Fcitx的默认设置可能泄露你的隐私

右键点击托盘图标,打开Configure,点击Addon标签,有一个东西叫Clipboard。这个插件在默认状态下是启用的,Hotkey是 C-;,会显示你最近的5条剪贴板记录。

fcitx-clipboard.png

关闭的话,只要勾选Addon标签下的Advance然后把Clipboard前的勾去掉即可。

View comments.

more ...


NETGEAR WNDR4300漏洞确认

English Version

固件版本:V1.0.1.64PRRU

直接输入 http://<your router IP>/BRS_02_genieHelp.html

wndr4300-vulnerability.png

点击其中的选项即可绕过路由器的验证。我倒是更愿意把它称作一个漏洞而非后门。也得会有人这样做个后门啊。

还有一个注入漏洞。

打开 http://<your router IP>/ping6_traceroute6_hidden_info.htm,在ping6 to的框内输入`reboot`,即可重启你的路由器。不过这个页面在V1.0.1.64PRRU版本的固件上是要求登录的。在前几个版本的固件中,访问该页面不需要登录,利用这个,可以获得路由器的root权限。

大家可以在ftp://downloads.netgear.com/pub/netgear/updates/ftp://download.netgear.com ...

View comments.

more ...

原来Avast这般扫描HTTPS

最近用了一台装有Avast 2015的电脑,上网时闲着没事干看了看某个网站的证书。结果发现是Avast! Web/Mail Shield Root颁发的。我感到很惊奇,在杀毒软件厂商中,就听过Symantec和COMODO有经营证书,什么时候Avast也来插上一脚了?

avast_https_1.png

没管它,继续上网。又发现了一个网站使用了Avast颁发的证书。什么时候这货变得这么流行了,难道有免费证书?放狗一搜,毛都没看到。这不对啊,一个存在于系统信任的根证书存储的CA居然没有公开卖证书,还有这么多人用,太不对头了。

avast_https_2.png

点开右下角,在隐藏的托盘图标中发现了一个Avast,啊,好像明白了什么。查看CA的证书生成日期,一问,原来和Avast的安装日期一致。再仔细翻翻Avast的设置,在网页防护设置中发现了“启用HTTPS扫描”。

avast_https_3.png

这下基本明白了,敢情这货替换了所有HTTPS网站的证书啊。

猜测原理:软件安装时,利用OpenSSL(“关于”中明确指出有使用OpenSSL库)生成根证书,然后每访问一个网站就颁发对应的证书,然后利用私匙解密传输数据进行扫描。

那么问题来了,这样真的安全吗?MITM Attack可以防范吗?没有仔细研究 ...

View comments.

more ...

一点都不令人省心的阿里

之前一个月就看到superliufa的博文提到Windows下面支付宝服务的奇怪行为。

支付宝在Mac OS X下的行径也好不到哪里去。例如这篇博文以及这篇博文

BAT都不是省油的灯,但是这些帝国的触手深入到天朝的各个角落,避都避不开。如果你不担心,那就用去吧。如果你担心,那么有以下几种办法:

  1. 删掉证书是首要任务

    大家可以参考chengr28/AntiChinaCerts

    特别的,Mac用户可以参考这篇博文

  2. 惹不起我还躲得起:

    • 使用虚拟机。
    • 使用沙盘。但要注意的是沙盘中的程序依然有读以及访问网络的权限。
    • 在Windows下还可以使用组策略或Firewall来限制。
  3. 提取这些渣渣中真正必须的部分:参考文章

    例如在下载Windows版的支付宝控件后,先不要急着安装。使用7z解压缩下载到的控件,其中含有几个文件alidcp.dll aliedit.dll pta.dll npaliedit.dll

    IE内核浏览器真正需要的控件是三个文件:alidcp.dll aliedit.dll pta.dll ...

View comments.

more ...