020 年八月的時候發現這個功能被拔掉,只能放一把進去。 我自己開了一張 ticket 定時回頭看一下有沒有修正,剛剛定期回顧發現這個功能被加回來了,而且官方的文件上也加上去了:「How...
View Article路透社的 RSS feed
翻資料才發現路透社的 feed 已經不見了,大概是去年 2020 年六月的事情:「Returning the "killed" RSS of Reuters from the dead」。 不過文章裡面提到的替代方案還蠻有趣的,Google News 上可以透過 filter 條件輸出:...
View ArticleEC2 總算支援透過 Serial Console 操作了...
以往 Amazon EC2 的機器爛到開不起來時只能「看」到 Console 的輸出,然後要把 root volume 掛到其他機器上修正,接著再掛回來 (然後沒修好就要再重複...),現在總算可以透過 EC2 Serial Console 來操作了:「Troubleshoot Boot and Networking Issues with New EC2 Serial Console」。...
View Article