Monthly Archives: June 2006

SSL 2.0 真的不是很安全

前几天用 Nessus 扫描自己用的笔记本, 报告有安全漏洞:

The remote service accepts connections encrypted using SSL 2.0, which reportedly suffers from several cryptographic flaws and has been
deprecated for several years. An attacker may be able to exploit these
issues to conduct man-in-the-middle attacks or decrypt communications
between the affected service and clients

阅读了一下推荐的文档 Analysis of the SSL 3.0 protocol, SSL 2.0 果然存在不少问题.

其中一个问题是 SSL 2.0 容易受到密码组回滚攻击(CipherSuite Rollback attack). 关于 ciphersuite rollback attack:

An attack against how Secure Socket Layer version 2 (SSL v2) negotiates the cipher suite. The aim is to convince Alice and Bob to use much weaker encryption than they are capable of using.

该攻击方法通过恶意编辑在 hello 报文中发送的所支持密码组的明文列表而使得使用者被动选择弱化的出口加密算法.这几乎是 SSL 2.0 的致命缺陷.

另外一个问题是由于美国安全产品出口法的限制: 只能使用不超过 40 位的 MAC( 报文验证码, message authentication codes). SSl 2.0 使用 MAC 后添加字节的块加密模式,但是添加的长度字段是未经验证的,这给了主动攻击者会删除最后的内容的可能.

对于 SSL V2 也可能存在中间人攻击(man-in-the-middle attack). 虽然 Diffie-Hellman 是目前最为完美的公钥算法.但是在 SSL V2 的缺陷使得供给者能够巧妙伪造一个数字证书, 让客户以为他是和真正的服务器通讯. 在 SSL V3 中则对该缺陷进行了改进.

推荐文档:SSL技术详细说明

一直对 SSL 的安全性比较模糊. 唉

 

金庸小说《碧血剑》仍然存在的一处Bug

在家闲来无事读金庸。广州出版社出版的修订版《碧血剑》,读罢,发现了一处不太合常理的情节。
书中写道,袁承志少年时候进入金蛇郎君丧命的洞窟中, 发现了插在石壁中的碧血剑,用力拔了几下,微微晃动,只得作罢。
从后来的情节中,我们看到,当时金蛇郎君手足筋脉俱废, 哪里来的力气把这把宝剑插入石壁呢 ?
碧血剑
下部的时候还有一处很明显的情节错乱, 就是五毒教的齐云璈请求何铁手拔刀的那一段。前言不搭后语。
这部碧血剑是金庸早期的作品, 在这个版本中加入了大量的心里活动描写(比如对阿九的意乱情迷) ,纵观金庸小说,心里活动的描写一如中国古典小说那样,并不多见, 也是很为生涩的地方。

《万象》复刊 有点粗糙

这次回家途中如果拿一本《万象》消磨时间倒是一件美事。可惜,在长春也没有看到,直到今天才总算在楼下报刊亭买了一本。

感觉纸张质量下降了一个档次。有点黯。难道是天热太阳给晒黑了?? 封三居然是什么”专门保护四合院的房修二公司”的广告. 所幸的是,素来不喜的范旭仑老先生的文章总算这一期没有。

附:复刊后的《万象》第八卷 第一期 2006年4月号目录

    

  • 1. 楚门秀——八卦作家楚门*卡波提 钟芳玲
  • 14.卡波提与人物采访
  • 18.卡波提与哈波*李
  • 21.我这一代香港人 陈冠中
  • 39.我这一代东京人 新井一二三
  • 60.玩具 游戏 旧时月色 方非
  • 68.《党派评论》的一波三折 钱满素
  • 83.花园中孤独的诗人:艾米丽 狄金森 菊子
  • 97.朱希祖与钱玄同 朱元曙
  • 111.胡适“作伐”和北大的“某籍某系” 邵建
  • 117.昔日果脯仍在 旧时习俗已远 –俞平伯的《杂拌儿》与周作人 吴兴文
  • 124.香菱的裙子及其他 张宗子
  • 133.再谈钱锺书为谁沉吟 胡文辉
  • 139.角先生,肉苁蓉及其他 钟叔河
  • 150.且玩且读 –欧游读书杂记 任西真
  • 154.黄酒:掀起你的盖头来 杨起

《书城》也复刊了,书亭老板说过几天能到。

BTW:
刚才网上看到杭州台风中 7 人失踪, 叹息
–End.

母校, 毕业生

昨天回杭州, 上午就搭顺风车到了长春, 中间有一大段时间无法打发, 刚好去母校看看. 校园内稍稍有点特色的老建筑都拆个差不多了, 作为替代品的是一些毫无想象力的钢筋水泥拼凑出来的常见几何图形. 建筑的颜色单调,黄了吧叽的(东北话),很怪异. 据说是有一年太上皇视察长春, 路过静月的时候忽然看见一路单调的颜色中突然出现了几座淡黄色的建筑, 问曰, 这是什么地方? 颜色我喜欢. 信口一语 , 下面的人当圣旨供上了–以后盖楼都是这个颜色.
路过食堂附近, 惊奇的发现一年一度的毕业生旧物大甩卖正在进行. 兴趣大涨, 逛了一遍, 居然发现没有任何东西可以买的. 考研的资料占了绝大比例,这应该是每个毕业生最容易割舍的东西吧。想买本小说作纪念, 人家卖的都是什么《幻城》之类的玩艺儿。想买本当时辅导员写的《人类疾病学》的通俗读物,也没有看到。逛到计算机系的”摊位”附近, 那些当年看过的图书也还有的卖, QBasic, Pascal, 还有 Turbo C 的,最为惊奇的是,居然看到了一本 MS Dos 5.1 教程, 还挺新的, 哈哈。我和同寝室的哥们儿感慨, 真是薪火相传阿。都什么年代的东西了。
相比当年的毕业生旧物甩卖, 还是有点不同,不少人竟然在卖衣服。呵呵,当年怎么没有人想到这些呢。 我看很多女生专门卖衣服,花花绿绿的,似乎还都是新衣服,把整个小市场映衬的生机盎然, 经营理念相对来说还是先进了很多啊。
我在这个学校上了四年学, 倒是参加了四年的毕业生甩卖. 这是大学里最有趣的事情之一。四年的四次经营, 买掉很多东西,也能收获很多.
图书杂志, 磁带, 手电筒这样的家用电器, 软件光盘, 盗版电影… 那些记忆碎片