haocheng 積分 0

要拿到 root 權限才有用的安全漏洞的確有點詭異,畢竟有 root 權限什麼事都能做,還需要靠什麼漏洞...

haocheng 積分 0

其實是 K8S 被駭拿到 AWS 的 credentials,可能這樣寫比較聳動吧 XD

gugod 積分 0

以後還有人說「用 UDP 傳會掉包」 的話就拿這篇文章來回應(呃)

kaif 積分 0

不懂這類文章為何都要寫是S3被駭xd 明明每次都是從其他地方leak的阿。值入程式更是匪夷所思了,ithome是不是都找工讀生翻譯阿

koji 積分 0

所以 Brian Acton 不在 whatsapp 了?

gugod 積分 0

這兩家公司的共生關係真是奇妙

IngramChen 積分 0

經過這麼多年的催殘,帳號使用三個欄位才是長久之計。

1) 最底層用 uuid;2) 登入的話,我會選 email 了;3) 暱稱的話則無規則,反正最後一定改的亂七八糟。

haocheng 積分 0 編輯於

雖然不是新聞,不過 patch 才釋出沒多久,大家趕快更新吧...

I say “unfortunately”, in part because there was a coordinated release date of January 9, 2018, agreed upon by essentially every operating system, hardware, and cloud vendor in the world.

haocheng 積分 0

效能少了 20%,表示上 patch 之後要加開機器嗎? =_=

kaif 積分 1

看了一下NIST.SP.800-63b. 相關的有這段

Provide clear, meaningful and actionable feedback on entry errors to reduce user confusion and frustration. Significant usability implications arise when users do not know they have entered text incorrectly.

kaif 積分 0

試一下google和fb都沒有這樣做, 可惜台灣大部分資安規則還是有這條, 可能十年以後才拿得掉

IngramChen 積分 0

其實這是為了催毀廣告公司而來的,不止是擋廣告而已

每個廣告都點,所有的廣告系統都會崩潰 (基本上就是把你加入黑名單),Google 就這樣把這個 extension 給 ban 了

IngramChen 積分 1 編輯於

原來對付 ads 最好手段不是擋下它,而是點爆它!

caterpillar 積分 0

文件想說的帳號註冊的事吧!(標題殺人法)

koji 積分 0

這算是一種 pattern 漸漸就直接做成這樣嗎XD?

IngramChen 積分 0

帳密怎麼會 commit 進對外的 repo 啦!

private repo 不保證就是安全的. 而且自己人也可以任意 checkout, 不是一個超大洞嗎. 密碼或 key 只能少數人會碰到才是

能 commit 進的, 頂多是那些受限的 aws iam 帳號而已

IngramChen 積分 0

uber 把 aws 帳密 commit 到 github private repository, 然後駭客偷到密碼後去他們家 aws 逛街, 逛到了 archive 的司機和乘客的資料

駭客向 uber 勒索, 然後 uber 也付錢了事.

IngramChen 積分 0

好啦,賣你廣告不夠,偷你資料也不夠。

最後只好拿你的電腦挖礦惹

natsu 積分 1

然而,经过黑盒测试,当 PUT 地址为/1.jsp/时,仍然会创建 JSP,会影响 Linux 和 Windows 服务器,并且 Bypass 了之前的补丁,分析如下。

這一段提到的也會影響 Linux ...

目前来说,最好的解决方式是将 conf/web.xml 中对于 DefaultServlet 的 readonly 设置为 true,才能防止漏洞。

預設 readonly 就會是 true 了,所以沒有必要的話不要去改 ...