以前我過討論 SSH 的安全設定 (這裏和這裏)，建議大家使用同時使用密碼和公鑰來登入 SSH，強化系統的安全性。今天我介紹另一個用戶驗證機制給大家選擇，就是現今非常流行的一次性密碼，可以加入以上的機制成為三重驗證，或者自選其中兩者。

自作聰明的密碼規則可以笨到哪個地步？有一個網站收集這些可笑的規則，看了真的令人捧腹大笑，如果你也遇到一個這樣的網站，不妨把截圖上傳，公諸同好。

無數網上服務都依靠密碼來驗證用戶的身份，為了鼓勵用戶使用複雜的密碼，幾乎所有網站都有某些密碼政策，例如要求密碼最少 6 個字符，必須包含大小寫英文字母和標點符號等等。這些所謂密碼政策，絕大部份都是由自以為是安全專家的人構想，或者是懶惰的管理員從人家處抄過來使用。其實，真正有用的密碼政策只有一個，就是密碼的最短長度，其餘的通通是廢話。

最近有朋友使用 IBANSPORT 網站報名跑步比賽，事後向我猛吐苦水，說過程中一步一碰壁，幾乎每一步都撞到系統錯誤，雖然有錯誤訊息，但卻毫無幫助，令人不知何去何從。

IBANSPORT 是香港一間計時晶片公司，與很多體育團體合辦跑步比賽，很多賽事都必須在他們的網站報名，網站已經運作多年，我好奇之下造訪一下，結果令我大吃一驚。 簡單的說，為了保護大家的個人隱私，儘快把自己的資料刪除，不要再使用這個網站。

Diffie-Hellman 密鑰交換算法，簡稱 DH 算法，是整個互聯網安全性最重要的基石，無數通訊協定，包括 VPN、SSH、HTTPS 等等依賴它建立加密通道，DH 算法需要一些質數作為運算基礎，有研究人員發現，部份使用特定程序產生的 1024 bit 質數具有數學上的弱點，使用這些質數建立的加密通訊，比使用真正隨機產生的質數建立的加密通訊，容易破解一萬倍。

我們在第一篇文章討論了一些在 CentOS 7 中配置 SSH 的方法，那些都是比較容易實作、容易理解，對用戶體驗的影響也比較少。這一篇將會介紹比較複雜的配置，需要管理員按照具體情況做出適當決定，甚至有部分建議在安全性和用戶體驗方面較具爭議性。

SSH 通常是我們進入新伺服器的第一個應用程式，它也取代了 telnet 和 rsh 成為管理伺服器的最主要介面。儘管 SSH 預設使用加密通訊，登入的密碼和通訊內容都不容易被偷窺，預設的設定大致上安全，可惜由於需要兼顧舊用戶和舊系統，一些過時和不安全的選項仍然被開啟着，在國家級黑客橫行無忌的年代，系統中任何一顆鬆掉的螺絲都會致命，所以我們將會討論如何加強 SSH 的安全性。這一篇只討論基本的安全配置，比較容易理解，過程也比較簡單，對用戶的負面影響也比較少，較進階和較具爭議性的安全配置將會留待下一篇討論。

安全專家再次發現 SSLv3 的漏洞，作為用家，我們應該主動告訴網站，不使用 TLS 通訊協定我們便不再來訪。

CentOS 是最多人用來運行伺服器的 Linux 版本，最新版本是 CentOS 7。當你興趣勃勃地在一台主機或 VPS 上安裝 CentOS 7 後，首要的工作肯定是加強它的安全性，以下列出的七件事，是你進一步配置系統和安裝其他軟件前必須做的。

原文網址：英國政府索取解密密鑰，電郵服務商寧可結束業務 (原文網站已關閉)

曾經獲得斯諾登信任的電郵服務商 Lavabit，和網絡安全通訊服務商 Silent Circle，因不肯把解密密鑰交給美國國家安全局 (NSA) 而先後被逼結束業務，同樣事件原來在今年初亦曾經在英國發生。英國國家通訊總局 (GCHQ) 在年初向 CertiVox 索取可解密用戶電郵的密鑰，CertiVox 寧可結束他們的電郵加密系統 PrivateKey，也不向 GCHQ 低頭。

