利用作業系統 Page Cache 的旁路攻擊 - 2019

去年公佈 CPU Meltdown 與 Spectre 的攻擊手法,是利用 CPU 資料快娶的時間安排而可能造成資料外洩的情況,此手法(利用 Cache (此篇使用 Page Cache 分頁快取))在作業系統也是有可能會發生。

閱讀全文〈利用作業系統 Page Cache 的旁路攻擊 - 2019〉

URLhaus:查詢網址是否為散佈惡意程式的網站

現在瀏覽器打開某些網站,或者點選某些連結,有時後會看到整頁面都是紅色,然後出現警告這是可能是惡意或有危害的網站.. 等等的,這些疑似危害的網站、網址資訊可以從哪取得呢?

  • 註:此篇提到的此網站,可能只是其中一個~

閱讀全文〈URLhaus:查詢網址是否為散佈惡意程式的網站〉

MySQL 使用 mysql_config_editor 避免 CLI 出現密碼

MySQL 在 Bash Shell、Script 執行,若有密碼直接打在命令列裡面,都會出現下述的警告 (Warning):

Warning: Using a password on the command line interface can be insecure

為何會有這個警告呢?

主要是平常 CLI 的命令,用 ps 都可以查看到,若密碼打在上面,密碼很容易就因此洩漏出去(不過 MySQL 新版有避免這個問題,密碼直接輸入,於 ps 是看不到密碼的)。

當然除了 ps 外,還有很多方法可以查看,在此就不繼續探討。

閱讀全文〈MySQL 使用 mysql_config_editor 避免 CLI 出現密碼〉

瀏覽器 如何列出網頁 非 https 的內容

現在使用 Firefox、Chrome 等瀏覽器,https 的頁面都會顯示綠色標章,而 https 網頁裡面有包含 http 的內容,就會顯示不安全等等的訊息(註1),要怎麼找出是哪些內容不安全呢?

簡單說,就是如何找出目前 https 的網頁,哪些內容(網址)還是 http 的。(註2)

閱讀全文〈瀏覽器 如何列出網頁 非 https 的內容〉

蘋果、微軟等 四大瀏覽器業者 將在2020年停止支援 TLS 1.0、1.1

蘋果 (Safari)、微軟 (IE、Edge)、Google (Chrome)、Mozilla (Firefox) 為目前主流瀏覽器的四大業者,他們共同宣佈將於 2020年中止支援 TLS 1.0TLS 1.1,建議採用 TLS 1.2 以後的版本。

閱讀全文〈蘋果、微軟等 四大瀏覽器業者 將在2020年停止支援 TLS 1.0、1.1〉

Wi-Fi 聯盟公佈更安全的 WPA3 標準協定

WEP、WPA2 都已經不安全(註),總算有新的 WPA3 演算法出來,不過還要在 2019的下半年才會慢慢普及,先做點筆記~

閱讀全文〈Wi-Fi 聯盟公佈更安全的 WPA3 標準協定〉

GMail 機密模式:可回收信件、禁止複製、轉寄

GMail 近期推出「機密模式」(Confidential Mode),主打是寄出去的信件(含附件),可以回收(是真的回收,不是發一封信說,上一封信不算數),禁止複製、轉寄等等。

Google 是怎麼作到這件事的呢?

閱讀全文〈GMail 機密模式:可回收信件、禁止複製、轉寄〉