标签: 安全

Nginx 为 HTTPS 加密站点启用 Certificate Transparency

nginx-ssl传统的 SSL 认证身份的过程可能存在着受信任 CA 错误或某些不负责任行为、抑或是自身域名被别人冒充申请颁发证书的潜在危险,这是 SSL 认证环节中容易被利用的一环。由 Google 主导的 Certificate Transparency (CT)希望解决这些问题。任何证书持有人、CA 都可以向 CT 服务器提交证书,并接受审计和监控,使得当前的 CA 能够更加安全公开和透明。

启用 Certificate Transparency 与否的不同

如果 HTTPS 网站没有部署 Certificate Transparency,会有什么不同呢?

首先,Google Chrome 浏览器取消了对没有 CT 记录 Extended Validation(EV)证书绿条(Green Address bar)的显示。

其次,如果你有 iOS 开发的需要,你会了解到 iOS 9 新增了一个叫做 App Transport Security (ATS)的特性,开始默认强制所有请求为 HTTPS 请求。如果你的网站不支持Certificate Transparency,那么将不能通过 NSRequiresCertificateTransparency 的情况。

除此之外,对于大多数中小型网站 CT 的启用与否,还没有太大的区别。在 Chrome 上点击证书绿锁可以看到,未启用 CT 的网站和启用 CT 的网站存在着下面这一句话的细微区别。

针对 HTTPS 加密优化 Nginx 的参数配置

nginx-ssl网页的全面加密是一个很明显的未来趋向,安全性这一因素被越来越多的网站考虑,部署 https 加密对于大多数网站来说都非常必要,尤其是当搜索巨头 Google 宣布会稍微提高 https 网站的优先级之后。这家公司本身就非常注重安全性和保密性,因此推出这样的策略也不难理解,也能极大地推动加密称为网站建设的标准配置。

为什么要加密

互联网是越来越开放的,人们也是越来越注重保密性的。在互联网的保密观念不强的过去,https 并不是网站的标配。但是在当下,我们需要传输越来越多的个人信息,对于网站的保密性要求也就更高。看到网站地址挂上了绿锁,总是不必担心自己阅读的内容被其他人看到。

其次,在国内,运营商劫持是一件非常令人烦恼的事情。运营商为了追逐利益,会强行注入广告代码,甚至是调取搜索关键词,强势推销广告,隐私暴露无遗。这不仅是对访客的伤害,对自己的网站体验也是一种伤害。加密的 https 则会最大的避免这一个风险。

部署 SSL 证书并启用 HTTPS 连接非常简单,在此不再赘述。

下面讲解以 Linux + Nginx 为例子,详解如何优化配置 Nginx 的参数,提升安全指数和速度。

所有的配置一经修改,都需要重启或重载 Nginx 服务来应用。

iOS 中你可能不知道的 14 个小细节

iOS-logoiOS 是一个非常强大、人性化的系统,它功能齐全却又简单易用,是苹果公司移动设备能拥有超高的客户满意度的决定性因素。但你对于 iOS 的那些细节设计之处知道多少呢?下面介绍隐藏于 iOS 系统中,你可能不知道的 14 个设计、设置小细节。

点按 10 次刷新 App Store

App Store 是我们获得所有软件的方式。它以非常简单和直观的方式,为我们查找所寻软件的信息提供捷径。然而 App Store 的主要内容是 Web 获得的,也就是说,它可能会在接下来的某个时刻更新,如果你没有退出 App Store,它不会再次加载,那么你所看到的这个页面或许不是最新的。再加上 Web 网络加载本身的某些因素限制,有时候我们需要强制刷新 App Store。这时候怎么办呢?焦急地点按下面 5 个 Tab 中的任何一个 10 次,你就看到 App Store 扔掉当前的内容重新载入了。

