※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2022-08-08 22:55:11
看板 Gossiping
作者 標題 Re: [新聞] 唐鳳提新招 破解中國網攻
時間 Mon Aug 8 22:48:17 2022
※ 引述《TonyQ (得理饒人)》之銘言:
: ※ 引述《fur (英國研究真有趣)》之銘言:
: 來評論一下這件事情:
: 1. 基本上其他的提問跟回答我覺得都中規中矩,
: 除了看板那題的傷害有限,
: 我還是沒看到更具體的報告可以說明傷害有限。
: 2. ipfs 算是一種解法,但是只限於很少的使用場景,
: 理由是目前 ipfs 只支援純靜態的網站(有 js 效果但無外連也算靜態)。
: 所以拿 ipfs 說不卡,這個當玩笑可以,
: 但實際上來說,政府要應付的問題遠比這複雜多了 。
: 我看起來比較算是個開玩笑。
: 另外 ipfs 因為速度不夠快跟穩定,
這個想法在面對中國的駭客攻擊並不完全對
舉這陣子的台大教務處為例
就算台大教務處把所有的圖片存取連結都放在靜態網站
一樣可以做到圖片全部變成五星旗
原因是靜態網站雖然沒有受到攻擊也沒有受到阻斷
但是如果動態網頁伺服器被更改一樣可以把首頁圖的連結改成來自中國的連結
訪客看到的圖片一樣變成五星旗
靜態網站一樣好好的也沒有受到更動
但是靜態網站一般來說都可以應付較強的阻斷式攻擊ddos
也可以大量降低動態網頁伺服器被ddos時的負荷
這個幾乎所有架站人包括政府單位都必須考慮的事情
: 所以 cdn 會提供快取伺服器來服務,
: 這裡應該也隱含了會使用 cdn 的服務來使用的基礎。
: (cdn 也會提供流量清洗的服務)
cdn提供快取也只僅限於靜態網站
動態的個人資料是沒辦法cdn的
就算硬要cdn也沒有效益
而且cdn也會有延遲問題
像是大家都跑去看公路武嶺監視器的串流
cdn去把武嶺的影像上傳
結果大家拿到的影像變成cdn上的備份影像但是已經延遲了
之類的問題
只是一個硬要舉的舉例但是希望你能觸類旁通
就是提示一件事
cdn常常會提供錯誤的訊息這件事我常遇過
遇到一次就覺得對他們設計系統的人覺得很失望
還要想辦法繞掉cdn
: 這裡的問題是,多數平台還是以 https 為主,
: 要切換到 ipns 基本上需要很長的教育時間,
: 且是不是有足夠的量能可以支撐國民使用也是問題。
: 所以,用 ipfs 解題,
: 我個人認為起碼在兩年內都是幹話。XD
公務單位使用ipfs處理這個我想不出有什麼好處
比特幣之所以區塊鏈是因為有提供給區塊鏈節點好處
就是挖礦的報酬
但是公務單位區塊鏈化
請問你報酬要怎麼給?
你要別人幫你架設節點總要給個好處吧
不然我開個主機電費算我的?
區塊鏈化後還有節點掛掉的問題
幾個主機掛了那就全部的政府網站都掰了
那我只能說推廣這個東西就只是跟風炒作區塊鏈的話題
為了創新而創新但事實上根本沒有搞清楚新的技術上有哪些缺失
這種問題在一些青年技術社群很常見
作業系統永遠都要用最新版、beta版
結果灌了最新版有bug
請問你要怎麼辦?
你要幫他修bug嗎?
微軟、ios、android的bug你修得了那你有辦法發佈嗎?
區塊鏈化真的不是一個好想法
: 然後提到 web3 大家可能會想到的是區塊鏈,
: 但 ipfs 其實沒有 block 哦,
: 他技術上比較接近 bt 或驢子的協議,是 p2p 的檔案協議,
: 所以一樣要有人當種子,要等供檔。XDDD
: 3. 安全習慣的不良很多來至於莫名其妙的規定,
: 比方說逼公務員取他們記不起來的規則的密碼,
: 但是又不鼓勵或提供密碼管理器之類的服務。
: 然後莫名其妙三個月還要更換一次,
: 換到大家都不知道自己在記什麼了。
: 各種矯枉過正違反人性的資安策略,本身就是傷害資安的做法。
: 安全是相對的,不是絕對的。
: 另外很多公務機關的服務都是以機關為帳號權限管理,
: 而不是以人為目標的權限管理,
: 導致很多單位一個單位只有一個帳號,大家得分批共用。
: 一旦帳號共用就很難談資安跟管理了。
事實上並不是如此
以警政單位被駭為例
之前也有警察被抓到偷看拉拉隊隊員的資料
請問如果如你講的每個人都用一個帳號那為什麼抓得到?
https://www.ettoday.net/news/20220710/2291301.htm
台南男警「私查」兄弟象啦啦隊個資!近20女受害 所長慘被牽連 | ETtoday社會新聞 | ETtoday新聞雲
台南市安平區華平派出所一名29歲劉姓男員警利用警政電腦系統,查詢兄弟象啦啦隊女孩們的個資、照片。有網友在臉書「靠北警察」發文質疑,「怎麼都沒有懲處消息?是不是壓下來了?」警方也對此回應。 () ...
台南市安平區華平派出所一名29歲劉姓男員警利用警政電腦系統,查詢兄弟象啦啦隊女孩們的個資、照片。有網友在臉書「靠北警察」發文質疑,「怎麼都沒有懲處消息?是不是壓下來了?」警方也對此回應。 () ...
很多單位政風處私底下都會定期盤查哪些人員查看哪些資料
舉例像警政、戶政這些都會
如果櫃台亂查別人的東西也是抓得到
此外公家單位規範密碼的更新和避免過於簡單的密碼都是必要措施
你有架站經驗但是應該不會慘到不知道有人會用程式去暴力破解密碼
我們之去參加國內的駭客比賽
懶得解題直接用程式暴力破解出題電腦的登入
真的試出登入密碼但是一登入馬上就被踢出去
再登一次密碼又不同了
我想密碼強制要求應該很基本的東西
你不規範每個人都設定為0000
這樣你們外包廠商最方便了不是嗎?
維修費也一定很驚人
: 筆者有 15年軟體工程師經驗,
: 曾開發基於 evm dapp 跟合約的應用系統。
: 有興趣的可以推文繼續討論。
: 時代力量三重蘆洲區議員參選人
: 王景弘 TonyQ
: -----
: Sent from JPTT on my Samsung SM-G9980.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 58.114.217.107 (臺灣)
※ 文章代碼(AID): #1YyI8qss (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1659970100.A.DB6.html
※ 編輯: gyGirl (58.114.217.107 臺灣), 08/08/2022 22:51:15
--
推 : 直接網站關了就好1F 125.224.160.77 台灣 08/08 22:52
推 : 塔塔:唐鳳是天才2F 49.159.1.173 台灣 08/08 22:53
--
※ 看板: Gossiping 文章推薦值: 3 目前人氣: 0 累積人氣: 1219
回列表(←)
分享