上周末åŒå¦æ¥å—京考试,顺便就在å—äº¬çŽ©äº†ä¸¤å¤©ï¼Œç…§äº†ä¸€äº›ç…§ç‰‡ï¼Œä»Šå¤©æ‰“ç®—æ‰“åŒ…ä¼ è¿‡åŽ»ã€‚ç»“æžœå¦‚ä½•é€šè¿‡æˆ‘çš„64Kb(b哦,ä¸æ˜¯B)ä¸Šä¼ å¸¦å®½çš„ADSLä¼ è¿™ä¹ˆä¸ª70M的东西还真让我头疼了一阵å。
先是å°è¯•QQçš„ä¼ é€æ–‡ä»¶ï¼Œä½†æ˜¯å› 为她在教育网,我在公网,速度慢的一塌糊涂,估计需è¦2å°æ—¶+æ‰å¯ä»¥ä¼ 过去。自然我是没有è€å¿ƒç‰çš„。然åŽå°è¯•ä½¿ç”¨é‚®ä»¶ï¼Œå‘现GMail支æŒ27MB的邮件大å°ï¼Œæ¢ç®—èµ·æ¥åº”该是20Mä¸åˆ°ä¸€ç‚¹çš„附件大å°ï¼ˆè€ƒè™‘base64ç¼–ç 带æ¥çš„开销是4/3),所以把照片分å·æ‰“包,然åŽå°è¯•ç”¨GMail的在线邮件撰写,æ’入附件,点击å‘é€ï¼Œç„¶åŽæµè§ˆå™¨ä¸å‡ºæ‰€æ–™åœ°è¶…时了。既然Webä¸è¡Œï¼Œé‚£ä¹ˆå°±èµ°SMTPåè®®å§ã€‚ååè¦é€šè¿‡GMail的邮件æœåŠ¡å™¨çš„è¯éœ€è¦è®©è¿™äº›å—节绕åŠä¸ªåœ°çƒï¼Œè¿˜å¿…é¡»è¦èµ°SSLåŠ å¯†çš„é“¾è·¯ï¼Œå®‰å…¨æ˜¯å®‰å…¨ï¼Œä½†æ˜¯æ…¢å•Šï¼Œè€Œä¸”åŠ å¯†è¿™ç§ä¸œè¥¿ï¼Œå®Œå…¨å°±æ˜¯CPU密集的æ“作,结果就是导致邮件一å‘é€å°±å 用100% CPUã€‚è¿™æ ·ä¹Ÿå°±ç®—äº†ï¼Œå¤§ä¸äº†æˆ‘æ”¾ä¸€è¾¹è®©å®ƒä¼ åŽ»ã€‚ç»“æžœè¿›åº¦æ¡ç¼“慢推进到80%å·¦å³(40分钟+之åŽ),弹出对è¯æ¡†â€œæ— 法连接æœåŠ¡å™¨ï¼ŒæœåŠ¡å™¨è¶…æ—¶â€ã€‚当时晕掉。
怎么办呢?找一个近一点的SMTPæœåŠ¡å™¨å§ã€‚VPN到公å¸ï¼Ÿè¯´ä¸å®šè¿˜ä¸å¦‚GMail。这时候想起æ¥å½“时在å¦æ ¡çš„æ—¶å€™è¿˜æœ‰æ ¡å‹ä¿¡ç®±ã€‚å—京和åˆè‚¥ä¹Ÿä¸ç®—è¿œï¼Œè€Œä¸”æ ¡å‹ä¿¡ç®±çš„SMTP也是电信出å£ï¼Œç¦ç”¨æŽ‰SSL应该会快一点。
但是这个æœåŠ¡å™¨åªæ”¯æŒ10000000å—节的邮件大å°ï¼Œæ¢ç®—一下就是7Mä¸åˆ°çš„附件,最åŽåªèƒ½æ‰“æˆ6M的分å·åŒ…,å‘了11å°é‚®ä»¶ã€‚估计åŒå¦ä¹Ÿä¼šéƒé—·æ»ã€‚
折腾åŠå¤©è¿˜ç»ˆäºŽç®—是把它们å‘出去了。ç‰ä¸‹å›žå¤´çœ‹çœ‹æœ‰æ²¡æœ‰é€€ä¿¡é€šçŸ¥ã€‚:)
回头想想,如果SMTP有æ–点ç»ä¼ å¤šå¥½ã€‚è‡³å°‘è¿™æ ·æˆ‘å‰é¢çš„40分钟+的时间就ä¸è‡³äºŽæµªè´¹äº†ã€‚按ç†è¯´è¿™ç§ä¸œè¥¿åº”该有人想到过了,æœç´¢äº†ä¸€ä¸‹æžœç„¶æœ‰ä¸€ä¸ªSMTP扩展是åšè¿™ä¸ªäº‹æƒ…的:
RFC 1845 SMTP Service Extension for Checkpoint/Restart
ä¸è¿‡çœ‹äº†çœ‹çŠ¶æ€ï¼Œè¿˜æ˜¯Experimentalï¼ˆå®žéªŒï¼‰ã€‚è¯´æ˜¯å®žéªŒæ€§è´¨çš„ï¼Œé‚£å°±æ˜¯æ²¡å‡ ä¸ªMTA实现了的。事实上也是,æœç´¢äº†ä¸€ä¸‹ï¼Œä¼¼ä¹Žä¸æ˜¯â€œæ²¡å‡ 个â€ï¼Œè€Œæ˜¯çœ‹èµ·æ¥æ ¹æœ¬æ²¡æœ‰ã€‚
记忆当ä¸è¿˜æœ‰ä¸€ä¸ªRFC是关于邮件切分的,一时找ä¸åˆ°äº†ã€‚回头å†æ‰¾æ‰¾ã€‚
但是关键还是:有多少人实现了呢?至少我看到GMail的邮件æœåŠ¡å™¨æ²¡æœ‰å®žçŽ°ä¹‹ã€‚
sigh…为什么SMTP就没有æ–点ç»ä¼ 。
