Re: [新聞] 唐鳳提新招 破解中國網攻
最近也多虧這件事情開始研究 IPFS,但目前感覺以靜態跟分散式的特性來說的
確有機會抵擋DDoS,但撇除到時候有網頁會有動態邏輯部分要怎麼套用之外
我個人倒是比較擔心安全存取上的問題
舉例來說,目前 Brave 瀏覽器本身是可以解析 ipns:// 這種協定
假如安裝完後再該瀏覽器輸入 數位發展部網站 ipns://moda.gov.tw/
一開始會跳出選擇使用本機 IPFS 節點
https://i.imgur.com/db3uhtz.jpg
進入該網頁,透過 F12 看回傳的回應,可以拿到網站根節點的 CID
https://i.imgur.com/r4wqMNl.jpg
因為在本機會開一個IPFS節點,所以可以輸入 http://localhost:45005/webui 連到本機介面
https://i.imgur.com/WelOcTH.jpg
接著把剛剛 F12 看到的目錄根節點貼進去,按下瀏覽
https://i.imgur.com/5dEYit0.jpg
就會把整個網站的資料拉出來
https://i.imgur.com/XhxBcwC.jpg
那現在問題就來了,萬一不小心把一些機敏性資料亂上到IPFS上怎麼辦呢?
比方說現在的 assets 底下就莫名被塞了一個影片檔
https://i.imgur.com/PrMyNZ6.jpg
然後可以點開來看,是一個八秒的影片
https://i.imgur.com/Sfpz727.jpg
本來以IPFS的分散式檔案系統來說,放上去的東西都是公開的
但問題在於放上去的東西無法做存取的控管,而且也能夠看到用 https 連網站看不到的檔案
外加上到 IPFS 的檔案無法刪除,所以只要拿到這個影片的CID就會一直有效
所以個人研究結論覺得到底要怎麼控管網頁的上版,不要放到機密資訊
或是怎樣實踐認證授權機制,恐怕是導入這個技術也要思考的面向
要不然到時候防了 DDoS,結果演變成機密資料外洩,恐怕就不是原本所預期的效果~~
參考資料來源: https://www.samsonhoi.com/689/blockchain-ipfs-intro
※ 引述《gyGirl (妹)》之銘言:
: ※ 引述《TonyQ (得理饒人)》之銘言:
: : 來評論一下這件事情:
: : 1. 基本上其他的提問跟回答我覺得都中規中矩,
: : 除了看板那題的傷害有限,
: : 我還是沒看到更具體的報告可以說明傷害有限。
: : 2. ipfs 算是一種解法,但是只限於很少的使用場景,
: : 理由是目前 ipfs 只支援純靜態的網站(有 js 效果但無外連也算靜態)。
: : 所以拿 ipfs 說不卡,這個當玩笑可以,
: : 但實際上來說,政府要應付的問題遠比這複雜多了 。
: : 我看起來比較算是個開玩笑。
: : 另外 ipfs 因為速度不夠快跟穩定,
: 這個想法在面對中國的駭客攻擊並不完全對
: 舉這陣子的台大教務處為例
: 就算台大教務處把所有的圖片存取連結都放在靜態網站
: 一樣可以做到圖片全部變成五星旗
: 原因是靜態網站雖然沒有受到攻擊也沒有受到阻斷
: 但是如果動態網頁伺服器被更改一樣可以把首頁圖的連結改成來自中國的連結
: 訪客看到的圖片一樣變成五星旗
: 靜態網站一樣好好的也沒有受到更動
: 但是靜態網站一般來說都可以應付較強的阻斷式攻擊ddos
: 也可以大量降低動態網頁伺服器被ddos時的負荷
: 這個幾乎所有架站人包括政府單位都必須考慮的事情
: : 所以 cdn 會提供快取伺服器來服務,
: : 這裡應該也隱含了會使用 cdn 的服務來使用的基礎。
: : (cdn 也會提供流量清洗的服務)
: cdn提供快取也只僅限於靜態網站
: 動態的個人資料是沒辦法cdn的
: 就算硬要cdn也沒有效益
: 而且cdn也會有延遲問題
: 像是大家都跑去看公路武嶺監視器的串流
: cdn去把武嶺的影像上傳
: 結果大家拿到的影像變成cdn上的備份影像但是已經延遲了
: 之類的問題
: 只是一個硬要舉的舉例但是希望你能觸類旁通
: 就是提示一件事
: cdn常常會提供錯誤的訊息這件事我常遇過
: 遇到一次就覺得對他們設計系統的人覺得很失望
: 還要想辦法繞掉cdn
: : 這裡的問題是,多數平台還是以 https 為主,
: : 要切換到 ipns 基本上需要很長的教育時間,
: : 且是不是有足夠的量能可以支撐國民使用也是問題。
: : 所以,用 ipfs 解題,
: : 我個人認為起碼在兩年內都是幹話。XD
: 公務單位使用ipfs處理這個我想不出有什麼好處
: 比特幣之所以區塊鏈是因為有提供給區塊鏈節點好處
: 就是挖礦的報酬
: 但是公務單位區塊鏈化
: 請問你報酬要怎麼給?
