前幾天有則資安相關新聞，有名高中生竄改悠遊卡餘額後去自助退費機台退刷或小額支付購物，成功變現了數十萬元。坦白說，看到新聞我沒太驚訝，因為類似的事 14 年前(2011)已經上演過一次，不意外地人也很快被抓，最後判刑 2 年，緩刑 5 年，另外要賠 100 萬及義務教電腦 240 小時。 由此看來，偷...

這幾天有則大消息 - 合規改善不符要求，Chrome 8 月起停止預設信任中華電信 TLS 新憑證 by iThome。 簡單來說，Chrome 瀏覽器憑證預設信任設定將進行調整，Chrome 139+ 版本將不再預設信任中華電信 2025/08/01 之後發行 TLS 憑證，7/31 之前發行的網...

上週聽到一則駭人聽聞的資安新聞：韓國最大電信業者 SK Telecom (SKT) 遭駭客入侵導致關鍵資料外洩，歹徒得以複製出一模一樣的 SIM 卡分身，跟原本的 SIM 同時宣稱自己是本尊。 若真假 SIM 卡手機同時開機，兩張 SIM 卡將互相搶占網路連線(電信廠商有機會偵測異常並同時停用)；若...

Python 跑 Flask 的實驗性質小網站丟到 Internet 上跑，由於 Debug 模式會即時顯示每筆 HTTP 存取，我活生生看到一堆噁心的存取記錄： 喵的，這個沒公開的網站，上線沒幾分鐘馬上招來一堆惡意機器人上門，四處翻找想看你是不是有犯什麼低級錯誤，有沒有檔案可以偷回家，有沒有漏洞...

本週開源界與資安界有則大新聞：程式庫 XZ Utils近期被植入後門 by iThome 特別讓人震驚是因為 XZ Utils 是 Linux 很基本很常用的壓縮程式庫，若真的被成功植入擴散到現存的 Linux 系統，後果不堪設想。而攻擊手法也很罕見，攻擊者假扮自願程式維護人員多年，於今年二月底才發...

同事分享資安知識一則：在網頁引用 Host Header 可能形成資安弱點，給予攻擊者操作重新導向或引用惡意程式的機會。特筆記備忘。 使用 IIS + ASP.NET 示範如下： <%@Page Language="C#"%> <html> <...

實體金鑰方便又安全，但前題是私鑰檔案必須妥善保管，一旦被偷走前功盡棄，白忙一場。存到離線媒體會比放在電腦硬碟安全，即便被人遠端控制或偷用電腦，也沒東西可偷。故在備份好金鑰並存入實體金鑰後，應該馬上將其從電腦中刪除，也要避免上傳到雲端，讓檔案從物理上與網路隔離以策安全。保管好除了避免被偷，還要確保資料...

用 .NET 程式加解密不是新鮮話題，但如果是用 .NET 程式整合 USB 實體金鑰加密資料，做到沒實體金鑰不知 PIN 碼就解不開，聽起來是不是就有點意思了？ 土砲 USB 金鑰 Side Project 持續進行，產生及設定金鑰、使用 GPG 加解密、登入 SSH 都沒啥問題，下一步我想拿來做...

若對這個主題一頭霧水，以下是一些背景知識： 用金鑰取代密碼登入 SSH 伺服器或 SCP 傳檔的好處：免敲密碼登入超方便、金鑰安全強度比文字密碼高 從 Windows 使用金鑰免密碼登入 SSH/SFTP/SCP Windows OpenSSH 伺服器筆記 實體金鑰的安全性比金鑰檔更上層樓，私鑰鎖...

ASP.NET 老人們應該知道 web.config 有個 <compilation debug="true/false" /> 設定，啟用後網站會跑得比較慢，但能提供較多偵錯資訊，有利於開發測試。 ASP.NET 啟用偵錯模式(Debug Mode)後會出現以下行為...

如果你對 GPG(GnuPG) 跟 ECC 金鑰沒什麼概念，這裡先提供一些背景知識。 GPG (The GNU Privacy Guard，又稱 GnuPG)，是一套實作 OpenPGP 標準規開源軟體，使用 Windows 的同學或許較少接觸，但它成為 Linux / macOS 內建工具很久了，...

若你跟業內人士說你在系統裡使用了 MD5 雜湊，多半會得到以下反應： 茄~ MD5 雜湊早在八百年前就被證實為不安全，你居然還在用？ 自從差分攻擊法問市，MD5 安全性已蕩然無存，幾秒就能破解 道理我都懂，但心中仍有疑問： 即使 EXE 檔附上 MD5 碼驗證，駭客都能輕鬆能做出一植入木馬，檔...

我對非對稱式加密及數位簽章的理解主要仍靠十幾年前自學的一點皮毛，時光飛逝，隨著密碼學發展跟因應日益強大的電腦破解算力考量，現在常用的公私鑰演算法跟我想像的已有很大出入。前陣子在弄 Windows 使用金鑰免密碼登入 SSH 便學到一個沒聽過的數位簽名演算法名詞 - Ed25519 (老人只聽過 79...

Open Web Application Security Project (OWASP) 是個非營利組織，透過開放社群模式整合網站資安資訊與資源，而其定期更新的 OWASP TOP 10，網站十大資安風險排行，幾乎已是網站開發人員的基本常識。 2021 Q4 OWASP 發佈了 2021 版 TO...

這幾天大家應該都有看到新聞，共享汽機車大廠 iRent，被國外資安研究人員發現，因系統設定不當導致資料庫開放匿名存取，只要知道 IP 便能在上面查到客戶姓名、手機、Email、信用卡等個資，經通報廠商遲無回應(可能剛好在年假期間)，最後透過數位發展部轉由 TWCERT/CC ( 台灣電腦網路危機處理...

微軟在 11/8 公佈了 System.Data.SqlClient、Microsoft.Data.SqlClient 的安全漏洞，由於涵蓋大量 .NET 版本 (.NET Framework 到 .NET 6 都可能使用到)，範圍不小，身為 .NET 開發人員，應該關注其影響及修補方式。 參考了以...