2008年6月19日 星期四

CCTV經濟半小時揭密網路駭客

曾幾何時,以前躲躲藏藏的 cracker,現在也可以賺大錢了。(當然還是要繼續躲躲藏藏啦)

CCTV經濟半小時揭密網路駭客

防止 hk.www404.cn ARP 病毒擴散

以 Cisco Router 為例,指令如下:(將 router 上對某個 IP 轉向 NULL,感謝縣網鍾主任指導)


enable
configure terminal
ip route 222.216.28.0 255.255.255.0 Null0 254 permanent


以上 222.216.28.x 是 hk.www404.cn 的 IP,需隨時注意是不是有改變。

當然重點是找到真正中毒的區域電腦,並加以掃毒。如果區網中有 FreeBSD 主機,可以看一下 /var/log/messages
裡面會有 kernel 的 ARP 錯誤。例如像下面這樣:

Jun 19 11:49:43 flame kernel: arp: 172.16.0.254 moved from 00:0f:ea:47:07:ee to 00:30:80:04:3e:01 on bge0

延伸閱讀:
161816 ARP病毒解決(之一)161816 ARP病毒解決(之二)

2008年6月16日 星期一

雲林縣教育網公佈欄 RSS

雲林縣教育網公佈欄 http://mysql.ylc.edu.tw/ann/ 採用戴興能大大所撰寫的 ANN 公告系統,這個系統廣為各學校或公家機關使用。不過可惜的是,其網頁編碼使用 Big5,且沒有提供 RSS。

小弟曾經試過很多次自己撰寫程式抓取該網站資料,並轉碼成為 utf-8,然後輸出成 xml 格式的 RSS 資料。

但每次總是出現各種奇奇怪怪的問題只好作罷。(這些問題包括抓回來的網頁資料變得破碎,或是轉碼失敗等等。我也不知道原因何在,只好請教高人)

[[MORE]]

不過幸好幫助我們把網頁擷取出內容,並自動變成 RSS feed 的工具網站並不只一個。我最後用了 Feed43,因為它可以解決 big5 轉 utf-8 的問題。

Feed43 :看使用說明1使用說明2使用說明3

另外也推薦這個整理:CoolWJT的十二度空間 - 7個能幫任意網頁製作 RSS Feed 的工具

其實我比較喜歡 ponyfish

最後報告結論,ANN 公告系統的 RSS feed 仍然沒有正確產生,我想跟它一個特性有關:最新修改過的文章會一直跑到最前面。

偏偏教育局那邊好像大家都很愛改來改去,所以資料一直不能被正確的讀取。(我猜是這個原因啦)

2008年6月15日 星期日

Firefox 3 即將推出

火狐鬥陣拼紀錄,有你一份!

Firefox 3 在 6 月 17 日(本週二)即將推出,歡迎大家一起來創造最新的金氏世界紀錄!
紀錄名稱是:「單日最多人下載軟體」。關於活動細節請點選上方圖示進入活動頁面。

結果:單日下載共有 800 萬人次,比起 Firefox 2 推出時的 160 萬人次真是有非常大幅的長進啊! (6/19)

2008年6月12日 星期四

Cross-Site Scripting 防止

2007 年OWASP公佈十大Web AP 安全反映出目前的攻擊現況,Cross-Site Scripting成為十大攻擊之首,呈現出目前網路釣魚與詐欺攻擊濫用Cross-Site Scripting的情形。

[[MORE]]

因此互動性網頁的設計者不可不慎,重點是對於使用者所輸入的東西必須加以過濾,尤其是 HTML 標籤。

對於 Cross-Site Scripting (XSS) 有興趣的朋友可以參考以下文件:(對不起,這些資料來源來自某個論壇,但我忘記在哪裡了)

2008年6月11日 星期三

Google Apps Education Edition 之五其他篇

這是 Google Apps Education Edition 相關文章的最後一篇了,希望拋磚引玉,讓大家縮短摸索的時間。小弟對 SSO 的實作老實說還不完整,頂多只能是堪用。希望將來有高手可以幫忙設計更多工具,協助企業或學校管理 SSO。

這一系列文章的前情提要:


GAFYD 是很不錯的服務,要注意的是,你雖然可以透過它使用 Google 的各項服務,但它卻不是一個正式的 Google 帳號 (Google Account)。這意味著,你如果想要使用 GAFYD 帳號去存取其他的 Google 應用,比如 Reader、Notes或是 Groups,那你必須另外申請一個 Google Account。但好消息是,你可以直接拿 GAFYD 的 E-mail 帳號來申請成為 Google Account,注意這兩者密碼當然就可能不同。

[[MORE]]