原文網址：FreeBSD 開發團隊不信任 Intel 和 VIA 的加密晶片 (原文網站已關閉)

FreeBSD 一向不信任 Intel 和 VIA 加密晶片的隨機數產生功能，不會以它們作為產生加密密鑰的唯一隨機數來源，即將發佈的 FreeBSD 10.0 版本亦貫徹這一信念。Intel 和 VIA 分別提供 RDRAND 和 Padlock 工具，以硬體晶片產生隨機數，FreeBSD 把這些晶片產生的數據混入其他數據中，這樣即使晶片的運算邏輯暗藏後門程式或弱點，最後得出的隨機數仍然安全可靠。

點擊劫持 (Clickjacking) 是一種誘使用戶點擊一個看似無害的超連結或按鈕，實際上卻是點擊在另一個網頁上的一個超連結或按鈕。後果可能是泄露了機密的資料，或無緣無故「讚好」一個網站，甚至開啓電腦內置的鏡頭和麥克風。網站開發人員當然有希望保護用戶不受攻擊，可用的手段主要有 Framekiller 和 X-Frame-Options，前者並不可靠，尤其在 IE 上可以輕易被攻擊者破解 (IE 的安全問題真是罄竹難書)，後者只是瀏覽器自設的措施，並非業界標準。IETF 終於在兩個月前正式接受 X-Frame-Options 為 HTTP 的標頭 (header)，從此開發人員的安全工具箱又多一件武器。

原文網址：完美遠期保密 (原文網站已關閉)

完美遠期保密 (Perfect Forward Secrecy) 是在 HTTPS 基礎上進一步保護用戶與伺服器之間的通訊，在 HTTPS 通訊協定下，所有數據都被加密才送進網絡，但是萬一伺服器的 SSL 密鑰 (private key) 因某些原因泄漏，HTTPS 的加密的鑰匙便會被破解，過去和將來的通訊統統暴露在陽光之下。完美遠期保密使用的卻是一次性的加密鑰匙，不能從伺服器的 SSL 密鑰推算出來。

原文網址：Android 4.3 安全漏洞，Apps 可撤銷所有系統鎖定功能 (原文網站已關閉)

Google 在九月宣佈 Android 手機新增一項功能，用戶可以遙控把手機鎖定，當手機被盜或違失時特別有用，新功能會撤銷本來的鎖定設定，並設定密碼保障手機的安全。這本來是一個好主意，但是有人發現 Android 一個安全漏洞，Apps 可以撤銷 Android 4.3 所有鎖定功能，令這個遙控鎖機功能形同虛設。更令人驚訝的是，發現這個漏洞的公司向 Google 通報，但 Google 一直不作回應，他們唯有把問題公開，希望用家關注。

原文網址：澳洲與外國情報夥伴分享國民的通訊資料 (原文網站已關閉)

原文網站：Google Glass 涉侵隱私，美國一餐廳聲言禁用 (原文網站已關閉)

美國西雅圖一間餐廳規定，顧客要麼把 Google Glass 留在家中，否則請離開。餐廳在 Facebook 上宣布新規定，引起贊成和反對的聲音，有人甚至聲言杯葛，但餐廳老闆指杯葛的行為可笑。相信有關 Google Glass 侵犯隱私的爭議將陸續有來。

原文網站：美國警察局繳付 $750 美元贖金取回被 CryptoLocker 劫持的檔案 (原文網站已關閉)

原文網站：LG Smart TV 從家中區域網絡蒐集用戶資訊 (原文網站已關閉)

原文網站：英國一間職業學校使用 RFID 掌握學生行蹤 (原文網站已關閉)

原文網站：Google、Microsoft、Yahoo 等公司對網絡通訊的保密措施足夠嗎？ (原文網站已關閉)

鑒於各國情報機關積極監視網絡上的通訊，Electronic Frontier Foundation (EFF) 調查主要的網上服務企業如何保障網絡通訊不受監視，並製成列表供我們參考。EFF 從五方面評估企業保護網絡通訊的工作，獲得滿分的只有寥寥幾家，包括 Dropbox, SpiderOak 和 Sonic.net，Google 的完成度也十分高。另一方面，Microsoft, Yahoo, Amazon 等一些我們熟悉，每天對媒體高呼多麼注重資料的保障和客戶隱私安全性的公司，對網絡通訊的保護卻嚴重不足。

