Mac升级openssl

http://blog.csdn.net/pz0605/article/details/51954868

一直想要升级Mac上的openssl,但是前面没弄成功,所以耽搁到现在。今天由于安装一个软件需要安装openssl到1.0.1版本以上,所以查了下资料,终于升级成功了,也算是还了前面自建证书配置HTTPS服务器这篇博客的债。

 

A. 自己手动编译openssl:

 

If anybody is looking for a solution to build dynamic libraries, this is how to do it:

For 64 bit

 

B. 使用brew编译

首先,来看看我们的openssl的版本和目录


如果没有brew,需要先安装,安装命令如下:
curl -LsSf http://github.com/mxcl/homebrew/tarball/master | sudo tar xvz -C/usr/local –strip 1

通过上面的查看,明显我们的版本号太低了,于是google了下,找到了http://apple.stackexchange.com/questions/126830/how-to-upgrade-openssl-in-os-x

按照上面的步骤,我们首先更新homebrew


 

很不幸,我们在更新的时候遇到了一个错误,好在homebrew有错误提醒,我们按照提醒执行下面命令,继续安装。


 

看到这个信息,就是成功的在更新了,这个过程可能比较久点。更新完之后,我们开始通过homebrew安装openssl。


 

不过,我们还有最后一步,那就是当我们使用openssl时,使用的是我们用homebrew新下载的openssl。为了达到这个目的,我们有两种方法。

第一种:

将homebrew下载的openssl软链接到/usr/bin/openssl目录下。这里,我们先将它保存一份老的,然后再软链接新下载的。


 

Operation not permitted提示没有权限操作,对/usr/bin目录下的东西,我已经遇到过几次这个问题了,于是继续google,在stackoverflow上找到了Operation Not Permitted when on root El capitan (rootless disabled)

如何进入Vmware中,Mac OS Recovery模式?参考文章http://blog.sina.com.cn/s/blog_537cc5670102wxw6.html

重启系统,当启动的时候我们同时按下cmd+r进入Recovery模式,之后选择实用工具 => 终端,在终端输入如下命令,接口文件系统的锁定,并且重启电脑(cmd+r后,会进入另外一个选择系统启动的界面,在这个界面里面不要马上重新启动,先找到终端,在終端中输入csrutil disable):


 

最后,我们执行前面两个命令,查看版本。


 

这样,我们的openssl升级成功了。不过,为了安全起见,我还是重新启动电脑,然后重新开启了csrutil

第二种:

在操作完前面一种方法之后,我发现了一个更简单的方式,那就是直接将openssl软链接到/usr/local/bin/openssl


 

执行” ln -s …” 的时候,注意目录,前面的目录为安装目录,不同的版本目录可能不一样

总结

主要记录了安装openssl过程中遇到的一些问题,同时也知道当如果对/usr/bin类似文件目录无操作权限的时候怎么解锁文件系统。当然,最好是将命令通过ln链接到/usr/local/bin,这个目录下的权限苹果还是开放给我的。

马来西亚吉隆坡KLIA/LCCT机场 过境签 + 电子签 攻略

原址:http://www.mafengwo.cn/i/5365830.html

前言

路线:重庆吉隆坡斯里兰卡马来西亚KK—回国,所以加上转机,相当于二进二出吉隆坡的KLIA机场。

9.8 重庆吉隆坡KLIA      9.9 基隆坡KLIA—科伦坡colombo。本来9月8日到达吉隆坡后直接飞科伦坡,但是就在出发前几天收到亚航的邮件说8号的航班取消了,顺延到9号。我想,那好吧,那这一天时间我就去吉隆坡市区转转再说,然后收好我的护照行李,非常高兴在Agoda上定好Backhome酒店,定好一天可以溜达的地方,要去吃的海南鸡饭,要去免税店买的商品blabla。一切朝着美好的事态发展,但一切都在我吉隆坡落地打算出边检的时候,问题来了!!!因为过境签和签证的原因最后导致我在吉隆坡KLIA机场呆了27个小时。。。

