Re: [新聞] 唐鳳提新招 破解中國網攻
※ 引述《TonyQ (得理饒人)》之銘言:
: ※ 引述《fur (英國研究真有趣)》之銘言:
: 來評論一下這件事情:
: 1. 基本上其他的提問跟回答我覺得都中規中矩,
: 除了看板那題的傷害有限,
: 我還是沒看到更具體的報告可以說明傷害有限。
: 2. ipfs 算是一種解法,但是只限於很少的使用場景,
: 理由是目前 ipfs 只支援純靜態的網站(有 js 效果但無外連也算靜態)。
: 所以拿 ipfs 說不卡,這個當玩笑可以,
: 但實際上來說,政府要應付的問題遠比這複雜多了 。
: 我看起來比較算是個開玩笑。
: 另外 ipfs 因為速度不夠快跟穩定,
這個想法在面對中國的駭客攻擊並不完全對
舉這陣子的台大教務處為例
就算台大教務處把所有的圖片存取連結都放在靜態網站
一樣可以做到圖片全部變成五星旗
原因是靜態網站雖然沒有受到攻擊也沒有受到阻斷
但是如果動態網頁伺服器被更改一樣可以把首頁圖的連結改成來自中國的連結
訪客看到的圖片一樣變成五星旗
靜態網站一樣好好的也沒有受到更動
但是靜態網站一般來說都可以應付較強的阻斷式攻擊ddos
也可以大量降低動態網頁伺服器被ddos時的負荷
這個幾乎所有架站人包括政府單位都必須考慮的事情
: 所以 cdn 會提供快取伺服器來服務,
: 這裡應該也隱含了會使用 cdn 的服務來使用的基礎。
: (cdn 也會提供流量清洗的服務)
cdn提供快取也只僅限於靜態網站
動態的個人資料是沒辦法cdn的
就算硬要cdn也沒有效益
而且cdn也會有延遲問題
像是大家都跑去看公路武嶺監視器的串流
cdn去把武嶺的影像上傳
結果大家拿到的影像變成cdn上的備份影像但是已經延遲了
之類的問題
只是一個硬要舉的舉例但是希望你能觸類旁通
就是提示一件事
cdn常常會提供錯誤的訊息這件事我常遇過
遇到一次就覺得對他們設計系統的人覺得很失望
還要想辦法繞掉cdn
: 這裡的問題是,多數平台還是以 https 為主,
: 要切換到 ipns 基本上需要很長的教育時間,
: 且是不是有足夠的量能可以支撐國民使用也是問題。
: 所以,用 ipfs 解題,
: 我個人認為起碼在兩年內都是幹話。XD
公務單位使用ipfs處理這個我想不出有什麼好處
比特幣之所以區塊鏈是因為有提供給區塊鏈節點好處
就是挖礦的報酬
但是公務單位區塊鏈化
請問你報酬要怎麼給?
你要別人幫你架設節點總要給個好處吧
不然我開個主機電費算我的?
區塊鏈化後還有節點掛掉的問題
幾個主機掛了那就全部的政府網站都掰了
那我只能說推廣這個東西就只是跟風炒作區塊鏈的話題
為了創新而創新但事實上根本沒有搞清楚新的技術上有哪些缺失
這種問題在一些青年技術社群很常見
作業系統永遠都要用最新版、beta版
結果灌了最新版有bug
請問你要怎麼辦?
你要幫他修bug嗎?
微軟、ios、android的bug你修得了那你有辦法發佈嗎?
區塊鏈化真的不是一個好想法
: 然後提到 web3 大家可能會想到的是區塊鏈,
: 但 ipfs 其實沒有 block 哦,
: 他技術上比較接近 bt 或驢子的協議,是 p2p 的檔案協議,
: 所以一樣要有人當種子,要等供檔。XDDD
: 3. 安全習慣的不良很多來至於莫名其妙的規定,
: 比方說逼公務員取他們記不起來的規則的密碼,
: 但是又不鼓勵或提供密碼管理器之類的服務。
: 然後莫名其妙三個月還要更換一次,
: 換到大家都不知道自己在記什麼了。
: 各種矯枉過正違反人性的資安策略,本身就是傷害資安的做法。
: 安全是相對的,不是絕對的。
: 另外很多公務機關的服務都是以機關為帳號權限管理,
: 而不是以人為目標的權限管理,
: 導致很多單位一個單位只有一個帳號,大家得分批共用。
: 一旦帳號共用就很難談資安跟管理了。
事實上並不是如此
以警政單位被駭為例
之前也有警察被抓到偷看拉拉隊隊員的資料
請問如果如你講的每個人都用一個帳號那為什麼抓得到?
