lew | Blognone

Member for : Thu, 11/08/2005 - 11:15

อย่าลอง! Subversion ถูกโจมตีด้วยไฟล์แฮช SHA-1 ตรงกันได้ เช็คอินแล้วพังทันที

By lew

on 26 February 2017 - 01:23 Tag: Subversion, WebKit, Hash

Subversion

โครงการช่วงหลังเริ่มหันมาใช้ Git กันมากขึ้นแต่โครงการจำนวนมากก็ยังคงใช้ Subversion กันเป็นปกติ ปรากฎว่าการโจมตี SHAttered ที่สร้างไฟล์ที่ค่าแฮชตรงกันสร้างความเสียหายได้มากกว่าที่คิด เมื่อมันสามารถทำฐานข้อมูล Subversion พังได้ทันทีเพียงแค่เช็คอินสองไฟล์ที่ค่าแฮชตรงกันเข้าไป

ร่างมาตรฐาน 5G ดาวน์โหลด 20Gbps อัพโหลด 10Gbps รองรับ 1 ล้านอุปกรณ์ต่อตารางกิโลเมตร

By lew

on 24 February 2017 - 22:45 Tag: 5G, ITU

มาตรฐาน 2G, 3G, และ 4G ที่เราเรียกกันทุกวันนี้ ที่จริงแล้วเป็นสเปคของเทคโนโลยีที่กำหนดโดย International Telcommunication Union (ITU) จากนั้นกลุ่มอุตสาหกรรมต่างๆ ก็จะออกมาตรฐานรุ่นต่อไปของตัวเองมาล้อกับสเปคเหล่านี้อีกครั้ง หลายครั้งเทคโนโลยีก็ตกตรงกลางระหว่างรุ่น ทำให้เราเห็นคนพยายามเรียก 3.5G 4.5G 4.9G กันบ้าง ตอนนี้มาตรฐาน 5G หรือ IMT-2020 ก็เปิดร่างสเปคออกมาแล้ว

เคล็ดลับนักขุดจีน บริษัทขุดบิตคอยน์แห่เข้ามณฑลเสฉวน สร้างโรงขุดในโรงงานไฟฟ้า

By lew

on 24 February 2017 - 21:51 Tag: Bitcoin, China

Bitcoin

วงการบิตคอยด์ถูกกุมอำนาจโดยนักขุดบิตคอยน์ในจีนมากขึ้นเรื่อยๆ ในช่วงหลัง หนังสือพิมพ์ People's Daily รายงานถึงสูตรสำเร็จของบริษัทเหล่านี้ว่าอาศัยการย้ายบริษัทเข้าไปในโซนที่ค่าไฟถูก คือ มณทลเสฉวนที่เป็นแหล่งไฟฟ้าพลังงานน้ำของจีน

เฉพาะเขตปกครองตัวเอง Garze Tibetan ทางตะวันตกของเสฉวนก็มีบริษัทขุดบิตคอยน์ 20 บริษัทในเขตเดียว ส่วนในเมือง Mabian Yi ทางตะวันตกเฉียงใต้ของมณฑลเป็นที่ตั้งบริษัท Tianjia บริษัทเดียวมีเครื่องขุดบิตคอยน์ 1,500 เครื่อง มีกำลังผลิตวันละ 10 BTC มีช่างดูแลเครื่องตลอด 24 ชั่วโมง

ไลนัสตอบการใช้ SHA-1 ใน Git มีความเสี่ยงเพียงบางส่วน, GPG ระบุการเจอแฮชชนยังไม่เสี่ยงต่ออีเมลเข้ารหัส

By lew

on 24 February 2017 - 18:58 Tag: Hash, Cryptography

Hash

รายงาน SHAttered ที่สามารถสร้างไฟล์สองไฟล์ที่ค่าแฮชตรงกันได้สำเร็จทำให้โครงการต่างๆ ที่อาศัย SHA-1 เป็นแกนกลางต้องพิจารณาความปลอดภัยกันใหม่ โครงการหลักๆ สองโครงการคือ Git และ GPG ก็ออกมาชี้แจงแล้ว

เอนจิน Google Account มีปัญหา ผู้ใช้ทั่วไปบัญชีเด้งออก ผู้ใช้ Google Wifi ต้องรีเซ็ตเครื่อง

By lew

on 24 February 2017 - 12:08 Tag: Google

Google

วันนี้เอนจิน Google Account มีปัญหา ส่งผลให้ผู้ใช้จำนวนหนึ่งล็อกเอาท์จากทุกบริการโดยไม่ได้สั่ง แต่ที่ร้ายแรงที่สุดคือผู้ใช้ Google Wifi และ OnHub ต้องรีเซ็ตเราท์เตอร์ใหม่