http://www.news.com/8301-10784_3-9789901-7.html
Google is beefing up its outsourced e-mail offering aimed at
corporations and universities, adding security features that large
companies demand.
Three weeks after closing its acquisition of Postini, Google has
integrated the company’s security and government regulation services
into Google Apps Premier Edition. That suite includes hosted e-mail,
calendar, instant messaging, Docs & Spreadsheets and Web page
creation software.
Googleçš„hosted application suite的确是一个éžå¸¸æœ‰æ„æ€çš„创æ„。而现在其ä¸åŠ 上了Anti-Spamå’ŒAnti-Virus的自定义,是ä¸æ˜¯çœ‹èµ·æ¥Google应该æˆä¸ºæ¯”Microsoft更大的一个安全行业的竞争对手了呢?
åˆä¸€èµ·Gmailçš„XSS问题。
http://www.news.com/Gmail-cookie-vulnerability-exposes-users-privacy/2100-1002_3-6210353.html?part=rss&tag=2547-1_3-0-20&subj=news
Petko Petkov of "ethical hacking" group GNUCitizen has developed a proof-of-concept program to steal contacts and incoming e-mails from Google Gmail users.
"This can be used to forward all your incoming e-mail," Pure Hacking security researcher Chris Gatford said. "It’s just a proof of concept at the moment, but what they’re demonstrating is the potential to use this vulnerability for malicious purposes."
According to Gatford, attackers could compromise a Gmail account–using a cross-site scripting vulnerability–if the victim is logged in and clicks on a malicious link. From that moment, the attacker can take over the session cookies for Gmail and subsequently forward all the account’s messages to a POP account.
[…]
"People do use private accounts to store work information," IBRS security analyst James Turner said.
[…]
"When you have organizations like Google spending countless man-hours
reducing security vulnerabilities…you can imagine how bad the actual
situation is for other organizations," Gatford said.