机票时间的原因,我第一次落地KL的时候打算申请一个过境签去市区溜达一圈第二天再去斯里兰卡,而且我在国内办好了纸质签打算从斯里兰卡回来去KK的时候用。但是当我去immigration申请过境签的时候,边检工作人员告诉我,我办理了纸质签不能再办理过境签,要想出去就要把纸质签用掉。但是我从斯里兰卡回来去KK呆十天,没有纸质签用过境签最多撑死5天,当然不能少了纸质签。所以,办不了过境签,纸质签又要留着下次用,只好待在机场直到第二天飞去斯里兰卡咯。

下面言归正传,说下马来西亚这个坑爹的过境签和现在暂行的免费电子签~~

马来西亚过境签证(TRANSIT PASS)

一、马来西亚过境签证(TRANSIT PASS)
1、中国公民需要满足以下条件才可以申请过境签,办理过境签的免费的:
1)续航机票(指你转机离开马来西亚的机票)不能超过120小时。
2)只可以乘坐飞机在吉隆坡两个机场(KLIA 和KLIA 2 )申请,通过泰国新加坡陆路入境则不可以。
3)必须拥有已确认的前往第三/下一个国家的续航机票。PS:续航机票的目的地不能是飞抵吉隆坡前的国家,例如行程为:泰国吉隆坡泰国,这种情况下不能申请马来西亚过境签。
4)护照有效期必须至少为6个月。
5)必须出示打印机票,如果不能提供机票有可能会被拒绝入境。
6)持有目的地的有效单次入境签证/多次入境签证。PS:这个不一定,有几种情况~1、去新加坡等不可办理电子签or落地签的国家。主要出示你的护照和签证,边检200%放行。2、去泰国or斯里兰卡or印度尼西亚这种可办落地签、电子签和免签的国家。泰国落地签:递上护照和去泰国的机票即可。斯里兰卡电子签:打印电子签清单,递上护照,机票,电子签清单即可。印度尼西亚免签:直接递上护照机票即可。
7)证明本人持有足够资金以逗留于马来西亚。PS:写是这么写,但是基本不会检查的。
上述措施仅限于由下列地点过境马国的旅客使用:吉隆坡国际机场(KLIA)、廉价航空机场(LCCT)、槟城Bayan Lepas机场、新山士乃(Senai)机场、亚庇(Kota Kinabalu)机场、古晋(Kuching)机场、国际邮轮停靠的港口。从泰国新加坡陆路过境马国游客不适用上述措施;此外,从中国搭乘飞机或国际邮轮入马,再循陆路过境抵第三国(如泰、新),或由第三国(如泰、新)经陆路抵马再转机返台者,也不适用上述免费过境签证措施,均须事先申请马来西亚入境签证始可由陆路过境马国。
8)过境签无论是你从马来西亚到其他国家,或者从其他国家经马来西亚回国都可以用过境签。
底下是在移民局网站找到的官方资料,我翻译了下,再附个网址,大家自行点击:http://www.malaysia.org.au/travel8.html
TRANSIT PASS
1.What is Transit Pass? 什么是过境签?
It is a pass issued to travellers who are transiting only in Malaysia for less than 120 hours before continuing to their final destination BY AIR only. It is valid for certain countries and can only remain in KUALA LUMPUR ONLY during transit. 过境签是提供给游客们在120小时之内通过航空方式途径马来西亚前往第三国的一种签证,这只对某些国家有效,获取过境签期间只能在吉隆坡逗留。(虽然说只可以在吉隆坡逗留,但是在市区里面是没有边检的,原则上可以去除了吉隆坡之外的西马这块区域,比如新山之类,但是如果你要通过飞机再飞去比如亚庇这类东马的区域的,这是会被拒绝入境的,一定要办理签证了)
Important Notes : 重要需注意事项:
1). The decision to issue a Transit Pass is subject to Immigration Officer discretion at point of entry. Applying visa prior to travelling is most advisable. 签发过境签的决定是在边检入境处办理的。我们还是比较建议大家优先选择办理签证。
2). Bridging Visa E holder is not entitle to obtain Transit Pass. 持有有效的马来西亚纸质签证的是不允许获得马来西亚过境签的!!!!!(这一点非常重要,我就是没看到这一点,导致我在机场呆了27小时,进不去出不来。之前在蚂蜂窝上看到有驴友说有了纸质签居然还办了过境签?真的假的?!)
3).No Fee Required For This Pass 这个申请免费。
2.Available Point of Entry 两个可以办理的入境机场
Kuala Lumpur International Airport (KLIA) KLIA机场(亚航在这个机场)
Low Cost Carrier Terminal (LCCT) LCCT机场(非廉价航空在这个机场)
3.REQUIRED DOCUMENTS 需要的文件
i.Passport valid for more than 6 months on arrival day 护照有效期必须在6个月以上
ii.Confirmed onward international ticket. 确定的国际机票
我看到还有很多一部分人在争论到底是否两个航班相隔八小时以上才能办理过境签?看了很多网友的回答,下面这个是在IAT(国际航空运输协会International Air Transport Association,简称IATA)上查到的资料,里面没有明确的规定!!!!!!附个链接:http://www.iata.org/whatwedo/passenger/Pages/passenger-facilitation.aspx
NOTE 48281: Not applicable to holders of emergency or temporary passports who can make use of the TWOV facility。细则48281,对持有紧急或者临时护照的人不能使用过境签。
Visa required, except for holders of Macao (SAR China) Travel Permit, or TWOV (Transit Without Visa):护照需要,除了持有澳门旅游许可或者过境签的。
Visa required, except for Nationals of China (People’s Rep.) holding onward tickets for a max. transit time of 120 hours, arriving at and departing from Kuala Lumpur(KUL). (SEE NOTE 51541)护照需要,除了那些中国大陆公民持有在吉隆坡逗留超过120小时离境机票的,集体看细则51541。
NOTE 51541: Only permitted to leave the transit area when in transit between Main Terminal and Low Cost Carrier Terminal. When leaving the airport transit area, passports must be valid for at least 6 months from date of arrival。细则51541:在中转是只允许离开中转区域为主要航站楼到 Low Cost Carrier Terminal航站楼,在到达日期时护照有效期必须在6个月以上。