https://www.ettoday.net/news/20220710/2291301.htm
很多單位政風處私底下都會定期盤查哪些人員查看哪些資料
舉例像警政、戶政這些都會
如果櫃台亂查別人的東西也是抓得到
此外公家單位規範密碼的更新和避免過於簡單的密碼都是必要措施
你有架站經驗但是應該不會慘到不知道有人會用程式去暴力破解密碼
我們之去參加國內的駭客比賽
懶得解題直接用程式暴力破解出題電腦的登入
真的試出登入密碼但是一登入馬上就被踢出去
再登一次密碼又不同了
這種做法其實很常見也很基礎
就是為什麼規定root密碼不能用在遠端登入
我想密碼強制要求應該很基本的東西
你不規範每個人都設定為0000
這樣你們外包廠商最方便了不是嗎?
維修費也一定很驚人
: 筆者有 15年軟體工程師經驗,
: 曾開發基於 evm dapp 跟合約的應用系統。
: 有興趣的可以推文繼續討論。
: 時代力量三重蘆洲區議員參選人
: 王景弘 TonyQ
: -----
: Sent from JPTT on my Samsung SM-G9980.
--
直接網站關了就好
塔塔:唐鳳是天才
加強密碼強度、增加密碼更換頻率、導入
多因素驗證,要被駭機率就大為降低.....
事實上登入器也可以做salt加鹽 但是前提就是沒辦法用公版的介面登入了 例如你有一套私有的salt來轉換資料庫的密碼 你輸入0000結果雜湊出長度128的亂碼 用這個亂碼來當密碼登入 駭客拿不到你的salt要用暴力法登進去難度就非常高了 失敗太多次也會更容易被發現 但是前提是你的登入器不能被駭客拿到 其實就是公鑰加密但是連公鑰都沒洩露的情況
對暴力破解來說 0000 和 s#w2 並無差別
但是加入雜湊之後 #rsg#$q^%^srestr^$#$^s$t$t$#w$tw#&$&^
[email protected]!aAT$AT#@%$T$#T%$Y%$FDXGFX 應該就跟0000差很大了
化學本科,不明覺厲
現在比較流行的是用密碼以外的方式認證
或者說 不只認密碼一項
2FA/OTP 都已經到處都是 連遊戲都在用
如果是encode過後的密碼外洩呢
MFA有用,不過使用者還是要有良好觀念
最後綁到指紋/卡片/門號 之類實體物品
讓他偷到密碼也沒有用
對政府網站來說這其實很自然, 健保卡
自然人憑證 戶口名簿 之類已經都拿來用
動態資料用 CDN 還是有流量清洗的效果。流
量清洗是偵測連線,跟 cache /靜態與否無關
。
然後動態頁面也是可以考慮用 snapshot 做 c
ache ,就看 ap 設計評估。
1.ipfs 跟 block 沒有關係。
2. 公務機關自己當種子無妨,就是效率問題
。伺服器的錢橫豎都是要花的。
密碼的部分,有機關共用帳號,不等於所有系
統都是機關共用帳號....簡單的理則學。
先搞清楚你在講什麼,我覺得談起來比較不會
這麼牛頭不對馬嘴。
8
最近也多虧這件事情開始研究 IPFS,但目前感覺以靜態跟分散式的特性來說的 確有機會抵擋DDoS,但撇除到時候有網頁會有動態邏輯部分要怎麼套用之外 我個人倒是比較擔心安全存取上的問題 舉例來說,目前 Brave 瀏覽器本身是可以解析 ipns:// 這種協定 假如安裝完後再該瀏覽器輸入 數位發展部網站 ipns://moda.gov.tw/爆
來評論一下這件事情: 1. 基本上其他的提問跟回答我覺得都中規中矩, 除了看板那題的傷害有限, 我還是沒看到更具體的報告可以說明傷害有限。 2. ipfs 算是一種解法,但是只限於很少的使用場景,3
不是啊 我們的天才IT大臣假如有這麼棒的技術 怎會口罩實名制剛上線當機 實聯制申請網站剛上路時當機 疫苗預約前面好幾波剛開放就當機 只要是大家急著搶的東西一定要當機一次又一次給大家看2
去年疫苗登記平台就被自己人「打爆了」 : 答:很多資安漏洞都來自人為操作失誤,例如很多人會將公共場所使用的密碼與公務密碼設 : 定為相同,一旦前者密碼被破解,就可破解公務電郵信箱。甚至有些密碼的設定讓人很好猜 : ,被破解也就不需花什麼時間。 : 最主要還是要培養良好資安習慣,未來數位發展部簽公文可能不會打入長串密碼,例如用自6