: 你要別人幫你架設節點總要給個好處吧
: 不然我開個主機電費算我的?
: 區塊鏈化後還有節點掛掉的問題
: 幾個主機掛了那就全部的政府網站都掰了
: 那我只能說推廣這個東西就只是跟風炒作區塊鏈的話題
: 為了創新而創新但事實上根本沒有搞清楚新的技術上有哪些缺失
: 這種問題在一些青年技術社群很常見
: 作業系統永遠都要用最新版、beta版
: 結果灌了最新版有bug
: 請問你要怎麼辦?
: 你要幫他修bug嗎?
: 微軟、ios、android的bug你修得了那你有辦法發佈嗎?
: 區塊鏈化真的不是一個好想法
: : 然後提到 web3 大家可能會想到的是區塊鏈,
: : 但 ipfs 其實沒有 block 哦,
: : 他技術上比較接近 bt 或驢子的協議,是 p2p 的檔案協議,
: : 所以一樣要有人當種子,要等供檔。XDDD
: : 3. 安全習慣的不良很多來至於莫名其妙的規定,
: : 比方說逼公務員取他們記不起來的規則的密碼,
: : 但是又不鼓勵或提供密碼管理器之類的服務。
: : 然後莫名其妙三個月還要更換一次,
: : 換到大家都不知道自己在記什麼了。
: : 各種矯枉過正違反人性的資安策略,本身就是傷害資安的做法。
: : 安全是相對的,不是絕對的。
: : 另外很多公務機關的服務都是以機關為帳號權限管理,
: : 而不是以人為目標的權限管理,
: : 導致很多單位一個單位只有一個帳號,大家得分批共用。
: : 一旦帳號共用就很難談資安跟管理了。
: 事實上並不是如此
: 以警政單位被駭為例
: 之前也有警察被抓到偷看拉拉隊隊員的資料
: 請問如果如你講的每個人都用一個帳號那為什麼抓得到?
: https://www.ettoday.net/news/20220710/2291301.htm
: 很多單位政風處私底下都會定期盤查哪些人員查看哪些資料
: 舉例像警政、戶政這些都會
: 如果櫃台亂查別人的東西也是抓得到
: 此外公家單位規範密碼的更新和避免過於簡單的密碼都是必要措施
: 你有架站經驗但是應該不會慘到不知道有人會用程式去暴力破解密碼
: 我們之去參加國內的駭客比賽
: 懶得解題直接用程式暴力破解出題電腦的登入
: 真的試出登入密碼但是一登入馬上就被踢出去
: 再登一次密碼又不同了
: 這種做法其實很常見也很基礎
: 就是為什麼規定root密碼不能用在遠端登入
: 我想密碼強制要求應該很基本的東西
: 你不規範每個人都設定為0000
: 這樣你們外包廠商最方便了不是嗎?