กูเกิลได้รับรายงานตั้งแต่ช่วงบ่ายที่ผ่านมาในสหรัฐฯ (ประมาณหลังเที่ยงคืนบ้านเรา) หลังจากยืนยันว่าปัญหาไม่ได้มาจากการอัพเดตแพตช์ใดๆ ในเราท์เตอร์ หลังจากหาทางอยู่ 5-6 ชั่วโมงก็ออกมายืนยันกับผู้ใช้ว่าต้องรีเซ็ตเราท์เตอร์เพื่อเซ็ตอัพใหม่จึงใช้งานได้

จบสิ้นยุค SHA-1 กูเกิลออกรายงาน SHAttered สร้างไฟล์ค่าแฮชตรงกันได้สำเร็จแล้ว

By lew

on 23 February 2017 - 23:21 Tag: Hash, Cryptography, Google

Hash

ค่าแฮช SHA-1 มีรายงานว่ามีช่องโหว่จนอ่อนแอกว่าที่ออกแบบไว้อย่างมาก มานานหลายปี โดยกูเกิลประกาศให้ใบรับรองที่รับรองโดย SHA-1 ไม่ปลอดภัยมาตั้งแต่ปี 2014 แต่จนกระทั่งวันนี้ก็ยังไม่มีใครปลอมไฟล์ที่มีค่าแฮช SHA-1 ตรงกันได้จริงๆ ล่าสุดทีมวิจัยร่วมระหว่างมหาวิทยาลัยอัมสเตอร์ดัม และ Google Research ก็สามารถสร้างไฟล์ PDF สองไฟล์ที่ค่าแฮชตรงกันได้สำเร็จ โดยใช้ชื่อกระบวนการปลอมไฟล์นี้ว่า SHAttered

สิงคโปร์รายงานเงินเดือนเด็กจบใหม่ ด้านไอทีพุ่งเฉลี่ยเดือนละแสนแล้ว

By lew

on 23 February 2017 - 12:59 Tag: Singapore

Singapore

มหาวิทยาลัยสามแห่งของสิงคโปร์ ได้แก่ National University of Singapore (NUS), Nanyang Technological University (NTU), และ Singapore Management University (SMU) ออกรายงานสำรวจการทำงานของเด็กจบใหม่จำนวน 10,904 คนตั้งแต่ปลายปีที่แล้ว พบว่าเงินเดือนเฉลี่ยของสาขา Information Systems และ Computer Science ของ NUS เงินเดือนเพิ่มขึ้นสูงจนมาเฉลี่ย 4,000 ดอลลาร์สิงคโปร์ หรือประมาณหนึ่งแสนบาทต่อเดือน

สาขา Information Systems เงินเดือนเฉลี่ยเพิ่มจากปีที่แล้วถึง 12.7% ขณะที่สาขา Computer Science เพิ่มจากปีที่แล้ว 8.1% ทำให้เงินเดือนทั้งสองสาขาในปีนี้เท่าๆ กัน

เสวนา Blognone: ติดเกมแต่ก็ยังได้ดี

By lew

on 23 February 2017 - 02:06 Tag: Blognone

Blognone

สภาพแวดล้อมสังคมที่คอมพิวเตอร์กลายเป็นสิ่งที่เขาถึงได้ง่ายขึ้นเรื่อยๆ โทรศัพท์ราคาไม่กี่พันบาทสามารถรันแอปพลิเคชั่นได้ไม่ต่างจากโทรศัพท์ราคาหลายหมื่น นับว่าเราอยู่ในยุคที่คอมพิวเตอร์เป็นสิ่งที่เข้าถึงได้ง่ายอย่างไม่เคยมีมาก่อน

ขณะที่การเข้าถึงได้ง่ายเช่นนี้เปิดโอกาสถึงเกมก็เปิดกว้างสำหรับคนทุกเพศทุกวัยไปพร้อมๆ กัน ในหลายปีที่ผ่านมา เกมกลายเป็นเป้าสำคัญว่าจะเป็นตัวทำลายเยาวชนในรุ่นต่อไปหรือไม่ และหลายครั้งเกมก็ถูกมองเหมือนอบายมุขร้ายแรง