浅析 iOS 指纹识别 Touch ID 的安全性

touch id苹果公司在 iPhone 5s 的发布会上公布了全新的指纹识别安全技术,也就是 Touch ID,开创了生物安全识别技术在便携设备上使用的新篇章。此后,苹果还将此技术带到了 iPad 上。此前没有任何厂家将指纹识别成功的打造在如此常用的设备上,因为涉及到非常复杂的工艺和技术难关。苹果在2012年收购在此方面技术领先的 Authen Tec 公司作为技术基础,并为iOS设备量身打造了 Touch ID。这使得苹果在智能设备的指纹识别方面比其他厂商更加智能且利于使用。三星的指纹识别功能必须要用手指按某个方向滑动,而 Touch ID 只需你将手指放上去,就可以360度读取指纹。那么,Touch ID 是否真的足够安全呢?这是一个值得探讨的问题。

iphone touch id bottom

为什么我选择 Google Drive 而不是 Dropbox

google drive and dropbox logo当下最流行的网络云存储服务应当就是 Google Drive 云端硬盘、Dropbox、OneDrive 了。这三家提供商都提供了优秀的服务,各有特色并且不相上下。我个人由于外观和系统兼容性原因没有选择 OneDrive,并且目前我不认为微软有做网络云存储的基因。于是我先后使用了 Dropbox 和 Google Drive 云端硬盘大约各一两个月的时间,最后我得出的结论便是,我认为 Google Drive 云端硬盘更适合作为我的主力云存储服务。我会说明我如何认为 Google Drive 云端硬盘好过 Dropbox。

Google Drive VS Dropbox: 两大云存储的共同优点

首先,两家服务都提供了稳定的上下载速度和安全的数据保密性。我们不需要担心把文件放在谷歌公司的服务器或者 Dropbox 公司托管服务器上会有什么被窃的风险,因为它们几乎已经代表了业内最顶级的加密水平。

此外,Google Drive 云端硬盘和 Dropbox 都提供了很不错的版本控制功能,一个文件可以保存30天以内的各个修订版本,并且仅仅只有当前最新的文件占用空间。

google drive revisions

最后,Google Drive 云端硬盘和 Dropbox 都提供了“回收站”功能,可以当作已删除文件再次恢复的“后悔药”。

下面来谈谈 Google Drive 云端硬盘比 Dropbox 好的八个理由

在Mac OS X上安装dnsmasq来支持hosts泛解析

dnsmasq最近访问谷歌系列网站越来越慢了,不探究原因,但这让我感到非常苦恼,如果连Google都使用不了的话,那我上网的意义就失去了一半了。不过好在我们有hosts,可以实现简单的翻# 墙,来解决大多数谷歌服务的访问问题。可是谷歌的域名实在是太多了,我们有没有什么办法来实现类似*.google.com/*的泛解析呢?很可惜,传统的hosts文件不可以行。但是有一个叫做dnsmasq的软件,它能提供类似DNS缓存的功能,可以用它来实现很强大的泛解析功能。

下面以OS X Mavericks做例子,来讲述如何安装使用DNSMASQ,来实现谷歌服务直连。

Mac安装DNSMASQ

要安装dnsmasq,你需要先安装Homebrew

它自称“OS X 不可或缺的套件管理器”。

安装Homebrew

请打开终端(应用程序>实用工具),并运行

ruby -e "$(curl -fsSL https://raw.github.com/Homebrew/homebrew/go/install)"

你需要按照提示来继续安装。这个过程或许会很慢,受限于网络状况。如果实在很慢,你可以在VPN环境下安装。

安装完成之后,你就可以使用brew命令来安装dnsmasq了。

iPhone 防盗秘笈教程 (iOS 7)

find_my_iphone_icon我的iPhone丢了怎么办?最近两位朋友的手机丢了,向我问这样的问题。丢手机固然不是好事,但也不是最不幸的,最不幸的,是手机压根就没有做任何防盗措施,而iPhone本身就基本很强大的防盗管理功能,为什么不事先就好好设置呢?如果能认真的花一点时间把防盗措施搞好,或许丢了手机能更方便地找回来。而现在,对于还没有丢手机的各位,一切都来得及。

这次我就以iPhone搭配iOS 7+为例(当然,iPad搭配iOS 7同样适合此教程)为大家讲讲怎样设置好iOS内置的防盗措施,来以防万一,如果你从来没有想过这些问题,不妨花点时间来看看。

iOS 7: 新升级的防盗机制

iOS 7比曾经版本的iOS拥有更加优秀的防盗机制。在从前,苹果在iOS上推出了“查找我的iPhone”功能,从某种程度上来说增强了iPhone的安全性,可是这个功能有一个弊端,那就是如果iPhone被盗之后,只要在主人上网锁定iPhone 之前,进入设置把这个功能关掉即可,然后偷盗者就可以躲过主人的定位,并且只要一刷机就可以当一个新手机使用,它不会保留任何原始主人的任何信息。

ios7 privacy

iOS 7 越狱 evasi0n7 已出,但有几点注意

evasi0n 7

终于来了!等待已久的iOS 7越狱,终于在圣诞节之前,以一个惊喜的形式,出现在我们面前。所谓“年前都不会有iOS 7越狱”的说法被打破了。这次越狱来得如此之急,如此出人意料,以至于Cydia的服务器在短时间内拥挤不堪。不过,这次越狱也藏着一些小秘密。如果想要尝试越狱的同学,不妨先看看几点注意。

