縮小字型大小。 重設字型大小。 放大字型大小。

標籤: 資訊安全

master.php.net 的使用者資料庫可能已經外洩

Posted on By 日落 在〈master.php.net 的使用者資料庫可能已經外洩〉中尚無留言

看到 Hacker News 的新聞「PHP Site’s User Database Was Hacked In Recent Source Code Backdoor Attack」:

While this was initially treated as a compromise of the git.php.net server, further investigation into the incident has revealed that the commits were a result of pushing them using HTTPS and password-based authentication, leading them to suspect a possible leak of the master.php.net user database.

從伺服器的記錄猜測,攻擊者是透過 HTTP authentication 的方式,在 git repository 偷偷藏入 backdoor。若猜測是正確的,表示攻擊者可能已經取得 master.php.net 的使用者資料庫。另外也提到網站運作的環境太老舊,攻擊者也可能已經找到軟體上的弱點並透過這些弱點來設計攻擊。

官方已將網站改用 TLS 1.2,並將密碼儲存方式從 MD5 更新為 bcrypt 雜湊。比較好奇如果沒有保留密碼,要怎麼從 MD5 更新為 bcrypt?Hash 二次嗎? XD

Tags:, ,

clamav 掃描 Linux 上的病毒

Posted on By 日落 在〈clamav 掃描 Linux 上的病毒〉中尚無留言

clamav 預設會將所有掃描過的資料全部輸出到畫面,不管正常或是中毒,這個有點討厭。自己寫 script 做掉:

function clamscan() {
    clamscan -i -r $*
}

另外再寫個掃描整台電腦的 script

#!/usr/bin/env bash

DATE=`date '+%Y-%m-%d'`
LOG_PATH="/var/log/clamav"

# create log folder
mkdir -p  $LOG_PATH

clamscan -i -r /  2>&1 > "$LOG_PATH/$DATE.log"
Tags:,

PHP 5.6 將在 2018 年底中止維護

Posted on By 日落 在〈PHP 5.6 將在 2018 年底中止維護〉中尚無留言

目前 PHP 5 最後一個承載維護的版本:5.6,將於今年年底中止維護。也就是不會再有新功能,且就算有錯誤、安全漏洞也不會再繼續修補。

所以建議大家盡快升級手邊的 PHP 專案至 PHP 7。

圖片來源:http://php.net/supported-versions.php

個人的經驗,可以跳過 7.0 直接上 7.1,畢竟 7.1 主要是新增一些 7.0 還不支援的功能,沒有他太大的異動。7.2 主要是對效能調整,和新增一些語法,要直接跳 7.2 也不會花太多時間改程式。

Tags:,

預計在 2020 年廢除 TLS 1.0 以及1.1 的支援

Posted on By 日落 在〈預計在 2020 年廢除 TLS 1.0 以及1.1 的支援〉中尚無留言

這新聞各大媒體都有報導了:

簡單來說:

  • 多數瀏覽器均支援 TLS 1.2
  • TLS 1.0 已經 20 歲、TLS 1.1 也 12 歲了,並且有已知攻擊「POODLE」和「BEAST
  • 剩下少數瀏覽器仍在使用舊版通訊協定 (Edge … 你看看你)
若手邊有機器需要調整設定,可參考:
Tags: