自從 OCR 技術越來越精準後,文字類型的驗證碼 (CAPTCHA) 和圖形類的驗證碼就越來越容易被電腦辨識出來,反而真人進行辨識的時間有時還比電腦要長。
剛看到別人轉的訊息,有人把毀滅公爵做進的驗證碼中,被驗證者必須殺掉怪物才會被識別成真人:
試玩後發現 DOOM CAPTCHA 有一定的 pattern,再來就是怪物長的都一模一樣。其實這種規律和圖形,專為遊戲設計的辨識工具,辨識速度會比人還要快 …. XD
DOOM CAPTCHA – 玩毀滅公爵才能過關的圖形驗證碼
標籤: 資訊安全
Nginx 將 deny all 換成 return 404
以往不想要讓人索引、讀取的目錄和檔案都會設定成 deny all:
location ~ /\.git {
deny all;
}
這樣設定的話,開啟該目錄就會收到 HTTP 403 Forbidden
也就是,檔案在 URL 的連結已經確定了,只要繞過權限管理即可讀取檔案。
與其這樣,不如直接讓主機回傳 HTTP 404,這樣便無法知道檔案是否存在:
location ~ /\.git {
return 404;
}
master.php.net 的使用者資料庫可能已經外洩
看到 Hacker News 的新聞「PHP Site’s User Database Was Hacked In Recent Source Code Backdoor Attack」:
While this was initially treated as a compromise of the git.php.net server, further investigation into the incident has revealed that the commits were a result of pushing them using HTTPS and password-based authentication, leading them to suspect a possible leak of the master.php.net user database.
從伺服器的記錄猜測,攻擊者是透過 HTTP authentication 的方式,在 git repository 偷偷藏入 backdoor。若猜測是正確的,表示攻擊者可能已經取得 master.php.net 的使用者資料庫。另外也提到網站運作的環境太老舊,攻擊者也可能已經找到軟體上的弱點並透過這些弱點來設計攻擊。
官方已將網站改用 TLS 1.2,並將密碼儲存方式從 MD5 更新為 bcrypt 雜湊。比較好奇如果沒有保留密碼,要怎麼從 MD5 更新為 bcrypt?Hash 二次嗎? XD