這種狀況就像你拿自己的 E-mail 去註冊為 LiveID,透過 LiveID 去使用 MSN 通訊軟體,你的 LiveID 與信箱雖然長得一樣,但是密碼可以相同也可以不同。

請看這個比較:一個 GAFYD 帳號與一般 Google 帳號有何不同。或者你也可以加入這個討論


除此之外,GAFYD 相較於正式的 Gmail 帳號也有不同的限制。比如說,內建的交談功能 (Web-based Gtalk) 裡,我找不到「群組交談」(Group Chat) 的按鈕。雖然沒辦法進行群組交談,但是仍可能使用這個功能,若是你的交談對象是一般的 gmail 帳號,由他來邀請其他人進行群組交談,那仍是可以間接達成此效果。

如果用 ThunderBird 或 outlook 作為 mail client,而想用自己的 SMTP 寄送密件副本(BCC),你也可能會遭遇一點點狀況,請看這個討論群

Google Apps Education Edition 之四SSO工具篇

比起自己依照 Google 的文件,設計屬於自己的 SSO,還不如直接找現成的工具來用。

比如說下面這幾樣是可以用在 GAFYD 的現成軟體:

  • GHeimdall (程式語言Python)- (授權GNU General Public License 2)

  • Enterprise Sign On Engine (Java) - (Apache License 2.0)

  • simpleSAMLphp (PHP) - (GNU Lesser General Public License)



[[MORE]]

當然還有別的,例如 Lasso 同時支援 C、PHP、Java。之所以列出上面三種,其實是 Google 文件中提到的。

其中由於我對 php 比較熟,而且我對 simple 這個字眼有好感,所以我選了 simpleSAMLphp 作為我實作的工具。

下載點:simplesamlphp_1_0.zip

  1. 先進行安裝:Installing simpleSAMLphp

  2. 進一步設定:simpleSAMLphp as an IdP for Google Apps for Education



如果按照程序設置完畢,卻仍出現錯誤「This service cannot be accessed because your login credentials have expired」,極有可能是系統時間錯誤,請用 ntptime 對時即可。(2010/4/25新增)

如果你對於 simpleSAMLphp 有任何問題的話,可以加入他們的討論區: simpleSAMLphp 討論區


註:
如果你對安全性要求很高,尤其你是一個常旅行在外,需要使用 public wifi 或是 shared PC 的人,那麼你可以考慮用 Gheimdall 進行 two-factor authentication。請參考:How to add two-factor authentication to Google Apps for your Domain using open source software

Google Apps Education Edition 之三SSO驗證篇

Google Apps Education Edition 之一申請篇
Google Apps Education Edition 之二SSO原理篇

還是趕快把這個話題講完,不然都快忘光了。

這系列文章主要在探討 Google Apps for Your Domain (GAFYD) 中的 Single Sign-On (SSO) 。SSO 在 GFAYD 的教育版 (Education Edition) 與專業版 (Premier Edition) 中都有提供。不過我剛好只能使用教育版,因此標題才會是如此。

要驗證、實作 SSO,最簡單的方法,我想還是使用 Google 提供的 demo 工具:

[[MORE]]

  1. 先看看整個驗證的流程圖

  2. 再看看根據這個流程所設計出來的驗證程式 (Static Demo of SAML-based SSO for Google Apps) 其說明

  3. 上述驗證程式的展示 Static Demo

  4. 你可以從這裡把這個驗證程式抓回來裝



請記得先把你的 php 升級到 php5 最新版。
如果你想要跳過這個驗證的步驟,直接進入到實作,請看下一篇文章。

2008年6月9日 星期一

防毒軟體大投票

LifeHacker 選出了 5 個最棒的防毒軟體,到底你最喜歡哪一個呢?

Five Best Antivirus Applications

現在正在進行投票喔,你可以看到目前的票數比

但下面就有人說話了,這是一個不公平的投票,因為把要錢的軟體跟不要錢的軟體拿在一起比,大家當然選不要錢的啊!(看投票結果果然是這樣,但也許有的人更愛「不付錢就能用」的「付費軟體」?)

而且這次的投票只是問大家「心目中」最愛的防毒軟體,得到第一名的那個,從專業角度來看不見得是速度最快、更新最迅速、檔案體積最小、抓毒率最高、誤判率最低的。但大家還是參考看看囉~

另外一個值得注意的訊息是,有好幾個人認為 AVG7 比 AVG8 好用。

2008年6月3日 星期二

Flash爆零時差攻擊

因為很忙,現在才來提醒一下大家,更新一下你瀏覽器的 Flash Player 吧。

ZDNet:Flash爆零時差攻擊 專家建議先停用
Potential Flash Player issue - update

總之,最新版的 Flash Player 9.0.124.0,「應該」是安全的。