以上基本就是过境签的内容了,应该够详细了,有错误的地方大家给我指出啊!谢谢~

马来西亚电子签(E-Visa)

我去的时候还是纸质签,在国内的时候我办好了马来西亚的单次纸质签证,淘宝包邮138RMB,但是现在2016年又推出了新的政策,3月31号之前申请电子签证免费!底下是找的一些资料,希望大家可以用上。
办理电子签基本就可以归纳为:网络上申请—准备好材料邮寄给提供的邮寄地址—电子签办好与护照一起寄回~
马来西亚电子签简介
有效期:90 天
停留期:30 天
入境次数:单次
办理周期:普通3个工作日(不包含快递邮寄时间)
个人资料要求:
1. 申请人所持护照,应确保入境马来西亚时有效期至少六个月;
2. 护照至少有4页供使用的签证空白页。
照片要求:
● 签证人本人三个月内,正面、同底板、白底彩色照片.
● 两张两寸(50mmx35mm)免冠照片,头部居中尺寸为宽度21mm-24mm、高度28mm-33mm
● 请在照片背面用圆珠笔写上自己的姓名.
● 照片需露出双耳、眉毛及其它五官,若佩戴眼镜,镜片需无色、不反光。
● 照片清晰,无边框,不可使用翻拍照片;
特殊说明:
未满18 周岁的申请人签证资料除了护照原件+照片外,还需提供以下资料:
●监护人(父亲、母亲)持户口簿复印件或出生证复印件,
●不与监护人(父亲、母亲)同行,需提供监护人(父亲、母亲)签名委托声名书
提交材料
网上申请签证快递邮寄
●准备好(申请人护照原件+2张照片+1张确认单)
●个人信息表: 回寄收件人姓名、电话、地址
本人递交
●准备好(申请人护照原件+ 2张照片+ 1张确认单)
●办理时间:9:00-12:30 取证时间:14:00-17:00
申请地址在这儿:https://www.windowmalaysia.my/evisa/vlno_index.jsp    这个网站真的很想吐槽,巨慢还难用,大家耐心~~
邮寄地址:
北京
北京朝阳区麦子店西街37 号 北京盛福大夏110 室, 100125
电话: +86 10-65913492 / 65913473
广州
广州市天河北路233 号中信广场
1909, 2016-17 室, 510613
电话: +86 20-38772766 / 38773262
上海
上海长宁区黄金城道682 号2 楼(御翠豪庭), 201103
电话: +86 21-62121700 / 62121702
昆明
昆明市西山区滇池路569 号
南亚风情第壹城, C4-1-1202
650228
香港
香港 湾仔区 告士打道50 号
马来西亚大厦19 楼1902 室
电话: +852 252 79991
我自己暂时还没办过,办过的小伙伴可以来交流经验啊~~