: 維修費也一定很驚人
: : 筆者有 15年軟體工程師經驗,
: : 曾開發基於 evm dapp 跟合約的應用系統。
: : 有興趣的可以推文繼續討論。
: : 時代力量三重蘆洲區議員參選人
: : 王景弘 TonyQ
: : -----
: : Sent from JPTT on my Samsung SM-G9980.
--
新聞報的好像這是唐發明的技術
外包大臣不管出包問就是外包抄中國的問題
從中華電信骨幹直接擋掉就好 幹嘛那麼麻
煩
我也蠻認同你的解法,但唐部長都開示了,就順著邏輯分析可能的問題~~
看完之後 啊?
問題在於那個影片並沒有在原本的網站露出,可能是之後才會上的東西, 但上到IPFS就曝光而且無法刪除掉
先查你IP 你到警局慢慢說明吧
我笑了,這只是IPFS的正常操作而已,就跟你平常上google 搜尋一樣,要查IP就請便吧
推
意思是這個解法可能越補越大洞?
應該是說,要用這個解法也要避免把機敏資料
放到IPFS上的問題
除此之外也要考慮網站動態判斷的部分,但這
個之前蠻多人提過了
目錄列舉是大漏洞欸
這樣滲透測試就不用這麼暴力了 直接
從清單裡面一個個注入指令試試看
但IPFS都是放靜態檔案~~ 即便可以目錄列舉
看起來就只有資料外洩~~還想不出其他用法
但的確目錄列舉可以省下暴力破解的時間
但IPFS的目錄列舉是特性並非漏洞
因為它的定位本來就偏向分散式的檔案系統
爆
來評論一下這件事情: 1. 基本上其他的提問跟回答我覺得都中規中矩, 除了看板那題的傷害有限, 我還是沒看到更具體的報告可以說明傷害有限。 2. ipfs 算是一種解法,但是只限於很少的使用場景,6
這個想法在面對中國的駭客攻擊並不完全對 舉這陣子的台大教務處為例 就算台大教務處把所有的圖片存取連結都放在靜態網站 一樣可以做到圖片全部變成五星旗 原因是靜態網站雖然沒有受到攻擊也沒有受到阻斷3
不是啊 我們的天才IT大臣假如有這麼棒的技術 怎會口罩實名制剛上線當機 實聯制申請網站剛上路時當機 疫苗預約前面好幾波剛開放就當機 只要是大家急著搶的東西一定要當機一次又一次給大家看2
去年疫苗登記平台就被自己人「打爆了」 : 答:很多資安漏洞都來自人為操作失誤,例如很多人會將公共場所使用的密碼與公務密碼設 : 定為相同,一旦前者密碼被破解,就可破解公務電郵信箱。甚至有些密碼的設定讓人很好猜 : ,被破解也就不需花什麼時間。 : 最主要還是要培養良好資安習慣,未來數位發展部簽公文可能不會打入長串密碼,例如用自6
阻斷式攻擊稱不上是什麼駭客技術 就是純粹機器人一直發流量 這種東西就幾行程式碼高中生都寫得出來 如果你裝開源套件的話一行指令就完成了根本沒有技術可言 舉例像鎖定幾個檔案特大的圖片
爆
[爆卦] 上影片(有圖)我直接來掀民進黨的網軍群看有人喊失智列車的,一直要我把金流拿出來的,我今天重點在「除非今天我內容造假、 名單造假,否則媒體人甚至總統辦公室主任都在同一個群組,裡面我貼出來的內容,特權 疫苗跟疫苗綁樁,這在台灣合法嗎?而這些人在同一個群組裡面又要說蔡英文管不到,我 也只是剛好加入這個群組,我不知道他們在說什麼嗎?」是這樣嗎?這些東西都是對的囉 ?台灣人活該第一時間打不到疫苗,被拿去綁樁是這樣嗎?剛剛家裡人說我做的是犯罪,爆
