分類
好用軟體

Cisco Talos超即時資安情報資訊平台

Cisco提供了全世界最先進, 最即時的資訊安全情報平台, 你可以利用線上查詢, 無論是 ip, email, domain name, network owner 等, 利用這個平台提供的即時資料可以有效而且快速地了解這些資安的威脅, 並可以避開這些風險.

大家可以多加利用:

https://www.talosintelligence.com/

繼續閱讀:

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8567

 

分類
好用軟體

Cloudflare提供免費新功能Turnstile (若已是Cloudflare CDN可以直接使用Firewall的Managed Challenge功能達成)

Turnstile是一個無形且更聰明的Captcha替代品,該解決方案可從輪替的一系列瀏覽器挑戰中自動選擇,它在背景尋找來自人類使用者的訊號。

也就是用來做人類檢核功能, 而降低被機器訪問的存取驗證, 就像是之前 Google 的 reCaptcha – https://www.google.com/recaptcha/about/

這個服務免費提供給 Cloudflare用戶, 應用在非 Cloudflare CDN網路環境場景使用, 若已是在 Cloudflare提供的網路連接狀況下, 就可以直接利用 Managed Challenge 的防火牆設置(免費用戶可以有 5個 firewall rule), 更容易來實現這個功能.

防火牆設定方式請參考: https://blog.cloudflare.com/end-cloudflare-captcha/ 其中的這個部分:

All Cloudflare customers can now choose Managed Challenge as a response option to any Firewall rule instead of CAPTCHA. We’ve also updated our dashboard to encourage all Cloudflare customers to make this choice.

(圖片引用自: https://blog.cloudflare.com/end-cloudflare-captcha/)

而新建防火牆規則可以參考: https://developers.cloudflare.com/firewall/cf-dashboard/create-edit-delete-rules/

Turnstile 實作的方式可以參考這裡的文件:

https://developers.cloudflare.com/turnstile/

繼續閱讀:

https://www.ithome.com.tw/news/153361

分類
程式技術

TatterTools中的Flash Upload安全性問題

由於 flash 在 10版之後, 透過 flash upload 的安全性有提升了, 不能使用 javascript 去呼叫 flash 的 select upload file dialog box, 所以在 TatterTools 中的發表文章的上傳組件就會因此失效.

解決的方式其實也就是把 browser 的 flash 降級成 flash 9 的版本, 但這個很怪, 因為有新版 flash 不用, 要去用舊的, 而若是升到 flash 10 又要能上傳的話, 一個是 disable browser 的 flash 功能, 但這個也很怪, 另一個則是修改一下 TatterTools 的編輯後台中的 upload module 讓 flash 失效即可.

其實 TatterTools 後台, 使用 flash upload 可以做多檔 upload, 但若沒有透過 flash 的話, 則是走 web upload , 一次只能上傳一個檔案, 雖然會比較麻煩, 不過也算是還可以的解決方案.

需要修改的地方有兩個, 一個是在新發表文章的 /blog/owner/entery/post/index.php 調查其中關鍵字: hasRightVersion , 全文是:

var hasRightVersion = DetectFlashVer(requiredMajorVersion, requiredMinorVersion, requiredRevision);

在下面加一行 hasRightVersion = false; 即可.

另一個位置是在修改文章的 /blog/owner/entry/edit/item.php , 一樣調查關鍵字 hasRightVersion, 一樣在偵測 flash version 後, 把該變數設為 false 即可.

修改好後, 在文章編輯後台的上傳區就會是單檔上傳的介面, 如下:
這樣一來就可以順利使用單檔上傳, 也避開了 flash 10 版安全性問題了!

Javascript的同一父網域下的crossdomain問題

今天在處理一個單純的 popup window (利用 window.open) 的子視窗, 在子視窗內進行 window.opener 的函數調用, 一般的狀況下, 都在同一網站(列如都在 www.foo.com)下沒有 cross domain 的問題, 但若是在兩個不同 domain 時(例如 www.foo.com 及 www.foo2.com), 就會有 cross domain 問題. 這個其實是一個單純的 security 問題.

不過若是今天是在同一家公司內的 cross domain, 例如 www1.foo.com 及 www2.foo.com 兩個 domain 下要執行這樣 cross domain 時, 是否能解決呢? 答案是肯定的, 其實和 cookie 域名共用設定方式相同, 上級域名共用的狀況下, 可以進行 document.domain 的設定以達成此項目的.

我們可以分別在 page1 在 www1.foo.com 及 page2 在 www2.foo.com 的網頁內 javascript 要執行 cross domain 指令前先執行

document.domain = "foo.com";

再繼續後續的程式碼即可, 這樣就不會有 cross domain 的問題囉.
不過也是有一些限制, 就是必須是在同樣的上級域名下, 才能使用, 而且也無法在 www1.foo.com 上將 document.domain 設定為 foo2.com 這樣的 domain, 這個原理其實和 cookie 的 domain 原理是相同的.

參考資料:
http://www.lhelper.org/tech/communicate_between_domains.html
http://www.cnblogs.com/xiaozhang/archive/2006/07/27/461306.html
http://www.mozilla.org/projects/security/components/same-origin.html
http://msdn2.microsoft.com/en-us/library/ms533028.aspx