原文網站：LG 涉嫌侵犯隱私，你還信任它的產品嗎？ (原文網站已關閉)

原文網站：LG Smart TV 記錄用戶觀看節目的資料和 USB 儲存器的內容 (原文網站已關閉)

原文網站：LINE 如何審查大陸用戶？如何避開它的審查？ (原文網站已關閉)

原文網站：微軟 2016 年開始不再支援 SHA-1 (原文網站已關閉)

原文網站：斯諾登套取美國國安局職員的密碼，取得超越自己權限的機密文件 (原文網站已關閉)

原文網址：中國政府「打贏」了互聯網意識形態戰爭 (原文網站已關閉)

原文網址：CryptoLocker 開發者建立網站　10 個 Bitcoin 買解密鑰匙 (原文網站已關閉)

原文網址：無需網絡卡藍牙裝置，新型電腦病毒互相通訊有妙法

一個令人毛骨悚然的故事：一名電腦安全專家發現一台 MacBook Air 中了病毒，嘗試對病毒進行深入研究，並解除它的武裝，拆除它部分元件，怎知它竟然可以自我「療傷」，把損壞和失去的元件復原，專家懷疑病毒透過網絡尋回失去的部分，於是把 MacBook Air 的網絡卡和藍牙裝置拔掉，甚至把電源線也拔掉（只使用電池），消滅一切可能的通訊渠道，但發現病毒仍然有自愈能力。專家於是使用特殊的工具，竟然發現這台應該已被完全孤立的 MacBook Air 竟然不斷發送和收到加密的訊息，與另一台感染了相同病毒的電腦通訊。

原文網址：新型攻擊技術，10,000 蘋果 Apps 安全堪憂 (原文網站已關閉)

原文網址：黑電郵聯盟－防止電郵被監視的未來科技 (原文網站已關閉)

由於受到美國國安局 (NSA) 壓力交出加密密碼而自行關門的電郵服務商 Lavabit，與另一間因相同原因而關掉旗下電郵業務的 Silent Circle，合組成「黑電郵聯盟」(Dark Mail Alliance)，準備開發可以防止被監視的新一代電郵技術。

原文網址：商店利用 Wi-Fi 訊號追蹤我們的行為模式 (原文網站已關閉)

原文網址：強化網上安全的 Firefox 附加元件 (原文網站已關閉)

注重網上安全和隱私的人大都是用開放源碼瀏覽器 Firefox，Ghacks.net 推薦了一些 Firefox 的附加元件 (add-on) 進一步提升上網的安全性和身份的隱密性，Firefox 的附加元件數量數以萬計，僅是「隱私及安全」類別便有超過一千個，當然素質有參差，若果感到茫無頭緒，不妨參考一下這份推薦名單。

原文網址：8 個簡單方法保障網上安全 (原文網站已關閉)

原文網址：中國騰達路由器藏有後門漏洞 (原文網站已關閉)

Craig Heffner 繼上星期發現 D-Link 路由器有後門漏洞後，現在又發現中國騰達 (Tenda) 生產的路由器有人為植入的後門，可以直接在路由器內以超級用戶 (root user) 的身份執行任何命令。

原文網址：勒索軟體 CryptoLocker 加密檔案後，索取 $300 美元解密 (原文網站已關閉)

原文網址：聲稱絕對安全的 iMessage 暗藏監控後門 (原文網站已關閉)

原文網址：你的一舉手一投足，均受 iPhone 5S 的最新晶片監視 (原文網站已關閉)

原文網址：HTTPS 可靠嗎？ (原文網站已關閉)

原文網址：如何在無孔不入的網絡監控中保護自己？ (原文網站已關閉)

世界各國的情報機關藉著竊聽網絡、強迫電訊公司呈上客戶的通訊內容、收集電話通話的元數據、入侵包括路由器和橋接器等網絡儀器、入侵個人電腦和局域網絡、破解密碼、在軟體和操作系統中植入後門、弱化加密軟體等等。面對如此強大、如此資源豐富、如此沒有道德誠信觀念的對手，怎樣才能保護我們的網上通訊？

