Re: [新聞] 唐鳳提新招 破解中國網攻

※ 引述《TonyQ (得理饒人)》之銘言：
: ※ 引述《fur (英國研究真有趣)》之銘言：
: 來評論一下這件事情：
: 1. 基本上其他的提問跟回答我覺得都中規中矩，
: 除了看板那題的傷害有限，
: 我還是沒看到更具體的報告可以說明傷害有限。
: 2. ipfs 算是一種解法，但是只限於很少的使用場景，
: 理由是目前 ipfs 只支援純靜態的網站(有 js 效果但無外連也算靜態)。
: 所以拿 ipfs 說不卡，這個當玩笑可以，
: 但實際上來說，政府要應付的問題遠比這複雜多了 。
: 我看起來比較算是個開玩笑。
: 另外 ipfs 因為速度不夠快跟穩定，
這個想法在面對中國的駭客攻擊並不完全對

舉這陣子的台大教務處為例

就算台大教務處把所有的圖片存取連結都放在靜態網站

一樣可以做到圖片全部變成五星旗

原因是靜態網站雖然沒有受到攻擊也沒有受到阻斷

但是如果動態網頁伺服器被更改一樣可以把首頁圖的連結改成來自中國的連結

訪客看到的圖片一樣變成五星旗

靜態網站一樣好好的也沒有受到更動

但是靜態網站一般來說都可以應付較強的阻斷式攻擊ddos

也可以大量降低動態網頁伺服器被ddos時的負荷

這個幾乎所有架站人包括政府單位都必須考慮的事情
: 所以 cdn 會提供快取伺服器來服務，
: 這裡應該也隱含了會使用 cdn 的服務來使用的基礎。
: (cdn 也會提供流量清洗的服務)
cdn提供快取也只僅限於靜態網站

動態的個人資料是沒辦法cdn的

就算硬要cdn也沒有效益

而且cdn也會有延遲問題

像是大家都跑去看公路武嶺監視器的串流

cdn去把武嶺的影像上傳

結果大家拿到的影像變成cdn上的備份影像但是已經延遲了

之類的問題

只是一個硬要舉的舉例但是希望你能觸類旁通

就是提示一件事

cdn常常會提供錯誤的訊息這件事我常遇過

遇到一次就覺得對他們設計系統的人覺得很失望

還要想辦法繞掉cdn
: 這裡的問題是，多數平台還是以 https 為主，
: 要切換到 ipns 基本上需要很長的教育時間，
: 且是不是有足夠的量能可以支撐國民使用也是問題。
: 所以，用 ipfs 解題，
: 我個人認為起碼在兩年內都是幹話。XD
公務單位使用ipfs處理這個我想不出有什麼好處

比特幣之所以區塊鏈是因為有提供給區塊鏈節點好處

就是挖礦的報酬

但是公務單位區塊鏈化

請問你報酬要怎麼給？

你要別人幫你架設節點總要給個好處吧

不然我開個主機電費算我的？

區塊鏈化後還有節點掛掉的問題

幾個主機掛了那就全部的政府網站都掰了

那我只能說推廣這個東西就只是跟風炒作區塊鏈的話題

為了創新而創新但事實上根本沒有搞清楚新的技術上有哪些缺失

這種問題在一些青年技術社群很常見

作業系統永遠都要用最新版、beta版

結果灌了最新版有bug

請問你要怎麼辦？

你要幫他修bug嗎？

微軟、ios、android的bug你修得了那你有辦法發佈嗎？

區塊鏈化真的不是一個好想法
: 然後提到 web3 大家可能會想到的是區塊鏈，
: 但 ipfs 其實沒有 block 哦，
: 他技術上比較接近 bt 或驢子的協議，是 p2p 的檔案協議，
: 所以一樣要有人當種子，要等供檔。XDDD
: 3. 安全習慣的不良很多來至於莫名其妙的規定，
: 比方說逼公務員取他們記不起來的規則的密碼，
: 但是又不鼓勵或提供密碼管理器之類的服務。
: 然後莫名其妙三個月還要更換一次，
: 換到大家都不知道自己在記什麼了。
: 各種矯枉過正違反人性的資安策略，本身就是傷害資安的做法。
: 安全是相對的，不是絕對的。
: 另外很多公務機關的服務都是以機關為帳號權限管理，
: 而不是以人為目標的權限管理，
: 導致很多單位一個單位只有一個帳號，大家得分批共用。
: 一旦帳號共用就很難談資安跟管理了。
事實上並不是如此

以警政單位被駭為例

之前也有警察被抓到偷看拉拉隊隊員的資料

請問如果如你講的每個人都用一個帳號那為什麼抓得到？

https://www.ettoday.net/news/20220710/2291301.htm

很多單位政風處私底下都會定期盤查哪些人員查看哪些資料

舉例像警政、戶政這些都會

如果櫃台亂查別人的東西也是抓得到

此外公家單位規範密碼的更新和避免過於簡單的密碼都是必要措施

你有架站經驗但是應該不會慘到不知道有人會用程式去暴力破解密碼

我們之去參加國內的駭客比賽

懶得解題直接用程式暴力破解出題電腦的登入

真的試出登入密碼但是一登入馬上就被踢出去

再登一次密碼又不同了

這種做法其實很常見也很基礎

就是為什麼規定root密碼不能用在遠端登入

我想密碼強制要求應該很基本的東西

你不規範每個人都設定為0000

這樣你們外包廠商最方便了不是嗎？

維修費也一定很驚人
: 筆者有 15年軟體工程師經驗，
: 曾開發基於 evm dapp 跟合約的應用系統。
: 有興趣的可以推文繼續討論。
: 時代力量三重蘆洲區議員參選人
: 王景弘 TonyQ
: -----
: Sent from JPTT on my Samsung SM-G9980.

--

事實上登入器也可以做salt加鹽 但是前提就是沒辦法用公版的介面登入了 例如你有一套私有的salt來轉換資料庫的密碼 你輸入0000結果雜湊出長度128的亂碼 用這個亂碼來當密碼登入 駭客拿不到你的salt要用暴力法登進去難度就非常高了 失敗太多次也會更容易被發現 但是前提是你的登入器不能被駭客拿到 其實就是公鑰加密但是連公鑰都沒洩露的情況

但是加入雜湊之後 #rsg#$q^%^srestr^$#$^s$t$t$#w$tw#&$&^

!aAT$AT#@%$T$#T%$Y%$FDXGFX 應該就跟0000差很大了