涼粉's profile好天氣PhotosBlogListsMore  |  Tools Help |
|
1/20/2009 嗯... SSL Cert 也不安全了?
最近在網上看到的新聞,有人利用 200 部 PS3 成功破解了使用MD5作簽名的SSL認證,利用MD5算法的漏洞,制作了一個假的Certification Authority ,可以用其他公司的身份 (如: Verisign) 簽發SSL證書,假冒其他網站,而現時的 Browser 預設都會信任來自 Verisign 等 Root CA 的憑證,因此使用者無法得知該 SSL Cert 的真實性。 而 Verisign 等證書授權中心已經開始將所有 MD5 簽發的證書轉為使用 SHA-1 來避免此問題。 ======[ About MD5 Collision ]====== MD5 於 2005 年已經有研究發表 (中國的王小雲教授) 證明不同的資料可以產生相同的 MD5 HASH,之後,有新的破解方法使攻擊更加實用化,只要在資料的前後加上特定的 Prefix / Suffix,就可以制作出兩份不同的資料卻擁有相同的 MD5 HASH !! 因此,建議大家使用 SHA-1 來取代 MD5,雖然 SHA-1 已經證明存在 Collision (同樣由王小雲教授發現...) ,不過,由於還沒有可以快速實現的代碼,所以在現階段仍然是安全的。 ======[ Links ]====== [ PlayStation 3 used to hack SSL ] (English Link) http://www.engadget.com/2008/12/30/hackers-playstation-3-make-ssl-much-less-secure/ [ Creating a rogue CA Certificate ] (English Link) http://www.win.tue.nl/hashclash/rogue-ca/ [ 研究證明針對 MD5 之衝突攻擊的可行性 ] http://www.microsoft.com/taiwan/technet/security/advisory/961509.mspx (Chinese) http://www.microsoft.com/technet/security/advisory/961509.mspx (English) [ 互聯網上14%的SSL認證都不安全 ] (Chinese Link) http://security.zdnet.com.cn/security_zone/2009/0105/1300667.shtml [ SSL Broken ] (English Link) http://blogs.zdnet.com/security/?p=2339 [ 14% of SSL Certs are not safe ] (English Link) 1/19/2009 Live Messenger 2009 手動移除主視窗廣告 + 聊天視窗文字廣告
Windows Live Messenger 2009 Build 14.0.8064.206 的修改,請按此連結: [更新] Windows Live Messenger 2009 Build 14.0.8089.726 的修改,請按此連結:
以下適用於 Windows Live Messenger 2009 Build 14.0.8050.1202
移除主視窗廣告: 1) 用 Hex Editor (e.g. PSPad) 打開 msgsres.dll
====== 移除聊天視窗底部文字廣告: 1) 用 Hex Editor (e.g. PSPad) 打開 msnmsgr.exe
現在執行 Live Messenger 看看~ 廣告應該都消失了~ ====== 網絡上暫時好像只有 A-Patch 可以自動移除 Live Messenger 2009 的廣告,但使用前需要到控制台設定 Non-Unicode 程式的語言為 English (US),設定後還要重新啟動電腦... 很麻煩,若果跟著上面的方法去修改,就可以不用重啟電腦了~
另外,若果使用 A-Patch 的話還會修改 msnmsgr.exe 內的另一個位置: 還有 msidcrl40.dll: 以上這兩個都是 A-Patch 在移除廣告時會修改的地方,但我發覺效果好像沒差,不改這兩個也能成功移除廣告,所以就不理它了~
註. 在修改前請先自行備份檔案,筆者並不負責因為修改檔案引致的任何系統損壞及資料遺失。 |
|
|
