分類
好用軟體

輕量方便好用的DNS自訂服務 – nextdns.io

在管理或限制網路存取, 除了 firewall 外, 還有 DNS管理的手段, 當然前提必需是要能設定對應的 DNS權限才行.

今天介紹的這個 NextDNS 是利用 DNS的管理與限制來達成安全, 無廣告, 或限制使用者進入色情, 遊戲等特定的網站, 並且有完整的 DNS查詢記錄, 可以供日後分析或追踪使用.

官方網站: https://nextdns.io/

費用有免費層級的每月300,000次 DNS查詢, 對於一般家庭或個人應用應該是很足夠了, 而且不限制設備數量, 除了標準的 DNS以外, 也提供了更安全的 DNS-over-HTTPS 與 DNS-over-TLS/QUIC 兩種 DNS查詢協議.

進入首頁後, 點選 Try it now 即可進入專用的 DNS設定 [Setup]頁籤, 對於各種終端設備都有完整的安裝介紹說明, 而且對於 Android/ iPhone 等環境都有對應的 APP可以更方便地安裝 DNS.

再來看看 [Security]頁籤, 其中預設了許多安全的機能, 如:

  • Threat Intelligence Feeds
  • AI-Driven Threat Detection
  • Google Safe Browsing
  • IDN Homograph Attacks Protection
  • Typosquatting Protection
  • Domain Generation Algorithms (DGAs) Protection
  • Block Newly Registered Domains (NRDs)
  • Block Dynamic DNS Hostnames
  • Block Parked Domains
  • Block Top-Level Domains (TLDs)
  • Block Child Sexual Abuse Material
分類
好用軟體

Cisco Talos超即時資安情報資訊平台

Cisco提供了全世界最先進, 最即時的資訊安全情報平台, 你可以利用線上查詢, 無論是 ip, email, domain name, network owner 等, 利用這個平台提供的即時資料可以有效而且快速地了解這些資安的威脅, 並可以避開這些風險.

大家可以多加利用:

https://www.talosintelligence.com/

繼續閱讀:

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8567

 

分類
好用軟體

Cloudflare提供免費新功能Turnstile (若已是Cloudflare CDN可以直接使用Firewall的Managed Challenge功能達成)

Turnstile是一個無形且更聰明的Captcha替代品,該解決方案可從輪替的一系列瀏覽器挑戰中自動選擇,它在背景尋找來自人類使用者的訊號。

也就是用來做人類檢核功能, 而降低被機器訪問的存取驗證, 就像是之前 Google 的 reCaptcha – https://www.google.com/recaptcha/about/

這個服務免費提供給 Cloudflare用戶, 應用在非 Cloudflare CDN網路環境場景使用, 若已是在 Cloudflare提供的網路連接狀況下, 就可以直接利用 Managed Challenge 的防火牆設置(免費用戶可以有 5個 firewall rule), 更容易來實現這個功能.

防火牆設定方式請參考: https://blog.cloudflare.com/end-cloudflare-captcha/ 其中的這個部分:

All Cloudflare customers can now choose Managed Challenge as a response option to any Firewall rule instead of CAPTCHA. We’ve also updated our dashboard to encourage all Cloudflare customers to make this choice.

(圖片引用自: https://blog.cloudflare.com/end-cloudflare-captcha/)

而新建防火牆規則可以參考: https://developers.cloudflare.com/firewall/cf-dashboard/create-edit-delete-rules/

Turnstile 實作的方式可以參考這裡的文件:

https://developers.cloudflare.com/turnstile/

繼續閱讀:

https://www.ithome.com.tw/news/153361

分類
程式技術

TatterTools中的Flash Upload安全性問題

由於 flash 在 10版之後, 透過 flash upload 的安全性有提升了, 不能使用 javascript 去呼叫 flash 的 select upload file dialog box, 所以在 TatterTools 中的發表文章的上傳組件就會因此失效.

解決的方式其實也就是把 browser 的 flash 降級成 flash 9 的版本, 但這個很怪, 因為有新版 flash 不用, 要去用舊的, 而若是升到 flash 10 又要能上傳的話, 一個是 disable browser 的 flash 功能, 但這個也很怪, 另一個則是修改一下 TatterTools 的編輯後台中的 upload module 讓 flash 失效即可.

其實 TatterTools 後台, 使用 flash upload 可以做多檔 upload, 但若沒有透過 flash 的話, 則是走 web upload , 一次只能上傳一個檔案, 雖然會比較麻煩, 不過也算是還可以的解決方案.

需要修改的地方有兩個, 一個是在新發表文章的 /blog/owner/entery/post/index.php 調查其中關鍵字: hasRightVersion , 全文是:

var hasRightVersion = DetectFlashVer(requiredMajorVersion, requiredMinorVersion, requiredRevision);

在下面加一行 hasRightVersion = false; 即可.

另一個位置是在修改文章的 /blog/owner/entry/edit/item.php , 一樣調查關鍵字 hasRightVersion, 一樣在偵測 flash version 後, 把該變數設為 false 即可.

修改好後, 在文章編輯後台的上傳區就會是單檔上傳的介面, 如下:
這樣一來就可以順利使用單檔上傳, 也避開了 flash 10 版安全性問題了!

Javascript的同一父網域下的crossdomain問題

今天在處理一個單純的 popup window (利用 window.open) 的子視窗, 在子視窗內進行 window.opener 的函數調用, 一般的狀況下, 都在同一網站(列如都在 www.foo.com)下沒有 cross domain 的問題, 但若是在兩個不同 domain 時(例如 www.foo.com 及 www.foo2.com), 就會有 cross domain 問題. 這個其實是一個單純的 security 問題.

不過若是今天是在同一家公司內的 cross domain, 例如 www1.foo.com 及 www2.foo.com 兩個 domain 下要執行這樣 cross domain 時, 是否能解決呢? 答案是肯定的, 其實和 cookie 域名共用設定方式相同, 上級域名共用的狀況下, 可以進行 document.domain 的設定以達成此項目的.

我們可以分別在 page1 在 www1.foo.com 及 page2 在 www2.foo.com 的網頁內 javascript 要執行 cross domain 指令前先執行

document.domain = "foo.com";

再繼續後續的程式碼即可, 這樣就不會有 cross domain 的問題囉.
不過也是有一些限制, 就是必須是在同樣的上級域名下, 才能使用, 而且也無法在 www1.foo.com 上將 document.domain 設定為 foo2.com 這樣的 domain, 這個原理其實和 cookie 的 domain 原理是相同的.

參考資料:
http://www.lhelper.org/tech/communicate_between_domains.html
http://www.cnblogs.com/xiaozhang/archive/2006/07/27/461306.html
http://www.mozilla.org/projects/security/components/same-origin.html
http://msdn2.microsoft.com/en-us/library/ms533028.aspx