- 資訊安全:
1.CVE-2015-4483:使用feed协议绕过火狐 Mixed Content Blocker by FreeBuf
在Firefox 40中修复了一个漏洞编号为CVE-2015-4483的BUG。通常Firefox 能阻止Mixed Content,但使用feed协议,并通过post提交可以绕过它。
2.PortMapper被滥用进行大规模DDoS攻击 by 安全牛
美国主力通讯运营商Level 3注意到某种新型的DDoS攻击,它会滥用Portmapper(也即RPCbind)服务。这种攻击已经存在了一段时间,但其数量最近则有戏剧性的增加。
攻击者伪造指向DDoS目标的地址,将UDP包发送给公共Portmapper服务。Portmapper会帮助攻击者返回一个大得多的响应。如果有足够多的查询服务器,其管理人员也没有意识到,那么这次攻击就将被放大,压倒攻击目标。
3.ZigBee 安全探究 by riusksk
ZigBee主要提供有三个等级的安全模式:
(1)非安全模式:为默认安全模式,即不采取任何安全服务,因此可能被窃听;
(2)访问控制模式:通过访问控制列表(ACL,包含有允许接入的硬件设备MAC地址) 限制非法节点获取数据;
(3)安全模式:采用AES 128位加密算法进行通讯加密,同时提供有0,32,64,128位的完整性校验,该模式又分为标准安全模式(明文传输密钥)和高级安全模式(禁止传输密钥)。
如果使用安全模式,那么它会提供3种类型的密钥用于保证通讯安全:
由于在密钥传输过程中,可能会以明文形式传输网络/链接密钥,因此可能被窃取到密钥,从而解密出通讯数据,或者伪造合法设备。也有可能通过逆向一些智能设备固件,从中获取密钥进行通讯命令解密,然后伪造命令进行攻击。
在Firefox 40中修复了一个漏洞编号为CVE-2015-4483的BUG。通常Firefox 能阻止Mixed Content,但使用feed协议,并通过post提交可以绕过它。
2.PortMapper被滥用进行大规模DDoS攻击 by 安全牛
美国主力通讯运营商Level 3注意到某种新型的DDoS攻击,它会滥用Portmapper(也即RPCbind)服务。这种攻击已经存在了一段时间,但其数量最近则有戏剧性的增加。
攻击者伪造指向DDoS目标的地址,将UDP包发送给公共Portmapper服务。Portmapper会帮助攻击者返回一个大得多的响应。如果有足够多的查询服务器,其管理人员也没有意识到,那么这次攻击就将被放大,压倒攻击目标。
3.ZigBee 安全探究 by riusksk
ZigBee主要提供有三个等级的安全模式:
(1)非安全模式:为默认安全模式,即不采取任何安全服务,因此可能被窃听;
(2)访问控制模式:通过访问控制列表(ACL,包含有允许接入的硬件设备MAC地址) 限制非法节点获取数据;
(3)安全模式:采用AES 128位加密算法进行通讯加密,同时提供有0,32,64,128位的完整性校验,该模式又分为标准安全模式(明文传输密钥)和高级安全模式(禁止传输密钥)。
如果使用安全模式,那么它会提供3种类型的密钥用于保证通讯安全:
- 主密钥(Master Key):用于配合ZigBee对称密钥的建立(SKKE)过程来派生其它密钥,也就是说,设备要先拥有信任中心(ZigBee网络中有且仅有的一个可信任设备,负责密钥分发与管理,以及网络的建立与维护)生成的主密钥才能派生网络密钥和链路密钥给其它设备,它可以由信任中心设置,也可基于用户访问数据,比如个人识别码(PIN),口令或密码等信息;
- 网络密钥(Network Key):用于保护广播和组数据的机密性和完整性,同时也为网络认证提供保护,被网络中的多个设备所共享,仅在广播消息中使用;
- 链接密钥(Link Key):用于保护两个设备之间单播数据的机密性和完整性,仅通讯中的2个设备持有,而单个设备需要多个链接密钥来保护每个端对端会话。
由于在密钥传输过程中,可能会以明文形式传输网络/链接密钥,因此可能被窃取到密钥,从而解密出通讯数据,或者伪造合法设备。也有可能通过逆向一些智能设备固件,从中获取密钥进行通讯命令解密,然后伪造命令进行攻击。
- 自我成長:
1.你有成為贏家的條件嗎?──全球衝浪冠軍教我的五堂課 by 劉道薇
(1)80/20法則新詮釋:贏家的誕生,80% 靠意志力,只有 20% 是來自專業能力。
(2)確定動機再行動
(3)努力「化缺陷為精彩」
(4)不斷進步,比追求完美重要
(5)「我們」比「我」重要
2.別把「觀世界」當成「世界觀」 by 肥宅保羅
要從觀世界進化到世界觀,不應該停留在表面的「知道」。「知道」其他國的差異後,更應該去想背後的「道理」,而不是用「文化差異」、「社會不同」帶過,要知道,文化與社會都是「人」所營造的,如果人們不因彼此差異而自覺改變,那文化和社會不可能有進步。
面對一個事件,若能先放下根深蒂固的「台灣標準」、「台灣文化」成見,試著用不同文化脈絡去交相印證、思考事情的本質,我認為這就是逐漸從「觀世界」往「世界觀」邁進的過程了。
世界觀當然也不可能在特色景點拍拍照、打打卡就能突然頓悟。而必須要真正放開心胸,跟當地人交流;在當地生活中,細細體驗當地的生活型態以及背後所代表的意義,才有辦法真正用「他們的角度」去看事情。當你有辦法用越多「不同文化的角度」去看事情,自然高度就提升,也越來越接近真正的「世界觀」了。
3.突破舊思維,三招學創新 by 詹長霖
(1)提高「跨界搜索」能力
(2)從「客戶體驗」和「微創新」入手
(3)通過「多元化學習」
(1)80/20法則新詮釋:贏家的誕生,80% 靠意志力,只有 20% 是來自專業能力。
(2)確定動機再行動
(3)努力「化缺陷為精彩」
(4)不斷進步,比追求完美重要
(5)「我們」比「我」重要
2.別把「觀世界」當成「世界觀」 by 肥宅保羅
要從觀世界進化到世界觀,不應該停留在表面的「知道」。「知道」其他國的差異後,更應該去想背後的「道理」,而不是用「文化差異」、「社會不同」帶過,要知道,文化與社會都是「人」所營造的,如果人們不因彼此差異而自覺改變,那文化和社會不可能有進步。
面對一個事件,若能先放下根深蒂固的「台灣標準」、「台灣文化」成見,試著用不同文化脈絡去交相印證、思考事情的本質,我認為這就是逐漸從「觀世界」往「世界觀」邁進的過程了。
世界觀當然也不可能在特色景點拍拍照、打打卡就能突然頓悟。而必須要真正放開心胸,跟當地人交流;在當地生活中,細細體驗當地的生活型態以及背後所代表的意義,才有辦法真正用「他們的角度」去看事情。當你有辦法用越多「不同文化的角度」去看事情,自然高度就提升,也越來越接近真正的「世界觀」了。
3.突破舊思維,三招學創新 by 詹長霖
(1)提高「跨界搜索」能力
(2)從「客戶體驗」和「微創新」入手
(3)通過「多元化學習」
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言