原文網址：中國積極建立專業的「五毛黨」 (原文網站已關閉)

原文網址：NSA 收集網民的通訊錄，收獲豐富 2013-10-17-轉貼 (原文網站已關閉)

斯諾登最新披露的文件指出，美國國安局 (NSA) 透過竊聽網絡主幹上的通訊數據，收集網民的通訊錄，包括從 Google、Yahoo、Microsoft、Facebook 等服務供應商的電子郵件地址簿和即時通訊功能 (IM) 的好友列表，收獲十分豐富。由於是直接在網絡上竊聽，國安局只需與網絡供應商如 AT&T 等合作，Google、Yahoo、Microsoft、Facebook 等反而毫不知情，也沒有得到他們的同意。其實 NSA 竊聽時何曾徵詢別人的同意？它就是王。

原文網址：新西蘭擬擴大情報機關從互聯網公司收集用戶數據的權力 (原文網站已關閉)

新西蘭正就一項極具爭議性的法案在國會進行二讀，該法案容許政府通訊安全局 (GCSB) 要求網絡服務供應商例如 Google、Facebook 等加入監控用戶通訊的機制。反對黨工黨表明強烈反對這項法案。Facebook、Google、Microsoft 和 Yahoo 較早時曾聯合致函新西蘭通訊部長表達對法案的關注，有趣的是，他們顧慮的不是用戶的隱私是否得到尊重或保護，而是法案與他們總部所在國家的法例存在衝突。

原文網址：Tom.com 協助 Skype 加入監聽功能以便進入大陸市場 (原文網站已關閉)

斯諾登揭露美國國安局 (NSA) 與大型軟件商和網絡服務供應商聯手進行網絡監控，其中微軟及其即時通訊軟體 Skype 被點名有份參與。這件事令人回想 Skype 當年夥拍 Tom.com 進入中國市場的時候，曾經在 Tom.com 的協助下為了滿足中國政府的監控要求而在 Skype 中加入關鍵字過濾及舉報功能，微軟也曾經間接承認這項指責。

原文網站：D-Link 路由器有人為植入的後門，無需密碼可進入管理頁面 (原文網站已關閉)

崁入式系統安全研究員 Craig 發現 D-Link 路由器存在人為後門，可避開密碼驗證程序直接進入管理頁面。Craig 怎麼肯定這不是一個程式錯誤而是一個人為植入的後門？

原文網址：最新瀏覽器附加元件，使情報機關的關鍵字搜尋工作徒勞無功 (原文網站已關閉)

原文網址：WhatsApp 的用戶的通訊幾乎可說沒有加密，任何人都可以隨意偷看 (原文網站已關閉)

原文網址：使用瀏覽器指紋秘密追蹤用戶 (原文網站已關閉)

原文網址：加密程式出錯引致台灣身分證的保安功能作廢 (原文網站已關閉)

台灣的身分證使用 RSA 公鑰加密技術來實現自然人憑證 (Citizen Digital Certificate)，市民憑藉著憑證在網上確認自己的身份，使用政府的網上服務，例如交稅，汽車登記等。將於本年十二月在印度 Bangalore 舉行的 Asiacrypt 2013 會議，數位科學家將發表一份論文，指部分憑證存在致命的缺陷，讓攻擊者輕易偽冒憑證持有人的身份。產生憑證的系統都已經通過 FIPS 140-2 Level 2 和 Common Criteria 標準，所以有理由相信其他使用那些系統的國家所產生的憑證，都有相同的缺陷。若果一個科技先進的政府在緊守最佳操作原則下仍然出亂子，其他人應該怎樣做？

原文網址：秘密信件揭露德國政府監控國民的數據通訊 (原文網站已關閉)

德國明鏡雜誌得到一封機密信件 (Google 翻譯)，揭露政府情報機關跟網絡服務供應商及電訊商有秘密協議，可以隨意監察國民的數據通訊。

原文網址：科技越方便易用，監控和搜集個人資料越容易 (原文網站已關閉)