[討論] 真的是我的問題嗎?最近跟男友討論到結婚的問題 婚後勢必要跟公婆一起住 我最在意的點就是男友家的廁所 因為馬桶老舊 前一位上完廁所下一位使用者沒辦法使用爆
[閒聊]遊戲開發者抱怨現在程式碼誇張膨脹「可能有99%的內容都是垃遊戲開發者Cliffski抱怨現在程式碼誇張膨脹「可能有99%的內容都是垃圾」 作為一名從事獨立遊戲設計和程式業務的開發者,克裡夫斯基(Cliffski)在一篇文章中 吐槽道 —— 這年頭的「程式碼膨脹」,已經到了令人髮指的地步。 他以自己常使用的一個雲端備份服務為例來說明,這個由某個大公司提供的雲端備份工具爆
Re: [問卦] Vek1112 是看了什麼影片才發文?這是好問題 根據代課老師說 他是看了他朋友的影片 然後錯誤解讀內容 所以才發文抹黑64
[討論] 笨蛋,論文的問題根本就在於複製貼上這論文的問題討論了幾天,其實最關鍵的問題就在於能否複製貼上 我也是114研究所畢業的,坦白說,一個實驗室裡面大家的論文都一定會互相 參考,我自己也在醫學工程年會上發表過論文,但問題在寫我的碩士論文時, 我的老闆就千交代萬交代,唯一能夠複製貼上的,就只有參考文獻,其他的一律都要改寫 即便是你自己的東西,也要換句話說。18
[閒聊] 用最嚴謹的姿勢玩轉BTC幣圈最可怕的不是虧錢,而是丟幣。比踏空還難受 所以當你擁有大額BTC時,我建議使用冷錢包,不過如果你是資本大佬,還是去比特幣地 堡? 那個更安全。 紙錢包是什麼?12
Re: [新聞] 中國網攻 唐鳳出招破解了:數位發: : : : : 看起來是買了美國第三方 Cloudflare CDN 的商業服務
爆
[問卦] 八卦從何時開始變成舔共粉紅板的?爆
Re: [問卦] 八卦從何時開始變成舔共粉紅板的?爆
[爆卦] 黃仁勳 台大演講 LIVE爆
[問卦] 蔡依林示範對岸手機支付 驚訝 太先進了爆
[問卦] 孫安佐:我在泰國異世界轉生了爆
Re: [新聞] 反國會濫權 在英台灣人大英博物館前舉牌82
[問卦] 超哥手錶都800萬了 黃仁勳沒錶?92
[問卦] 請問姓「狄」可以怎麼命名?爆
[問卦] 沒人發現學校不斷倒閉是很嚴重的事情嗎!爆
[問卦] MG都能屠殺台灣車市?74
[問卦] 男生來首爾獨旅真的超無聊爆
[問卦] 孫安佐是不是真的怪怪的?68
[問卦] 長大工作後 才發現父母好屌...爆
[爆卦] 天心臉書:我中華民國 刪文.60
[地震] 地震82
[問卦] 全聯月薪28500元在台灣pr有多高?46
[問卦] 蘇姿丰見到黃仁勳第一句話會說什麼?38
[問卦] 孫安佐真的有很壞嗎?38
[問卦] 黃仁勳晚上上台講什麼會震撼全場38
[問卦] 不想上班,是正常的想法嗎==....?36
[問卦] 黃仁勳的即時口譯哥 月薪可以到多少?35
[問卦] 現代醫學可以造假20年才被踢爆的八卦?爆
Re: [新聞] 告別舊時代!王婉諭直笛演奏大悲咒「迴向34
[問卦] 馬雲怎麼這麼慘的?〓〓32
[問卦] 孫鵬從哪一步就走錯了22
Re: [問卦] 八卦從何時開始變成舔共粉紅板的?32
[問卦] 台灣的富人為何看起來都沒有高級感?爆
[問卦] 國立大學要倒的話要先倒哪間?=.=33
[問卦] 如果黃仁勳說超派難吃會怎樣?28
[問卦] 黃仁勳:晶片製造不一定要在台灣但中國