阻斷式攻擊稱不上是什麼駭客技術 就是純粹機器人一直發流量 這種東西就幾行程式碼高中生都寫得出來 如果你裝開源套件的話一行指令就完成了根本沒有技術可言 舉例像鎖定幾個檔案特大的圖片
爆
Re: [問卦] Pan piano贏了流量但是失去了什麼?我覺得Pan Piano不露臉只是因為長得很普吧 她早期網站個人介紹就有露臉了 老實講過這麼久了我不知道為啥都沒什麼人貼過 都只看到大家在貼那張側臉爆
[閒聊]遊戲開發者抱怨現在程式碼誇張膨脹「可能有99%的內容都是垃遊戲開發者Cliffski抱怨現在程式碼誇張膨脹「可能有99%的內容都是垃圾」 作為一名從事獨立遊戲設計和程式業務的開發者,克裡夫斯基(Cliffski)在一篇文章中 吐槽道 —— 這年頭的「程式碼膨脹」,已經到了令人髮指的地步。 他以自己常使用的一個雲端備份服務為例來說明,這個由某個大公司提供的雲端備份工具爆
Re: [問卦] 伊莉論壇是不是站主早就放推了阿因為伊莉那個網站系統是很早期的康盛創想開發的 Discuz!, 是遠在賣給騰訊之前非常早期的商業授權版本, 騰訊接手後的 Discuz! X 3.4 v20191202 才會換成 HTML5。 要從古早時期的商業授權版本換到近代的 Discuz! X 是有難度的, 特別是有些站架起來以後還會對原始碼做一些魔改導致升級困難。爆
Re: [問卦] 急! Google 密碼被改,有救嗎? (發錢)來回報一下結果: 在昨天 (12/3) 已經把 Google 帳號和 Youtube 頻道都拿回來了, 求救的過程如下: 原文推文中有好心人提供林董救回 Google 帳號的影片, 我也照他的方式,在推特上向 Youtube 求助。65
[問題] 打開2FA還被盜帳號請問板上有人跟我一樣 打開2FA還是被盜帳號的嗎? 我的信箱也有2FA,需要使用手機才能解鎖 結果剛剛Steam發信說我帳戶被改 Steam的資安是狗屎懶蛋做的嗎61
[問卦] 設計CDC網站的人是沒聽過CDN嗎?剛剛正要上去查疫苗隨到隨打的資訊 0416-0422各縣市院所外隨到隨打疫苗接種站點(依地方政府衛生局公布為主).pdf 點下去竟然出現流量過大 請稍候 靠北21
Re: [問題] steam的信件通知收到這封信代表你的帳密已經被破解了 但是被2FA擋住導致進不去 不過你說你的密碼有改過,仍發生這種事 那可能是兩種情況 1:你的電腦中木馬了,換密碼一樣被盜錄
爆
[問卦] NewJeans來台拍攝鄉民最鄙視的華國美學爆
[爆卦] 呱吉是在臭賴清德和青鳥嗎?爆
[問卦] 悲報!手機監控議題三立底下也大逆風?爆
[問卦] 報導者:青鳥行動只有1%ptt鄉民爆
[問卦] 農藝女孩:付費自訓強度屌打一年義務役95
[爆卦] 中國大陸發佈《2023年美國侵犯人權報告》爆
[問卦] 「監控」有沒有比較好聽一點的說法?99
[問卦] 黃仁勳身家3兆不戴錶代表什麼?96
[問卦] 震驚!這些全都是紅媒?!爆
[問卦] 怎麼電視台幾乎都支持青鳥啊?65
[問卦] 新聞面對面謝震武律師都在罵修法~91
[問卦] 平均35歲的學生運動?81
[問卦] 35歲還去打野要飯的是什麼人80
[問卦] 黃仁勳都不用上班?? 到處跑?37
[問卦] 震撼! 普發6000全國都是關係人72
[爆卦]地震71
Re: [爆卦] 民進黨發言人挺肉搜是吧67
[問卦] 黃仁勳選台灣總統會上嗎71
[問卦] 抽煙的人普遍素質低落?69
[問卦] 為什麼印度的衛生會發展成這樣?67
[問卦] 太陽花有守護住什麼東西嗎?56
[問卦] 為了保護台灣監控錯了嗎?59
Re: [新聞] 黃捷嗆「躲著偷舉手」贊成國會擴權法案35
[問卦] 何時開始台獨狗在八卦人人喊打58
[問卦] 黃仁勳在幼幼台要叫什麼哥哥?81
Re: [問卦] 竹北吊車大王 好像很屌 人很好52
[問卦] 手機監控是老人嘴砲吧41
[問卦] 黃仁勳:台灣是AI中心41
[問卦] F.I.R最棒的三首歌該怎麼選?40
[問卦] 中國能不靠武力就奪下台灣嗎?