Holmesian's

删除不值得信任的CNNIC证书

Holmesian , Feb 2 19:59 , 资源共享 » 网海宝藏 , 评论(0) , 引用(0) , 阅读(838) , 神刀

发生了什么事

最近，CNNIC(中国互联网络信息中心)，偷偷地获得了 CA 权限！在所有中文用户被隐瞒的情况下！

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而盗取我们的任何资料！

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们真相；现在，因为 CNNIC 有了 CA 权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

你信任 CNNIC (中国互联网络信息中心) 吗？你相信它有了权限，会安守本分，不会偷偷地干坏事吗？
我对此有3个疑问：

1. 某 party 对 GMail 兴趣浓厚，GFW 苦练 SSL 内功多年，无大进展。如今有了 CA，若 GFW 令下，CNNIC 敢不从否？
2. CNNIC 当年利用所谓官方头衔，制流氓软件祸害网民。如今有了 CA，如何相信它不会故伎重演？
3. 为了得到指定网站的合法证书，其它流氓公司抛出钱权交易，面对诱惑，CNNIC 是否有足够的职业操守？

影响范围

基本上所有浏览器的所有用户均受影响！

测试

如果你访问下面两个网站没有弹出提示则你已经中招了。

https://tns-fsverify.cnnic.cn/

https://www.enum.cn

解决CNNIC CA方法（IE）：
工具–>Internet选项–>内容–>证书

先打开受信任的根证书发布机构

选择CNNIC ROOT和Entrust.net Secure Server Certification Authority这两个选择导出

导出时，一切选择默认。

导出完毕后，开始–>运行–>certmgr.msc–>不受信任的证书–>证书–>(右键)所有任务–>导入，把刚才导出的证书导入。
然后对着导入证书点击右键–>属性–>禁用此证书所有项目

解决CNNIC CA方法（Firefox）:

* 菜单栏：工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
* 这是一个很长的列表，按照字母顺序，你应该能找到一个叫着 “CNNIC ROOT” 的记录，就是这个东西，告诉 Firefox，我们不信任它！
* 选中 CNNIC ROOT，点击下面的“编辑”按钮，弹出一个框，应该有3个选项，把所有选项的勾都去掉！保存。
* 还没有完，狡兔有三窟。
* 接着往下找，有一个叫着 Entrust.net 的组，这个组里应该有一个 “CNNIC SSL” (如果没有，访问一下这个网站就有了)
* 别急着下手，这回情况不一样，这个证书是 Entrust 签名的。我们信任 Entrust，Entrust 说它信任 CNNIC，所以我们就被迫信任 CNNIC SSL 了。找到 “Entrust.net Secure Server Certification Authority” 这一条，同上面一样，把3个选项的勾都去掉，保存（提示：取消了对 Entrust 的信任以后，可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名，随便试了一下，没找到例子）。
* 最后，让我们验证一下。重启 Firefox，打开这个和这个网站，如果Firefox 对这两个网站都给出了安全警告，而非正常浏览，恭喜，您已经摆脱了 CNNIC CA 的安全威胁！

Tags: cnnic , 证书 , 删除

FreeBSD+nginx+spawn-fcgi出错的解决

Holmesian , Feb 1 13:34 , 学习路上 » 日积月累 , 评论(0) , 引用(0) , 阅读(474) , 本站原创

终于解决FreeBSD下Nginx做前端 FastCGI的PHP出现问题的情况了，原因很囧

过程如下：

ecjtu# whereis php-cgi

php-cgi: /usr/local/bin/php-cgi

ecjtu# spawn-fcgi -a 127.0.0.1 -p 139 -C 64 -f /usr/local/php/bin/php-cgi

spawn-fcgi: child exited with: 127

ecjtu# spawn-fcgi -a 127.0.0.1 -p 139 -C 64 -u www -f /usr/local/bin/php-cgi

spawn-fcgi: child exited with: 13

ecjtu# spawn-fcgi -a 127.0.0.1 -p 139 -C 64 -U www -f /usr/local/bin/php-cgi

spawn-fcgi: child spawned successfully: PID: 39766

现在OK了

莫非127错误是php-cgi位置错误 13错误是大写U写成了小写u

Tags: freebsd , nginx , 解决 , fcgi

令Internet Explorer 6、7崩溃的代码

Holmesian , Jan 27 19:17 , 资源共享 » 网海宝藏 , 评论(2) , 引用(0) , 阅读(679) , 本站原创

测试环境 ie6/ie7, Win XP Pro SP3

代码：
1、
===========================================================
<script>document.createElement("li").value=3</script>
===========================================================

2、
===========================================================
<script>document.createElement("html").outerHTML</script>
===========================================================

