Lawrence’s List 062416

提示： 本文提及的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习资源，并可能为现代工具和技术的更新或整合提供参考。

本周内容较为简短——我要去度假了！接下来两周我仍会尝试发布少量内容，但主要精力会放在看书和吊床上，若内容简短还请见谅。总体而言，本周信息安全领域相对平静。我补充了一些关于我个人喜爱但可能大众不太了解的项目简介，以及一些与安全间接相关、更偏向编程的内容。

“复杂”密码攻击事件
Citrix在声称客户账户遭遇密码重复使用攻击后，重置了所有GoToMyPC的密码。尽管在我看来这算不上“复杂”攻击，但有趣的是，一家靠提供计算机远程访问服务盈利的公司竟未强制要求双因素认证。若您使用GoToMyPC，可参考以下链接设置2FA：http://support.citrixonline.com/en_US/gotomypc/all_files/gtc070021
相关公告说明请见：http://status.gotomypc.com/incidents/s2k8h1xhzn4k

PyCon 2016亮点话题
我偶尔会遇到需要将简单文件从一台机器传输至另一台（通常是Digital Ocean的VPS）的情况，却因种种原因不想使用scp（比如懒得上传密钥，又担心开启密码认证的风险）。为此我编写了一个Python脚本spit，通过sprunge（类似pastebin的服务）加密传输数据。它使用AES加密，对我多数个人项目已足够安全。
项目地址：https://github.com/lawrencehoffman/spit

后来我发现了magic-wormhole项目，非常出色！虽然尚未完成个人安全审查（因此暂不用于正式业务），但就个人使用而言，其加密措施似乎足够可靠。
项目地址：https://github.com/warner/magic-wormhole

iOS 10内核未加密争议
iOS 10开发者预览版发布时，内核竟未加密。有人猜测这是失误，但事实绝非如此——苹果已确认此为故意行为。苹果在移除内核中的敏感用户数据后，为提升性能决定保持内核未加密状态。
相关报道：Apple confirms iOS kernel code left unencrypted intentionally

Linux内核的UDP传输协议进展
Facebook的Tom Herbert正推动在Linux内核中增加Transports over UDP (TOU) 功能。该技术（草案见https://tools.ietf.org/html/draft-herbert-transports-over-udp-00）允许开发者在用户空间实现基于UDP封装的网络协议栈。此举意义重大，因Linux内核团队历来不鼓励此类做法，主张应优先改进现有内核协议。
Facebook的动机在于：新协议纳入内核后，主流系统（如Android）需启用对应模块，这一过程可能耗时数年。而TOU能使开发者短短数月内推出基于自定义协议栈的功能。
详情：https://lwn.net/Articles/688529/

Ready to learn more?
通过Antisyphon的平价课程提升技能！
支持“随缘付费”模式的培训，提供在线直播/点播服务。