現在做身份確認,常常會使用簡訊來認證,這個已經被認定不是安全的作法,建議改用 App OTP 的認證方式比較安全。
標籤: security
Google 與 CWI Amsterdam 攻陷 SHA-1 演算法
Google 與 CWI Amsterdam 聯手攻陷 SHA-1 演算法,可以產生出不同內容,相同的 SHA-1 的值。(碰撞攻擊 Collision)
針對台灣證券下單平臺的 DDoS 攻擊 - 2017
臺灣證券下單平臺的收到勒索信件,要求支付 Bitcoin 等贖金,不然就要發動 DDoS 的攻擊,這種電影才看得到的情節,在現實真實上演了~
部分 Android 會自動將裝置內的資料上傳到中國伺服器
某些品牌的 Android 手機有固定的後門程式,固定時間會將裝置內「完整的簡訊內容、通聯記錄、聯絡清單、地理位置」上傳到中國的 Server,而且無法關閉。
註:某些品牌包含 華為(Huawei)、中興(ZTE)
IoT殭屍網路來自同一個中國業者的韌體 - 2016
Debian Linux 特定套件使用新版本(Testing)的作法
Debian / Ubuntu Linux 某個套件需要用到 testing / sid 的套件,但是其它都還是想維持在 stable,要怎麼做呢?
- 註1:這個情況剛好發生在 Debian SSH 套件 stable 是有 Security issue (Security Bug Tracker),testing 套件是沒問題的。
- 註2:
- CVE-2016-6515 - 由此處可見 jessie (security), jessie 1:6.7p1-5+deb8u3 vulnerable
- Information on source package openssh
好站:查看帳號、密碼是否有被洩露
新聞常常看到某些網站被入侵,某些網站的密碼黨被撈走... 等等,但是自己的帳號、密碼有沒有在裡面呢?
簡單說就是查看:密碼是否有被洩漏的服務。
註:密碼檔洩露並不代表馬上會有危險,大多數網站密碼檔都會是加密過,無法反解回來的。不過用暴力法破解的話,時間足夠的話,總會有找出密碼的機會,所以看到記得立刻去更換新密碼。
Linux TCP Flaw 安全性問題的暫時解法
Linux TCP 實作 RFC 5961,但是 RFC 5961 本身設計會導致有安全性問題,而這個影響範圍很廣泛,使用 TCP 都會受到影響,ex: HTTP、FTP、SSH、Telnet、DNS、SMTP ... 等。
黑客的收費參考 - 2016
Git 低於 2.7.1 的安全性問題修正
Git 於 2016/3/17 有發現漏洞,而且問題不小,詳可見:Remote Code Execution in all git versions (client + server) < 2.7.1: CVE-2016-2324, CVE-2016‑2315