你的Arch是什麼時候安裝的？

很多人都有有這樣的疑問
到底我的Arch是什麼時候安裝的？
在Windows我們可以在終端機下敲入systeminfo
來查詢系統的原始安裝日期

但我們在Linux一般查詢原始安裝日期比較麻煩
好在Arch上有個檔案從系統建立後
就會紀錄系統的原始安裝日期

敲入
head -1 /var/log/pacman.log

然後會返回

[2009-06-18 09:04] installed filesystem (2009.01-1)

其中2009-06-18 09:04就是系統的原始安裝日期
這個時間差不多是我寫ArchLinux推廣文的時間
而2009.01-1，則是檔案系統的建立時間(應該) (繼續閱讀...)

Mozilla計畫發佈長期支援版本的火狐與雷鳥

目前Mozilla的發佈計畫中
Firefox從4.0開始便改為六星期發佈一個新版本
此舉大幅度加快了Firefox的開發速度
一轉眼的時間，9.27又要發佈7.0正式版了


但Mozilla同時也意識到一個問題
快節奏的更新，造成一些企業機構更新步伐跟不上的問題
主要源自沒有足夠的時間驗證版本的穩定性
穩定性及安全性還沒有驗證完，該版本就已失去支援

而Firefox是Open Source軟體，其特性之一就是
你想怎樣修改都沒有關係，只要你遵守相關的授權規範
某些企業例如Red Hat他們自己就有在
維護一個已經不受Mozilla支援的Firefox舊版本
以解決企業佈署上的穩定及安全性問題

但現在Mozilla開始正視這個問題
決定評估未來將Firefox與Thunderbird增加長期支援版本
這些長期支援版本稱作"ESR"

ESRs會提供42週的支援，之後還有12週的過度支援其
而首個ESR版本的Firefox將會是Firefox 8，第二個則是Firefox 13，第三個則是Firefox 18
Mozilla為每個ESR版都提供了至少一年的技術支援 (繼續閱讀...)

你的密碼安全嗎？來用GPU暴力破解密碼

這是一個相當有趣的小工具
能夠讓你用GPU暴力破解密碼
從新聞中的描述，Radeon HD 5770每秒可以進行33億次的運算
Radeon HD 5770能夠在一秒鐘之內破解一個五位數的密碼"fjR8n"


如果你有四張HD 5970，那破解的速度將會來到每秒331億次
而我們一般使用的CPU大約只有每秒980萬次的速度
還必須耗時24秒鐘的運算時間！

而六位數密碼"pYDbL6"，CPU需要90分鐘，GPU只要四秒
而七位數密碼"fh0GH5h"，CPU需要四天的時間，而GPU只需17分30秒
如果是八位或九位數以上，隨機大小寫混合的密碼
則GPU需要算48天，而CPU需要算43年

CPU與GPU的速度落差相當得大！
如果還不了解這之間的速度差距
我們可以先來回顧一下，探索頻道流言終結者替nVidia拍的宣傳造勢影片


其實這個工具的規則還有字典檔相當陽春
但由於都是純文字檔案，所以我們可以自行擴充
理論上有效的擴充，我們可以破解更多的密碼
由於這些技術的實作，未來難免會有一些同類型工具
會被一個一個的放出，所以我們的密碼就變得相當重要


其實看到這個東西之後，我有些驚訝
因為在以前，密碼位數達到或超過8位數後
只要不是太過於規則，或用詞彙做密碼
本身無含意的密碼，在以往幾乎是不可能短時間內被破解！
但是靠著GPGPU的發展，利用GPU高達數百數千個核心
同實做平行運算，讓我們用消費級顯示卡
就可以做到以前連超級電腦也辦不到的事情



而一般我們常上的網站，大多都有防治機制
例如一秒鐘內，只能回應一次
就算你的GPU實際每秒運算量可達上百億次也沒得發揮
好像你一秒鐘猜了一百個答案，同一時間我只會告訴你
這一百個答案裡面，第三個是錯的，其他99個是對還是錯都不說

如果網站沒有保護，那我們也可以在瀏覽器上使用LastPass之類的
密碼管理工具，並隨機產生常密碼，而之後就全部交由LastPass做管理


其他如分享的壓縮檔案，密碼可能就不受回應限制
而這類的私密檔案，我們也可以配合產生salt這樣的工具
來產生像SHA1或MD5這樣的砸湊值，讓系統多一個驗證的項目
如此的話，在理論上密碼的破解就會變得更加困難 (繼續閱讀...)

Flash爆發0天高危漏洞 請立即更新FlashPlayer

幾天前Google稱有數百位Gmail用戶帳號遭到入侵
雖然Google說這並不是因為Gmail的漏洞所導致
但一些人依然認為是Gmail漏洞問題
到了今天問題已經明朗了



問題的源頭正是Adobe Flash所導致！
受影響的版本有OS X, Linux, Windows, Solaris上的Flash 10.3.181.16及舊版
Android平台上的Flash 10.3.185.22及舊版


它攻擊的方式是由一封釣魚郵件開始
信件的內容利用誘拐的方式
欺騙使用者點擊了一個連結
而這個連接會開啟一個Flash檔
使用Flash的Redirect對Gmail進行偽造的跨站請求
並且在這個過程中轉介到攻擊者本身的信箱當中
該樣本目前已經被提取，由於使用DoSWF方式加密
目前還無法解密，但攻擊手法已經確定

建議Google或其他同質性服務的公司
應該修改認證程序，在轉介新的授權信箱時
要求使用者動手重新再輸入一次密碼
如此這類自動授權的問題將可被有效斷絕

目前Adobe已經釋出了更新版
還有Chrome內建Flash的更新版
強烈建議馬上進行更新
以免遭到攻擊 (繼續閱讀...)