感兴趣的TX可以把任意一段代码复制到记事本，另存为html再用IE打开……
或者直接访问holmesian.org/exp/iecrash.html

结论：IE太那个什么了……

Tags: explorer , internet , 代码

FreeBSD下Apache卡死问题的解决方法

Holmesian , Jan 23 14:53 , 学习路上 » 日积月累 , 评论(2) , 引用(0) , 阅读(685) , 本站原创

服务器操作系统：FreeBSD7

前端Nginx 后端Apache22（通过FreeBSD的Ports安装）

这段时间服务器老是提示Nginx 502 Bad Gateway错误，经检查前端Nginx正常，后端Apache卡死，拒绝一切连接。必须重启后端Apache才能

查询日志有如下内容

[Fri Jan 22 00:54:49 2010] [error] [client 218.93.17.38] File does not exist: /usr/local/www/apache22/data/qqblog

[Fri Jan 22 00:54:49 2010] [error] [client 220.181.94.221] File does not exist: /usr/local/www/apache22/data/html

[Fri Jan 22 12:24:11 2010] [warn] (22)Invalid argument: Failed to enable the 'httpready' Accept Filter

[Fri Jan 22 12:24:12 2010] [notice] Digest: generating secret for digest authentication ...

[Fri Jan 22 00:54:49 2010] [error] [client 218.93.17.38] File does not exist: /usr/local/www/apache22/data/qqblog

[Fri Jan 22 00:54:49 2010] [error][client 220.181.94.221] File does not exist: /usr/local/www/apache22/data/html

网上搜索说是在FreeBSD下使用ports安装apache22会出现类似的warming：

Failed to enable the 'httpready' Accept Filter

据说这是Apache21和FreeBSD之间Bug！

解决方法是：
#kldload accf_http

并在/boot/defaults/loader.conf中添加如下内容，以便下次启动自动装载模块
accf_data_load="YES"
accf_http_load="YES"

Apache会卡死是因为FreeBSD自带的一个基于http端口过滤的模块不能加载。这个模块的作用是检查HTTP请求是否完整，如果请求是符合规则的则通过，反之就扔掉。

Tags: freebsd , apache , 解决

Google或将退出中国

Holmesian , Jan 13 17:51 , 个人天空 , 评论(3) , 引用(0) , 阅读(850) , 本站原创

有依赖Google的TX备份一下自己的Gmail、Reader列表、Docs文件、calendar……以防不测吧呵呵

为Google喝彩……

-----------------------------------------------------------------------------
或许谷歌真要离开中国，是件好事情。

首先，谷歌不是中国人的谷歌。
谷歌不是为中国网民开办的，谷歌的目的是要整合全球信息并未全人类所用。在中国互联网领域，谷歌受到的内容审查可能不是最多，却是影响最大的一家。谷歌从搜索结果到其信息整合的理念，都不允许过多地干预搜索结果，更不应该为了政治目的，把信息都给屏蔽掉。谷歌为了中国市场宁愿自戕，本身就很怪异。经过几年的谷歌中国的独立运作，谷歌不光没有收获实地，可能连最好的全球的独立品牌都可能受影响。为中国网民单独做一个谷歌中国，不符合谷歌公司整体的发展思路。

谷歌可能会在将来遇到越来越多的陷害
雅虎已经因此付出了代价，谷歌不会轻松逃脱这种陷害所带来的威胁。谷歌不受中国法律的控制，但它足以受美国法律的控制。一旦再次出现需要听证的问题，谷歌被罚款数可能超过它费劲从中国市场获得的利润。何况在百度、腾讯等公司的压力之下，从搜索和移动互联网机会方面来看，谷歌都得不到任何优势。（技术储备除外）这么一个大大的陷阱，不如早点绕过。这样，有利于在全球大市场维护谷歌的声誉，有利于谷歌的理念和目标的达成。

中国网民也没多大伤害
中国网民需要获得只有通过谷歌才能获得的信息，他们自然有办法获得。不需要获得这些信息的网民，有百度和其他渠道获得。比如有的官员只需翻看《人民日报》就解决了信息需求的问题。还有的人只要去酒吧KTV和洗脚城就解决了每日娱乐的问题。有的人甚至只需要一个桥洞，就解决了吃喝拉撒睡的人生大问题。有无谷歌都无所谓。网民的伤害，也是一种名义上的伤害。没有谷歌的日子，该如何过，就如何过。

我个人永远支持google这种用高技术和超前理念服务人类的公司，不管它是贩卖互联网的公司，还是贩卖人口的公司，甚至是贩卖神教和信仰的公司。

2010/1/13

一些新浪微博网友提供的数据：
@月光博客：Google在中国2008年收入为2.1亿美元，百度为4.688亿美元，Google全球收入为218亿美元，谷歌中国收入不及Google全球收入百分之一，Google退出中国市场对其营收没有任何影响。

@和菜头：Google撤离中国之后，Alexa世界排名前三位的网站Google、facebook和youtube都在中国不可见。这不是Google放弃中国的问题，而是中国背弃世界的问题。

Tags: google , 网络 , 网民 , 中国