推荐大家几个还不错公众号:E旅行网、Easygoing和吾爱全球中心,里面基本都是分享便宜机票,签证事项的消息,非常有用~
旅行会上瘾~~
weixin:AnnZhu1
微博:Ann一人游,欢迎大家关注~有问题微博上私信,有问必答呦~更多一人游实用信息很开心可以和大家分享~

使用AES 256以达到SSL/TLS安全最大化

[译]使用AES 256以达到SSL/TLS安全最大化

原文链接:https://luxsci.com/blog/256-bit-aes-encryption-for-ssl-and-tls-maximal-security.html

原文发表时间:2015.2.4

本博文仅仅是上述原文的翻译,仅供研究参考,本人不对准确性作任何保证,侵立删,如有转载,需自行承担所有责任。如有翻译不准确的地方,欢迎指教。

SSL/TLS是当今因特网上保护传输安全的重量级角色。然而,很多人并不知道安全的等级可以跨越“几乎没什么卵用”到“真的非常非常安全,美国政府TOP SECRET级别的数据都可使用”,等级变换的关键点在于“密码”或“密码技术”。有许多种密码:一些很快但不安全,一些很慢但非常安全。不安全密码的一个例子是“出口级密码”,当年美帝不允许将其出口至其他国家。

AES (高级加密标准)是比DES更新的加密算法。AES在2001年成为标准,在此之前经过了5年的审核,如今AES是最为流行的对称密码算法(SSL/TLS协议进行传输数据加密的实际算法)之一。它是加密技术的“黄金标准”,很多安全敏感的组织都要求其雇员使用AES-256进行通信数据的加密。

本文讨论AES以及它在SSL(多WEB浏览器和EMAIL程序都支持SSL协议)中的角色,以及如何保证所有的安全通信都使用AES256加密呢,还有其他更多的内容。

深入理解AES

大多数密码库对AES的支持都有相当长一段时间了。openssl对其的支持是从2002年的v0.9.7版本开始的。openssl是unix和linux环境下最为流行的SSL基础库,例如在LuxSci中,GPG(PGP的开源实现)中也包含了对AES256的支持。

AES是当前的新宠,已经成功的渗透到大多数软件中。但是,正如我们将要看到的,这并不意味着在你的计算机中已经实际使用到它了。

AES256有多安全

AES是FIPS(联邦信息处理标准)认证的算法,并且目前尚未有除了暴力破解外的其他攻击方式(除了一些针对AES处理的旁路分时攻击,但并不适用于网络环境和SSL)。实际上,AES的安全是如此之强,美国政府的“绝密(top secret)”级别信息都可使用其进行加密。

 

AES算法设计的具有不同的密钥长度(128、192、256),目的是提供对从“已分类信息( classified information)”到”机密信息(SECRET )“都提供适当的保护。绝密(TOP SECRET)级信息需要使用192或256长度的密钥。为了保护国家安全系统/信息的AES实现在使用之前必须通过NAS的认证 (Lynn Hathaway, June 2003 – reference.)。