你会发现,如果你直接越狱,会被安装一个叫做“太极”的东西……

太极?这是什么

最大的特点可能就是,大家会观察到这次越狱附带了一个叫做“太极”的东西。这是什么东西?它看上去像是一个盗版应用商店,或者是类似Cydia的东西。不过这到底是什么?为什么一定要附带一个和cydia类似的东西?为什么越狱团队会鼓励用户使用盗版应用?这看上去是不太可能的。而且,按照一贯的逻辑,越狱一般会是在iOS 7.1发布之后才面世,而这次却在ios7还在测试的时候就公开了。为什么这么匆忙?

其实仔细想一想,这个“太极”暗藏玄机。微博网友已经验证,这是一个中国公司的产品,而这个名叫太极的马甲公司背后,很有可能是某个数字公司……

有什么用呢?为什么要开发这样一个东西呢?原因正是,如果能够掌管用户安装应用程序的入口,会得到非常大的权限,可以做很多事。例如,给你推送广告,给本来就不合法的盗版应用再植入广告,或者给你强制推送一些你不感兴趣的软件。

是不是顿时有种恶心的感觉?某个中国盗版公司企图向越狱团队支付一大笔钱,来让他们的盗版商店替代掉cydia。因为掌握了应用的入口,就掌握了手机的使用方式。某公司的阴谋啊!这当中暗藏巨大商机和秘密!

taig

所以,我建议你远离“太极”。中国用户下载的越狱工具会默认安装难以卸载的太极,所以我推荐你用以下方式来越狱。

备份WordPress到Google Drive: UpdraftPlus

wordpress google driveGoogle Drive为免费用户提供了15GB的空间,如果是收费版本,容量将会更大:这对于中小型站点的wordpress备份完全足够,如果你不打算在上面存储其它非常大的东西的话。如果能将Wordpress博客的所有数据全部备份到Google Drive,则可以充分利用此空间,并保证你的数据的安全,防止哪天服务器出现问题,或者网站被恶意破坏,备份数据丢失。UpdraftPlus可以帮助你备份所有的数据库文件、上传的文件甚至插件数据,可谓是最完美的wordpress备份工具。并且updraftPlus默认分卷传输,大大减小服务器不响应从而中断连接的情况。现在详细介绍如何使用updraftPlus来备份wordpress到Google Drive。

Wordpress 备份到 Google Drive 教程

updraftPlus可以在wordpress插件官网,或者作者官网下载,也可以在后台搜索。

安装好后默认的备份文件夹是wp-content/updraft,推荐在设置中更改,但要在设置中排除备份文件夹所在的位置。

关于其他updraftPlus的设置及其强大的功能,在此不再赘述。

如何让你的Google帐户更安全!

Google 账户 (Google Accounts) 是你所有Google服务的枢纽账户,是互联网上不可或缺的账户体验。包括YouTube,Gmail,Google Play,云端硬盘,以及Google+,Google移动服务等,都依赖于Google账户。因此,只要你用Google搜索,用Google+社交,用YouTube看视频,用Gmail收邮件,用云端硬盘来储存文件,包括Picasa来储存照片,便会在Google服务器上留下一笔重要、详细的隐私记录。如果Google账户遭遇不测,透过这些记录,攻击者可以很顺利地获得你的诸多信息,包括你的个人资料,电话和位置等。所以,保护你的Google账户是如此的重要!

下面就来一起探讨,如何让你的Google账户更安全。

基本的安全措施

包含了一些基本的必不可少的安全措施。透过一些常用设置来让你的Google账户更安全。

选择一个强壮的密码

一个强壮的密码包括:

(缩进) 包含英文字母,如abCDEf。

包含特殊符号,如@#$。

包含数字,如 1234。

长度一定够长,建议大于12位以上,即使你都需要写在一张纸上来记录。一年至少更改两次密码。

除此之外,请警惕,千万不要和其他的网络服务(如腾讯QQ,新浪微博)使用相同的密码!否则,在其他网络服务受攻击之后,您的Google账户同样遭受风险。