Clik here to view.
Google 在愚人節玩笑中造成的安全問題...
Google 在愚人節時拿出養很久不知道做什麼的 domain 出來用:「https://com.google/」,但也因此造成了安全性問題:「Google’s April Fool’s prank inadvertently broke their security」。 問題在於正常的 Google 頁面有這個 HTTP header 可以避免 iframe (以及 clickjacking):...
View ArticleRFC7469:Public Key Pinning Extension for HTTP
前幾天的 Standards Track:「Public Key Pinning Extension for HTTP」。 HPKP (HTTP Public Key Pinning) 機制是讓 server 端在第一次連線時告訴 client (像是瀏覽器) Public Key 資訊,也就是建構在 TOFU (Trust-on-first-use): Key pinning is a...
View ArticleClik here to view.
在 PC 的 Google Chrome 裡跑 Android 應用程式
在 OSNews 上看到可以在桌機上用 Google Chrome 跑 Android 應用程式:「Run Android apps on a PC with Google Chrome」,引用的報導是「You can now run Android apps on a Mac or PC with Google Chrome」這篇。 參考「Getting Started with...
View ArticleYuren Ju 的 ptt redirect:從轉載網站自動轉回 Ptt 原文
Twitter 上看到的 Google Chrome Extension 專案,針對轉載自 Ptt 的網站自動轉回 Ptt 原文: 不喜歡一些網站直接轉載 #ptt 並且加上廣告嗎?我寫了一個 chrome extension 讓你點到這些網站的連結時直接轉回 ptt,目前只支援 disp.cc https://t.co/HEZm1lDzyN — Yuren Ju (@yurenju) April...
View ArticleClik here to view.
在瀏覽器上面用 JavaScript 進行 Side-channel attack
用 JavaScript 就可以攻擊 L3 cache,進而取得資料:「JavaScript CPU cache snooper tells crooks EVERYTHING you do online」。 論文出自「The Spy in the Sandbox – Practical Cache Attacks in Javascript」(PDF) 這篇。 不需要任何外掛或...
View ArticleClik here to view.
Mozilla 移除 e-Guven CA Certificate
因為稽核過期失效,Mozilla 決定移除 e-Guven 的 Root CA:「Removing e-Guven CA Certificate」,對應的 Bugzilla 連結出自「Remove E-Guven root certificate from NSS」: Issuer Field: CN = e-Guven Kok Elektronik Sertifika Hizmet...
View ArticleMozilla 對非 HTTPS 站台的抵制
Mozilla Security Blog 上 Richard Barnes (Firefox Security Lead) 宣佈對非 HTTPS 站台的抵制政策。規劃在之後的 Firefox 新功能限定在 HTTPS 網站上:「Deprecating Non-Secure HTTP」。 詳細的日期還沒有確定,但預定分成兩個階段: Setting a date after which all...
View ArticleMozilla Developer Network (MDN) 上的 JavaScript 教學
Mozilla Developer Network (MDN) 寫了一篇關於 JavaScript 的介紹文章,算是以現在的角度來教 JavaScript:「A re-introduction to JavaScript (JS tutorial)」。 不是給完全不懂的人入門看的,而是對程式語言有了解的人看的。 文章裡面不單純只是教學,還引用了許多重要的文獻,尤其是 ECMAScript...
View ArticleWikimedia (包括維基百科) 推出 HSTS (強制使用 HTTPS)
Wikimeda 宣佈所有旗下的網站都會啟用 HTTPS 與 HSTS:「Securing access to Wikimedia sites with HTTPS」。 在這之前,使用者可以用 EFF 的 HTTPS Everywhere 強制使用 HTTPS (在 Firefox 與 Google Chrome 都有上架),而這次則是全面強制使用了。 愈來愈多人使用 HTTPS 來保護隱私後...
View Article微軟讓 Windows 7 與 Windows 8.1 上的 IE11 支援 HSTS
本來只有 Windows 10 的 IE11 有支援 HSTS,而前幾天的更新則是讓 Windows 7 與 Windows 8.1 的 IE11 也支援了:「HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7」。 With today’s monthly...
View Article
