分類彙整：Security

整理一下目前能核發免費 SSL 憑證的 CA 現況… 先前學術單位很愛用西班牙一家 ipsCA 公司的兩年免費 *.edu SSL 憑證，不過它的根憑證在兩年前過期、加上 Mozilla 尚未收錄 ipsCA 新的根憑證，造成 Mozilla 系列的瀏覽器從此以後都不吃它發出的憑證。微軟部分需要跑過 Windows Update 更新根憑證之後，IE 才會吃，所以除了像隔壁組之類的微軟信者還有在用，整體上現時是不堪用的狀態。 StartSSL 也是一家相當熱門、尤其是個體戶喜歡用的 CA，網頁登入控制台時必須透過 Client certificate 加密認證的措施受到蠻多人的信賴。結果繼上回 Comodo 擊斃事件之後，這家號稱CA界的瑞士刀也在上週中槍了，雖然官方說明核發憑證的部分沒被攻陷，但對使用者來說還是相當堪慮。 說到這裡，似乎已經沒有什麼免費好 CA 可以簽了… 不過在 StartSSL 中槍的當天，又出現了一家 AffirmTrust 發表即將提供三年免費 SSL 憑證的服務，預期可能會找 GeoTrust … 繼續閱讀 →

前晚組長大人來信，希望我登入某台機器看看，不過密碼要自己猜。組長大人以前就很喜歡找學生猜密碼，線索遍布在新聞、趨勢、近況等等。猜到半夜仍百思不得其解，索性找了隻工具幫我猜密碼… THC-Hydra 是一套採用字典攻擊法的網路登入密碼破解工具，在百大網路安全工具排行 15，上個月釋出 6.1 版，也開始支援 IPv6。 Debian/Ubuntu 官方沒有提供編好的套件(Blackbuntu 有，只有 i386，而且要多灌一堆函式庫)，只好自己編，也最好是自己編。 Hydra 支援許多協定，從資料庫、即時通訊、網路設備終端機等等，都有廣泛的支援。configure 時會被要求提供各家協定的函式庫，不過可以只挑自己需要的部分。例如 SSH 準備 openssh-dev 即可。 字典檔需要自備，可參考： Password Cracking Wordlists and Tools for Brute Forcing – DARKNET 牛津辭典與暴力法常用字典 PASSWORDS.ru (Google 英譯) 俄國的字典檔網站 或是網友在論壇提供的字典檔 MaxMind – Free World Cities … 繼續閱讀 →