รั้งท้าย eBay กลายเป็นเว็บอีคอมเมิร์ชขนาดใหญ่ที่ยังไม่เข้ารหัสเป็นส่วนใหญ่

By lew

on 22 February 2017 - 23:50 Tag: eBay, E-commerce, HTTPS

eBay

15 เดือนหลัง Let's Encrypt เปิดให้บริการออกใบรับรองดิจิตอลฟรี ตอนนี้ปริมาณการเข้าเว็บผ่าน HTTPS ก็พุ่งสูงขึ้นอย่างรวดเร็ว แม้แต่เว็บข่าวก็กลายเป็นเว็บเข้ารหัสจำนวนมาก เว็บอีคอมเมิร์ชระดับโลก เช่น Aliexpress และ Amazon เข้ารหัสเกือบตลอดการใช้งานแล้ว โดยเพิ่งอัพเกรดกันในปีที่ผ่านมา แต่เว็บขนาดใหญ่อย่าง eBay กลับรั้งท้ายให้บริการเป็น HTTP อยู่

กูเกิลเปิดตัวระบบแชร์ไฟล์ Upspin แชร์ไฟล์แบบเข้ารหัสปลายทางถึงปลายทาง

By lew

on 22 February 2017 - 12:33 Tag: Google, Security, Open Source

Google

กูเกิลเปิดตัวโครงการทดลองสำหรับการแชร์ไฟล์แบบเข้ารหัสจากปลายทางถึงปลายทาง ในชื่อโครงการว่า Upspin โดยกระบวนการเข้ารหัสแทบทั้งหมดจะทำที่เครื่องไคลเอนต์ ทำให้ไม่ต้องระแวงว่าเซิร์ฟเวอร์จะเข้ารหัสจริงหรือไม่

ผู้แชร์ไฟล์สามารถกำหนดผู้ที่มีสิทธิ์อ่านไฟล์ได้ด้วยการเขียนไฟล์กำหนดสิทธิ์ เช่น สิทธิ์ในการอ่าน, เขียน, สร้างไฟล์, และลบไฟล์

กระบวนการยืนยันตัวตนในระบบของ Upspin ใช้การเปิดเผยกุญแจของผู้ใช้ที่เข้ามาร่วมระบบ และคาดว่าในอนาคตจะไปร่วมกับโครงการ Key Transparency ของกูเกิลเองต่อไป

Google Cloud เปิด GPU ให้ใช้งานแล้ว ต่อได้กับเครื่องทุกแบบ

By lew

on 22 February 2017 - 02:26 Tag: Google Cloud, GPGPU

Google Cloud

Google Cloud เปิดตัวบริการ GPU ให้ลูกค้าสามารถเลือกติดตั้งการ์ด Tesla K80 เข้ากับเครื่องใดก็ได้ที่ต้องการ โดยเซิร์ฟเวอร์แต่ละเครื่องสามารถติดการ์ดได้ 8 ใบ

การ์ดแต่ละใบเป็น NVIDIA K80 มาพร้อมกับ CUDA core ทั้งหมด 2,496 คอร์ และแรม 12GB ราคาชั่วโมงละ 0.7 ดอลลาร์ในสหรัฐฯ และ 0.77 ดอลลาร์ในยุโรปและเอเชีย

บริการเช่นนี้ตรงกับบริการ Elastic GPU ของ AWS ที่เปิดตัวตั้งแต่ปลายปีที่แล้ว แต่จนตอนนี้ยังอยู่ในสถานะเบต้าวงปิด ส่วนกูเกิลเปิดเป็นเบต้าแบบเปิดให้ทุกคนใช้งานแล้ว

NetBSD ประกาศความสำเร็จ ระบบคอมไพล์สามารถทำซ้ำได้ทั้งหมดแล้ว

By lew

on 22 February 2017 - 01:11 Tag: NetBSD, Compiler, Security

NetBSD

เป้าหมายสำคัญอย่างหนึ่งในการรักษาความปลอดภัยซอฟต์แวร์โอเพนซอร์ส คือการทำให้การคอมไพล์สามารถทำซ้ำได้ (reproducible builds) เพื่อให้คนภายนอกแน่ใจได้ว่าซอร์สโค้ดที่เปิดเผยออกมาตรงกับซอฟต์แวร์ที่กำลังใช้งานอยู่ แต่กระบวนการทำจริงนั้นมีเงื่อนไขหลายอย่างที่ทำให้โค้ดไม่สามารถคอมไพล์ออกมาให้ตรงกันทุกครั้ง แต่วันนี้ทาง NetBSD ก็ออกมาระบุว่าตอนนี้การคอมไพล์บนสถาปัตยกรรม amd64 และ sparc64 สามารถทำซ้ำได้แล้ว