英國衛報、紐約時報、和 ProPublica 網站聯合公佈新一批斯諾登的機密文件顯示情報機關有能力破解大部份互聯網的加密通訊，我們日常使用的 HTTPS (網站使用的加密技術)、WPA2 (Wi-Fi 使用的加密技術)、PGP (電子郵件使用的加密技術)、AES (大部份加密檔案和硬碟的技術) 等等，是否不再安全？怎樣才能保障我們的隱私？

自從斯諾登爆出美國國家安全局（國安局）大規模監控互聯網的通訊，美國網民明顯對自身隱私的警覺性提高了，最近一項調查顯示近九成美國網民已採取某些措施以免受到監視。反觀香港及其他國家的媒體和網民對這宗醜聞卻反應冷淡，大都抱著隔岸觀火的心態，有些人冷眼旁觀這個從前自稱最民主自由的國家怎樣自甘墮落，有些人則注意斯諾登的材料中有否牽涉到自己的國家、地區或機構，沒有的話便一副事不關己、己不勞心的態度。

WhiteHat Security 登出一張圖表，可用來評估一個網站的「可入侵度」（hackability)，這是一個網站系統的安全檢查清單，網站符合的條件越多便越安全。

網絡保安公司 Incapsula 最近的一項研究顯示，網站的流量中只有 49% 來自真實的人類。若果你用 Google Analystics 來追蹤網站使用者的資料，很抱歉，Google 只會替你分析這 49% 的資料，餘下的 51% 使用者是誰？Incapsula 說這包括了搜尋引擎、入侵程式、剽竊程式、濫發留言程式、和間諜程式，換句話說，31% 的網站流量都是有害的。

W3C 最近推出了「內容安全政策」(Content Security Policy, CSP) 的技術報告，建議在 HTTP 協定中加入一些新的標籤，希望可以令惡名照著的「跨網站攻擊程式」(cross site scripting, XSS) 永遠消失，至少令「儲存式」和「反射式」的 XSS 無法生存，至於「DOM 為本」的 XSS 可能仍需要開發人員繼續進行防禦。XSS 在 OWASP 的攻擊手段排名中名列第二，不少著名網站都曾受 XSS 攻擊，例如 Twitter、Facebook 等。究竟「內容安全政策」是甚麼？作為開發人員，對你有甚麼影響？

你的公司、網絡服務商、電郵系統、網上銀行等等，總會提醒你定期更改密碼，例如每三個月或者半年，有的甚至要求用戶最近幾次的密碼不能相同，其實這個方法是基於一些錯誤的假設、對入侵技術的無知 (不要以為系統管理員都是專家，哈)，不論從運作上還是技術上來說，這不單不能保障你的帳號，反而使你的帳號更容易被入侵。

最近有一位朋友需要登入一個已經一整年沒有登入的系統，他完全忘記了密碼，試了幾個自己常用的密碼都無效後，系統便把他的帳號鎖死，最後要管理員替他重設密碼。

HTTP 身份驗證 (HTTP authentication) 是一種十分常用而容易實作的驗證方法，它倚賴網頁伺服器的內置功能，大量縮短所需編寫的程式碼，對於用戶驗證的要求不高的系統，是一個很實用的驗證方法。Evert Pot 在他的[網誌][1]上討論了如何用 PHP 實作這種用戶驗證。

密碼管理一直是受到忽視的瀏覽器安全性項目，資訊科技顧問公司 Chapin Infomration Services (CIS) 最近對 Google 的 Chrome、微軟的 IE 7、Opera、蘋果的 Safari 和 Firefox 3 五大瀏覽器的密碼管理系統進行測試，發現沒有一個能完全通過他們的 21 項測試項目，表現比較好的是 Opera 和 Firefox，但也只能通過 7 項測試，最差的是 Google Chrome 和 Safari，兩者只通過兩項測試。

我們曾經介紹過利用 Captcha 技術來阻截機器人程式進入系統，與及在系統上登記帳號，對於公開的網上服務來說，Captcha 已經成為必備而有效的攔截工具，不過 Websense 最近報導，微軟的 Live Mail 及 Google 的 Captcha 均已被黑客破解，這兩宗事件對我們作為用戶有甚麼影響？對我們作為系統開發者／管理員又有甚麼啟示？

