- 資訊安全:
1.变种XSS:持久控制 by tig3r
Service Worker是基于Web Worker的事件驱动的,他们执行的机制都是新开一个线程去处理一些额外的,以前不能直接处理的任务。对于Web Worker,我们可以使用它来进行复杂的计算,因为它并不阻塞浏览器主线程的渲染。
而Service Worker,我们可以用它来进行本地缓存,相当于一个本地的proxy。说起缓存,我们会想起我们常用的一些缓存技术来缓存我们的静态资源,但是老的方式是不支持调试的,灵活性不高。
使用Service Worker来进行缓存,我们可以用javascript代码来拦截浏览器的http请求,并设置缓存的文件,直接返回,不经过web服务器,然后,做更多你想做的事情。
可怕的是,即便 xss 漏洞被修复了,攻击仍然持续,并且渗透到攻击范围内的每一个 url。 并且,当用户察觉到攻击,并且理解这种攻击,进入chrome后台(chrome://appcache-internals), 进行手动清除攻击缓存,攻击仍未失效!
2.Hungryhouse重置上千万用户的密码 by _ToBin
在线外卖服务商Hungryhouse已经将多达上千万的客户的密码重置,表面原因貌似是因为第三方主机商的数据遭到了破坏。
Hungryhouse的首席执行官“斯科特弗莱彻”说:“我们与数据被破坏的第三方主机商并没有任何关系。但是我们的安全负责人注意到,我们的相当一部分客户的信息出现在了被攻击的邮箱列表中,所以我们采取了先发制人的措施,强制要求客户更改他们的密码。”
3.揭开XSSI攻击的神秘面纱 by Freebuf
Cross Site Script Inclusion (XSSI) 跨站脚本包含是一种允许攻击者通过恶意JS绕过边界窃取信息的攻击技术。
攻击者会将可泄露用户信息的JavaScript文件包含进来:
(1)JavaScript中泄露的用户数据存储在全局变量中
(2)JavaScript中泄露的数据来自全局函数
如何防止XSSI漏洞:
(1)这种攻击方式并不是基于浏览器的,所以不能用基于浏览器的方式来进行防护
(2)防止第三方包含脚本文件,解决方法:严格的调用审查以及使用token等标识
(3)从敏感数据中分离出JavaScript 代码、创建静态JS文件并在运行时动态的加载数据、数据服务可通过SOP被保护
Service Worker是基于Web Worker的事件驱动的,他们执行的机制都是新开一个线程去处理一些额外的,以前不能直接处理的任务。对于Web Worker,我们可以使用它来进行复杂的计算,因为它并不阻塞浏览器主线程的渲染。
而Service Worker,我们可以用它来进行本地缓存,相当于一个本地的proxy。说起缓存,我们会想起我们常用的一些缓存技术来缓存我们的静态资源,但是老的方式是不支持调试的,灵活性不高。
使用Service Worker来进行缓存,我们可以用javascript代码来拦截浏览器的http请求,并设置缓存的文件,直接返回,不经过web服务器,然后,做更多你想做的事情。
可怕的是,即便 xss 漏洞被修复了,攻击仍然持续,并且渗透到攻击范围内的每一个 url。 并且,当用户察觉到攻击,并且理解这种攻击,进入chrome后台(chrome://appcache-internals), 进行手动清除攻击缓存,攻击仍未失效!
2.Hungryhouse重置上千万用户的密码 by _ToBin
在线外卖服务商Hungryhouse已经将多达上千万的客户的密码重置,表面原因貌似是因为第三方主机商的数据遭到了破坏。
Hungryhouse的首席执行官“斯科特弗莱彻”说:“我们与数据被破坏的第三方主机商并没有任何关系。但是我们的安全负责人注意到,我们的相当一部分客户的信息出现在了被攻击的邮箱列表中,所以我们采取了先发制人的措施,强制要求客户更改他们的密码。”
3.揭开XSSI攻击的神秘面纱 by Freebuf
Cross Site Script Inclusion (XSSI) 跨站脚本包含是一种允许攻击者通过恶意JS绕过边界窃取信息的攻击技术。
攻击者会将可泄露用户信息的JavaScript文件包含进来:
(1)JavaScript中泄露的用户数据存储在全局变量中
(2)JavaScript中泄露的数据来自全局函数
如何防止XSSI漏洞:
(1)这种攻击方式并不是基于浏览器的,所以不能用基于浏览器的方式来进行防护
(2)防止第三方包含脚本文件,解决方法:严格的调用审查以及使用token等标识
(3)从敏感数据中分离出JavaScript 代码、创建静态JS文件并在运行时动态的加载数据、数据服务可通过SOP被保护
- 自我成長:
1.為什麼要學歷史?鍛鍊思辨能力4個步驟,關鍵時刻做出正確決定! by 張玉琦
學歷史的兩個大功用,第一是啟發智慧,第二是了解人性。社會是人的組成,想成功,就必須了解人性。而了解人最好的方法,就是藉由人事案例,這也是中國史學價值之所在。
培養思辨能力的四步驟:
(1)設身處地
(2)揣摩通透
(3)體貼入微
(4)洞見表裡
2.人生派對?被卡歌的19歲 by 洋蔥+蚊子
快樂是可以學習的,每天複習3件讓自己覺得快樂的事,回想身邊朋友說過的笑話、發生過的趣事,正面的能量除了天生的個性以外,後天也能透過多和樂觀開朗的朋友相處,來達到療癒的效果。
3.沒有任何事是簡單的小事 by 大倫物語
要讓批評有價值,應當具有幾種要素:第一要客觀,第二要謙虛,第三最好你有相同經歷。
沒有任何事是簡單的小事,出一張嘴容易,動手做你才會知道別人面臨的問題是什麼。
學歷史的兩個大功用,第一是啟發智慧,第二是了解人性。社會是人的組成,想成功,就必須了解人性。而了解人最好的方法,就是藉由人事案例,這也是中國史學價值之所在。
培養思辨能力的四步驟:
(1)設身處地
(2)揣摩通透
(3)體貼入微
(4)洞見表裡
2.人生派對?被卡歌的19歲 by 洋蔥+蚊子
快樂是可以學習的,每天複習3件讓自己覺得快樂的事,回想身邊朋友說過的笑話、發生過的趣事,正面的能量除了天生的個性以外,後天也能透過多和樂觀開朗的朋友相處,來達到療癒的效果。
3.沒有任何事是簡單的小事 by 大倫物語
要讓批評有價值,應當具有幾種要素:第一要客觀,第二要謙虛,第三最好你有相同經歷。
沒有任何事是簡單的小事,出一張嘴容易,動手做你才會知道別人面臨的問題是什麼。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言