ทาง NetBSD แจงรายการปัญหาที่พบจากการพยายามทำให้การคอมไพล์ทำซ้ำได้ ได้แก่

GlobalSign รองรับโปรโตคอล ACME บนเกตเวย์จัดการใบรับรองสำหรับองค์กร

By lew

on 22 February 2017 - 00:04 Tag: GlobalSign, Digital Certificate, Security

GlobalSign

Let's Encrypt นอกจากจะเป็นหน่วยงานออกใบรับรองดิจิตอลฟรีแล้ว ยังออกแบบโปรโตคอล ACME สำหรับการยืนยันตัวตนของเจ้าของโดเมนเพื่อออกใบรับรองอัตโนมัติไปพร้อมกัน แม้ว่าจะเกิดมาคู่กันแต่โปรโตคอล ACME ก็สามารถนำไปใช้งานกับหน่วยงานออกใบรับรองอื่นๆ ที่อาจจะเก็บเงินก็ได้ ตอนนี้ GlobalSign ก็ประกาศรองรับ ACME บน Auto Enrollment Gateway (AEG) เกตเวย์สำหรับออกใบรับรองในองค์กร

ซัมซุงเตรียมนำ Galaxy Note 7 กลับมาขายใหม่

By lew

on 21 February 2017 - 20:23 Tag: Galaxy Note 7, Samsung

Galaxy Note 7

หลังซัมซุงแถลงผลการสอบสวนสาเหตุที่ Galaxy Note 7 ไฟไหม้ คำถามต่อไปคือโทรศัพท์ที่รับคืนไปถึงนับล้านเครื่องจะทำอย่างไร ตอนนี้ก็มีรายงานออกมาว่าทางซัมซุงจะนำโทรศัพท์กลับมาขายใหม่ หลังจากเปลี่ยนแบตเตอรี่ให้มีความจุลดลงแล้ว

คาดว่าโทรศัพท์จะนำกลับมาขายภายในเดือนมิถุนายนนี้ โดยกรอบภายนอกจะเป็นกรอบผลิตใหม่ และแบตเตอรี่จะลดลงเหลือ 3000-3200 mAh จากเดิม 3,500 mAh และจะขายในตลาดเกิดใหม่ เช่น อินเดียและเวียดนาม

เมืองไทเปเปิดศูนย์รับจ่ายของตัวเอง เชื่อมแอปและธนาคารจ่ายตรงบริการของรัฐ

By lew

on 21 February 2017 - 19:09 Tag: Taiwan, Payment

Taiwan

รัฐบาลเมืองไทเป (Taipei City Government) เปิดตัวบริการ pay.taipei เชื่อมระบบการจ่ายเงินค่าบริการต่างๆ ของรัฐบาล ตั้งแต่ค่าจอดรถ, ค่าน้ำประปา, ค่ารักษาพยาบาล, และค่าใช้จ่ายอื่นๆ ให้สามารถจ่ายผ่านกระเป๋าเงินอิเล็กทรอนิกส์

ฝั่งผู้ให้บริการรับจ่ายที่เชื่อมเข้ากับ pay.taipei ชุดแรกมี 8 ราย ได้แก่ GAMA PAY, JKOS.COM, iapppay, Pi Wallet, allPay, ezPay, ธนาคาร Taishin, และธนาคาร E.SUN

Sigfox เปิดบริการ Spot'it หาตำแหน่งอุปกรณ์ IoT โดยไม่ต้องใช้ GPS ทำงานในอาคารได้

By lew

on 21 February 2017 - 13:30 Tag: Sigfox, Internet of Things

Sigfox

Sigfox เปิดตัวบริการ Spot'it ช่วยระบุตำแหน่งสำหรับอุปกรณ์ IoT กินพลังงานต่ำโดยไม่ต้องใช้ GPS ออกแบบมาเพื่อการติดตามการขนส่งสินค้า

ตอนนี้ Sigfox มีเครื่องข่ายอยู่ใน 31 ประเทศทั่วโลก ตัว Spot'it จะจับตำแหน่งอุปกรณ์โดยใช้ความแรงสัญญาณ ทำให้ไม่เสียพลังงานเพิ่มเติม รวมถึงไม่เสียต้นทุนฮาร์ดแวร์และการอัพเกรดซอฟต์แวร์

บริษัทไม่ได้บอกความละเอียดของตำแหน่งที่จับได้ แต่จุดเด่นสำคัญคืออุปกรณ์ Sigfox สามารถทำงานได้ต่อเนื่องสูงสุดถึง 20 ปี ดังนั้นการใช้ Spot'it จะเหมาะกับการติดตามวัตถุในระยะยาว นอกจากนี้ Spot'it ยังทำงานในอาคารได้ด้วย