 

如果你正在选择加密算法,AES256是一个不错的选择,虽然AES128和AES192的也不错。

Beast Attack和SSL安全相关站点

针对保护Web通信的SSL协议的攻击,广为人知的是Beast攻击。在此攻击中,位于你网络可信区域的攻击者可以进入你的SSL Session并且窃听通信数据

解决办法是使用TLS v1.1+的密码算法。然而,BEAST攻击如如今不再被认为是一个很重要的攻击

参看:

有除了AES之外的选择吗?

SSL/TLS中有许多可选的密码算法,一个不错的选择是“3DES”(例如,出于兼容XP系统的目的)。出于已知的弱点,我们不建议使用RC4算法。FIST/NIST给出了高安全级别的推荐算法,这些算法基本上都是AES或DES结合不同的哈希算法、密钥交换协议。

SSL/TLS会话中如何选择密码算法?

一般而言,当SSL客户端(例如email程序或WEB浏览器)向服务器发起SSL或TLS连接时,客户端发送它所支持的加密算法列表。服务器顺序检查该列表,并且选择自身也支持的第一个匹配项。客户端一般将最安全的算法放在第一位,因此客户端和服务端将会选择双方都支持的最安全的算法。不过客户端有时会权衡安全和速度,也可能会导致选择了次优算法。

大多数支持SSL的现代WEB和EMAIL服务器(例如LuxSci.com的服务器)支持很多种不同的强加密技术,包括128位的RC4和256位的AES。它们提供了一系列算法而非只有一个最优的,这允许那些使用较老软件的访问者仍能享受加密的好处,即使其安全强度比理想中要低很多

另外,大多数提供安全服务的公司都禁止使用那些安全强度过低的算法,这些算法可能很容易的被攻破(例如曾广泛使用的出口级密码)。因此,如果你访问一个基于SSL或TLS提供的声誉良好的服务,加密类型的选择基本上是由你的客户端程序(例如email程序或WEB浏览器)根据服务端提供的选项及选项排列来决定的。

现代浏览器都支持那些加密技术?

对于任何浏览器,通过访问如下网址可以很方便的看到它所支持的最佳加密技术:https://www.howsmyssl.com/

通过对一些浏览器的检查,可以得到下表:

浏览器
操作系统 最佳密码算法 结论?
Native Android Browser (LG G3) Android v4.4.2+ AES 256-bit Good!
Chrome v39+ Android v4.4.2+ AES 256-bit Good!
FireFox Mobile v8+ Android AES 256-bit Good!
Safari iOS v8+ (iPhone/iPad/etc.) AES 256-bit Good
Safari iOS v5.0.1 AES 128-bit Good
Safari iOS v2.2 AES 128-bit Good
Silk Kindle Fire RC4 128-bit Fair
FireFox v35+ Windows XP & Vista, Mac OSX AES 256-bit Good!
FireFox v8+ Windows XP & Vista, Mac OSX AES 256-bit Good!
FireFox v3.0.5 Windows XP & Vista, Mac OSX AES 256-bit Good!
Safari v8+ Windows Vista/7, Mac OSX AES 256-bit Good
Safari v5.1.2 Windows Vista/7, Mac OSX AES 128-bit Good
Safari v3.2.1 Windows Vista, Mac OSX AES 128-bit Good
Safari v3.2.1 Windows XP RC4 128-bit Fair
Chrome v40+ Windows Vista/7, Mac OSX AES 256-bit Good!
Chrome v15+ Windows Vista/7, Mac OSX AES 256-bit Good!
Chrome v1.x Windows Vista AES 128-bit Good
Chrome v1.x Windows XP RC4 128-bit Fair
Internet Explorer v11 Windows 7 AES 256-bit Good
Internet Explorer v9 Windows 7 AES 128-bit Good
Internet Explorer v9 Windows Vista RC4 128-bit Fair
Internet Explorer v7 & v8 Windows Vista AES 128-bit Good
Internet Explorer v8 Windows XP RC4 128-bit Fair
Internet Explorer v7 Windows XP RC4 128-bit Fair
Internet Explorer v6 Windows XP RC4 128-bit Fair
Opera v26+ Mac OSX AES 256-bit Good!
Opera v11.10+ Windows Vista AES 256-bit Good!
Opera v9.62 Windows XP & Vista AES 256-bit Good!