通过XSS注入到当å‰çš„Web应用程åºå½“ä¸ï¼Œç„¶åŽæ‰§è¡Œç¨‹åºï¼Œçªƒå–Cookie,进而窃å–éšç§ã€‚éžå¸¸ç®€å•çš„ç»å…¸çš„攻击方å¼ã€‚但是在Web的世界里,Cookie就是一切éšç§ï¼Œä¹Ÿæ˜¯å”¯ä¸€çš„éšç§ã€‚这是一个很大的问题。
è¿™ç§é—®é¢˜å¾ˆåƒä¼ 统安全问题里é¢çš„æƒé™æå‡ï¼Œæœ¬è´¨æ˜¯ä½¿ç”¨æŸç§è¯¸å¦‚手段让自己的代ç å¯ä»¥è¿è¡Œåœ¨å…¶ä»–人的安全上下文当ä¸ã€‚在Webä¸–ç•Œé‡Œï¼Œè¿™ä¸ªé—®é¢˜æ›´åŠ ä¸¥é‡ï¼šæ¯•ç«Ÿåœ¨æ¡Œé¢ç³»ç»Ÿä¸Šé¢ä¼ªé€ 安全令牌时éžå¸¸å¤æ‚的,但是在æµè§ˆå™¨å°šä¸Šï¼Œä¸€æ—¦èŽ·å–到Cookieï¼Œä¼ªé€ ä¼šå˜å¾—éžå¸¸å®¹æ˜“。
è¿›è€Œè€ƒè™‘ä¸€ä¸‹ï¼Œä¼ ç»Ÿçš„å®‰å…¨é—®é¢˜å½“ä¸ï¼Œæ¶æ„代ç æå‡æƒé™çš„目的是为了能够åšæ›´å¤šçš„事情,例如对用户计算机的完全的特æƒè®¿é—®ã€‚在Web安全当ä¸ï¼Œè¿™ä¸ªé—®é¢˜æœ‰äº›ç±»ä¼¼ï¼Œé€šè¿‡XSSçš„æ–¹å¼ï¼Œä»£ç å¯ä»¥ä»¥â€œå½“å‰ç”¨æˆ·â€çš„身份åšæ›´å¤šçš„事情,例如,去感染更多的用户。
éšç€Web应用程åºè¶Šæ¥è¶Šæµè¡Œï¼Œè¿™ç§å®‰å…¨é—®é¢˜æœ€ç»ˆä¼šå˜å¾—很严é‡ï¼šè¯•æƒ³ä¸€ä¸‹ï¼Œæœ‰ä¸€å¤©ï¼Œä½ 的计算机(如果还å¯ä»¥ç§°ä¸ºè®¡ç®—机的è¯ï¼‰ä¸Šé¢ä¸éœ€è¦æœ‰ç¡¬ç›˜ï¼Œä¸éœ€è¦å¤ªå¤šçš„内å˜ï¼Œä½ 需è¦çš„åªæ˜¯ä¸€ä¸ªå›ºåŒ–在ROM里é¢çš„æµè§ˆå™¨â€”—Webç»ˆç«¯ï¼Œé€šè¿‡é«˜é€Ÿçš„ç”µç¼†æˆ–æ— çº¿ä¿¡å·è¿žæŽ¥åˆ°äº’è”ç½‘ã€‚ä½ çœŸæ£çš„æ•°æ®éƒ½å˜å‚¨åœ¨ç½‘络上é¢çš„æ•°æ®ä¸å¿ƒå½“ä¸â€”â€”åœ¨é‚£é‡Œæœ‰æ— æ³•è®¡æ•°çš„æµ·é‡å˜å‚¨è®¾å¤‡ï¼›ä½ 通过访问互è”ç½‘ä¸Šæ— å¤„ä¸åœ¨çš„Web应用程åºæ¥è®¿é—®å’Œå¤„ç†è¿™äº›æ•°æ®ã€‚我å¯ä»¥ç”¨åœ¨çº¿RSS阅读器读å–网络上å„ç§å„æ ·çš„blogæ–‡ç« ï¼›å¯ä»¥é€šè¿‡åœ¨çº¿çš„视频点æ’æˆ–è€…ç”µè§†ç³»ç»Ÿè§‚çœ‹ç”µè§†èŠ‚ç›®ï¼›ç”šè‡³ä½ å¯ä»¥å°†è‡ªå·±çš„照片ã€è§†é¢‘ã€æ–‡æ¡£ç»Ÿç»Ÿä¿å˜åœ¨äº’è”网上,以便å¯ä»¥åœ¨å„处查阅。
这时候的互è”网就是一个æ“ä½œç³»ç»Ÿï¼Œä½†æ˜¯ï¼Œä½ æ‰€æœ‰çš„éšç§ï¼Œéƒ½åŸºäºŽä¸€äº›Cookie——å˜å‚¨åœ¨æµè§ˆå™¨å½“ä¸çš„一些çŸå°çš„å—符串。Cookieï¼Œå°±æ˜¯ä½ çš„ä¸€åˆ‡éšç§ã€‚
这是个很大的问题。