現代人是一種沒有密碼不能存活的生物，我們接觸的所有電腦系統，都要依靠密碼來鑑定訪客的身份，辦公室的大門、家裏保險箱的門鎖，可能都要靠密碼來啟動，甚至商號提供的會員證，也要憑密碼鑑定你的身份。密碼既然如此重要，專家們很久以前便提供了各式各樣的建議幫助我們建立安全可靠的密碼，例如混合使用大小寫的英文字母，甚至加入數字和標點符號，增加密碼的長度，避免使用跟個人資料有關的文字或數字，定期更改密碼，不要重複使用以前的密碼，使用 L33t 技術……曾經有人慨歎，若果完全依照專家的建議，創造出來的密碼必定是難以記憶，用戶們最終會把密碼寫在某個地方（電腦旁邊的小紙條或者錢包裏面），反而變成保安上的大漏洞。怎樣才是好的密碼？高質量的密碼應該具備甚麼條件？

曾經管理網站，特別是論壇、網誌之類容許訪客寫文章的網站，一定見識過濫發文章／濫發電郵的威力，所以很多網站管理員都會安裝／啟動一個稱為 Captcha 的驗證系統，當訪客貼文章的時候，要從一個圖像中辨認出其中的文字然後連同文章一拼呈交，這些圖像都是隨機產生、充滿訊燥、字體故意被扭曲的圖像，只有人類才有能力正確辨識，這樣便可以杜絕網絡上的壞蛋使用機器人大量貼出文章。

系統保安網站 Hacker Webzine 最近有一篇文章，介紹兩個可能洩漏伺服器系統資訊的 PHP 漏洞，第一個有關伺服器變量的處理方法，第二個則有關 PHPSESSID 對話標識在用戶端被修改，嚴格來說這兩個不是 PHP 語言的毛病，只要編程人員小心謹慎，一切問題都可以避免。

相信很多 PHP 的開發者都認識 SQL 注入攻擊（SQL injection），我們之前在「不可不知的 PHP 安全技巧」也曾經介紹過，最近 Gareth Heyes 在他的個人網誌提到一種新的 SQL 注入攻擊招式，Gareth Heyes 稱它做「SQL 反射注入攻擊（reflected SQL injection）」，很多人可能都會忽略。

「每三個人便有一個把電腦密碼抄下，危害著他們的安全，公司應該採取更先進的方法來保護系統，例如生物測定等。」一個由全球性的調查機構 Nucleus Research 及 KnowledgeStorm 所做的研究顯示，很多公司用來增強資訊保安的措施並不湊效，其中包括定期更改密碼和藉著加插數字到密碼中令其更加複雜。

HKPUG 經常報導專家們提出有關 PHP 安全性的忠告，其實很多忠告都是幾乎「常識」的水平，即使沒有專家的提點也不應該觸犯，但是我們仍然不斷在討論區見到網友編寫漏洞百出的 PHP 程式，看得人觸目驚心，這裏我們再次介紹一篇有關 PHP 安全性的建議。

Eric Lundquist 在 eWeek.com 表示美國聯邦貿易委員會（Federal Trade Commission, FTC）發表了一份如何預防假冒者的忠告，所謂「假冒者」是指那些以虛假的託詞來騙取你的個人資料的壞蛋，這些資料包括了你的身分證號碼、信用卡號碼、銀行帳戶號碼、或者任何與你個人相關的資料。

Jeremiah Grossman 在他的網誌上用 JavaScript 編寫了一個實驗性的小程式，若果你使用的是 Firefox、Safari、Mozilla 或者 Netscape，一部份你曾經造訪的網站和瀏覽器上安裝的擴充模組便會顯示出來。由於這個程式在動態處理 CSS 上使用了一些 IE6 不兼容（但符合 W3C 的標準）的方法，所以無法在 IE6 上執行，但是已經有人把它修改變成 IE6 兼容的版本。

IBM developerWorks 刊登了一篇由 Thomas Myer 所寫，有關 PHP 安全技巧的指導。