無標題文檔

Mac 下禁用 CNNIC CA 证书

有关 CNNIC 的警告这里有个 详细的说明 ,不多做解释。对于 Mac 用户,这里有个简单的办法禁用 CNNIC CA 证书。

https://friable.rocks/_/2010_02_01/1265080937.png

打开「钥匙串访问」,搜索 「CNNIC 」即可看到对应的证书。双击该证书

https://friable.rocks/_/2010_02_01/1265080978.png

下拉「信任」选择「永不信任」即可。

根据上述文中的提醒,同时把有「entrust.net」关键字的证书也禁用掉,这样就没有上述文中的风险了。

先不讨论文中有关证书的风险,但 CNNIC 的流氓 已经众人皆知,这的确让人感到很不安。因此,个人对于这件事的态度,也是「宁可信其有,不可信其无」。

个人信息安全这块,有时候往往会忽视。 国内的大环境如此 ,也只能是人人自危。

PS,这里有个投票号召众浏览器厂商移除 CNNIC 证书, 有兴趣可以看下查看结果 )。

-- EOF --

使用 JavaScript 获取本地盘符

https://friable.rocks/_/2010_01_07/1262936624.png

可能是我「火星」了,不过在 空虚 的 Blog 中学到的一招。这个技巧的原理是利用 iframe 载入本机各盘符的根目录,然后判断 iframe 是否已经载入完毕,从而判断对应的本地计算机的盘符是否存在。

根据目前的测试情况,在 IE6、7、8 下使用默认安全策略均可以获取到本地盘符。利用这个技巧,可以做的事情有还有很多。例如「摸黑」判断指定路径是否存在文件,即可以获取对应的信息,例如 Windows 的安装位置等等。

根据 空虚 的代码,我改进了下,即检测 A-Z 所有的盘符,并获取已经存在的盘符输出。还是上代码吧, DEMO 在这里源代码在这里

再次感谢 空虚 和 KJ 的提示,很受用。

-- EOF --

Google Safe Browsing 的策略

很多时候得益于 Google Safe Browsing 可免于恶意代码攻击,但有时候此功能也会对用户造成困扰。

http://pic.yupoo.com/feelinglucky/717088785940/medium.jpg

测试发现只要请求了在 Google Safe Browsing 中沦为黑名单中的站点资源(无论此页面是否为此域下甚至是本地页面),Chrome 浏览器提示禁止用户继续浏览页面。

那么想象下此情况会造成的影响,在任何可以输入内容的站点中,加入已知已被 Google Safe Browsing 扔到黑名单下的某域资源,那么该站点就会被牵连。

进一步的,我们可以做个这样的测试,使用 Chrome 打开 Google Reader ,订阅下面的 RSS 种子

http://feed.feedsky.com/malware

在你打开此 RSS 种子的条目时,Google Safe Browsing 的策略甚至无法让您继续正常浏览 Google Reader。

这虽然算不上安全漏洞,但对于「捉弄」目标站点,以及影响其他在 Google Safe Browsing 的策略下访问此站点的用户而言,已经能造成一定的困扰。

因此,当我们引用第三方资源时,尽可能的检查下对方是否在 Google Safe Browsing 的黑名单中,否则被「连坐」是很无辜的 :^(

注:上面的情况在 Google Chrome 4.0.237.0 中测试通过,Chromium 没有加入 Google Safe Browsing 无反应

-- EOF --

我的照片

嗨!我叫「明城」,八零后、码农、宁波佬,现居杭州。除了这里,同时也欢迎您关注我的 GitHubTwitterInstagram 等。

这个 Blog 原先的名字叫 Gracecode.com 、现在叫 「無標題文檔」 。 要知道作为码农取名是件很难的事情,所以不想在取名这事情上太费心思。

作为八零后,自认为还仅存点点可能不怎么被理解的幽默感,以及对平淡生活的追求和向往。 为了避免不必要的麻烦,声明本站所输出的内容以及观点仅代表个人,不代表自己所服务公司或组织的任何立场。

如果您想联系我,可以发我邮件 `echo bWluZ2NoZW5nQG91dGxvb2suY29tCg== | base64 -d`

分类

搜索

文章