วิบากกรรมบริษัทไอทีจีน ผู้ใช้นอกจีนไม่ไว้ใจ ต้องตั้งเซิร์ฟเวอร์นอกประเทศ

By lew

on 20 February 2017 - 22:54 Tag: China, Privacy

China

หนังสือพิมพ์ South China Morning Post เผยแพร่ความ ระบุว่าความกังวลเรื่องความเป็นส่วนตัวกำลังกลายเป็นสาเหตุสำคัญทำให้บริษัทไอทีจีนบุกตลาดต่างชาติได้ลำบาก โดยยกประเด็นของบริษัทขนาดใหญ่ที่ประสบความสำเร็จอย่างสูงเช่น Meitu และ Xiaomi กลับต้องพบความยากลำบากเมื่อพยายามบุกต่างประเทศ

Cai Wensheng ซีอีโอของ Meitu ระบุว่าผู้ใช้นอกจีนมีอคติต่อจีนแผ่นดินใหญ่ ที่บริษัทจีนจะมีเซิร์ฟเวอร์ในจีนก็ไม่ใช่เรื่องแปลก อย่างไรก็ดี เพื่อลดความไม่ไว้ใจลง ทาง Meitu ก็พิจารณาจะตั้งเซิร์ฟเวอร์ในฮ่องกงและสหรัฐฯ

Gamalon เริ่มให้บริการปัญญาประดิษฐ์แบบใช้ข้อมูลตัวอย่างน้อยในเชิงการค้า

By lew

on 19 February 2017 - 18:45 Tag: Artificial Intelligence

Artificial Intelligence

เทคโนโลยีปัญญาประดิษฐ์อย่าง deep learning มีข้อดีสำคัญคือการเรียนรู้ได้อย่างลึกซึ้งกว่าเทคโนโลยี machine learning แบบอื่นๆ แต่ข้อเสียคือมันต้องการข้อมูลเพื่อเรียนรู้จำนวนมหาศาล ตอนนี้ Gamalon ผู้พัฒนาเทคโนโลยี Bayesian Program Synthesis (BPS) ที่ค่อยๆ สอนคอมพิวเตอร์ด้วยรูปแบบที่คล้ายกับการสอนคนด้วยกัน ก็เริ่มเปิดให้บริการเชิงการค้าแล้ว

Zerocoin มีช่องโหว่ แฮกเกอร์เสกเงินในระบบได้ ได้เงินไป 15 ล้านบาท

By lew

on 19 February 2017 - 18:11 Tag: Zerocoin, Hacking

Zerocoin

Zerocoin ระบบเงินดิจิตอลคล้ายบิตคอยน์แต่ไม่สามารถตรวจสอบเส้นทางการเงินได้ มีช่องโหว่ในการอิมพลีเมนต์ ทำให้แฮกเกอร์สามารถสร้างเงินจากอากาศได้สำเร็จคิดเป็นเงินรวมถึง 370,000 Zcoin และแฮกเกอร์สามารถแลกเงินออกไปได้ 410 BTC หรือประมาณ 15 ล้านบาท

ช่องโหว่นี้เกิดจากการพิมพ์ผิดในโค้ดที่เปิดทางให้แฮกเกอร์ใช้ข้อมูลรับรองเจ้าของเงินเดิมซ้ำไปมาเรื่อยๆ จนะกระทั่งได้เงินออกไปจำนวนมาก ทาง Zcoin พบช่องโหว่นี้หลังจากพบว่าปริมาณเงินรวมในระบบเพิ่มขึ้นผิดปกติ

กูเกิลเสนอจำกัดอายุใบรับรองดิจิตอลเหลือ 398 วัน แม้โหวตไม่ผ่านก็จะบังคับใน Chrome

By lew

on 18 February 2017 - 02:03 Tag: Google, Security, Chrome, Browser, Digital Certificate

Google

กูเกิลส่งข้อเสนอเข้าไปยัง CA/Browser Forum ในการโหวตครั้งที่ 185 เสนอให้แก้ข้อกำหนดในเอกสาร Baseline Requirement (BR) เพิ่มเติม โดยกำหนดให้ใบรับรองทั้งหมดที่ออกหลังวันที่ 24 สิงหาคมนี้ ต้องมีอายุใช้งานไม่เกิน 398 วัน จากเดิมกำหนดอายุให้ 39 เดือน แต่หลังจากการโหวตมีทีท่าว่าจะไม่ผ่าน กูเกิลก็แสดงท่าทีว่าอาจจะบีบหน่วยงานออกใบรับรองด้วยการบังคับกฏนี้ใน Chrome เสียเอง