从上表可以看出,即使环境支持AES算法,也仅仅只有某些浏览器会默认使用AES算法。我们也看到任何使用Windows默认SSL库的程序在XP上会使用RC4算法,在Vista上会使用128位的AES算法。因此,使用XP或Win2000系统的同学最好使用有自己SSL算法管理器的浏览器(例如Firefox,Opera)。

现代Email程序都支持那些加密技术?

这里的Email程序不包括使用浏览器。很显然,如果使用WebMail接口访问邮箱,该问题的答案取决于使用的是什么浏览器。

 

注意Email连接不受Beast攻击的影响。

我们测试了一些流行的Email程序,以测试它们与支持多种强加密算法的服务器连接时会选择何种密码算法.1 结果见下表:

 

Email程序 操作系统 结论? 结果
Mozilla Thunderbirdv2+ Windows XP & Vista Good! 256-bit AES
Thunderbird v2+ Mac OSX v10.4.11 Good! 256-bit AES
Outlook 2010 Windows 7 Good! 256-bit AES
Outlook 2007 Windows XP Fair 128-bit RC4 is the best supported
Outlook 2007 Windows Vista Good 128-bit AES chosen (though 256-bit is there, it is not listed 1st in the program and thus not used)
Outlook 2003 Windows XP Fair 128-bit RC4 is the best supported
Mail.app Mac OSX v10.10 Good 256-bit AES
Mail.app Mac OSX v10.5.5 Good 128-bit AES chosen (though 256-bit is there, it is not listed 1st in the program and thus not used)
Mail.app Mac OSX v10.4.11 Good 128-bit AES chosen (though 256-bit is there, it is not listed 1st in the program and thus not used)
Mail.app iPhone v2.2 Good 128-bit AES chosen (though 256-bit is there, it is not listed 1st in the program and thus not used)
Eudora v7 Windows XP Good 256-bit AES
Eudora v8 Mac OSX v10.4 Good 256-bit AES
Entourage v12 Mac OSX v10.4 Fair DES

我们看到了类似的模式,大多数情况下,密码算法的选择取决于操作系统而不是程序。一些程序使用其自身的SSL库(例如Thunderbird/Eudora),一些使用的是操作系统内建的库。因此,我们可以推断出在Vista或Windows7+上的新版Outlook将会至少支持128位的AES,XP系统上的大部分程序将使用128位的RC4。

如何强制浏览器和Email程序使用256位AES?

如前讨论,email客户端的选择是决定加密算法使用的首要要素(?似不符,应是指使用自己SSL库的email客户端)。例如,如果使用Firefox或Opera进行Web访问,使用Thunderbird访问email,将会使用245位的AES算法,当然前提是服务器也支持。

然而,如果你想更进一步,保证只有在使用256位AES算法时才进行安全连接,这也是可行的。如果你的组织强制要求使用256位AES,或你不信任那些使用其他算法的服务器,可以考虑这种方法。

上述方式在另外一种场景下也是非常有用的:你正在连接的Web站点将RC4算法放在了AES算法之前,但是你知道你的浏览器是不受Beast攻击影响的(例如你使用了TLS v1.1+的协议),并且你更倾向于使用AES。现在,大多数现代浏览器的新版本(例如Ie、Firefox、Chrome、Opera)都是Beast免疫的。但是,浏览器的旧版本还是会受Beast攻击的影响。

根据下面的指导,你可以确保256位的AES算法应用于所有的安全连接,如果服务端不支持AES256则连接会失败。如果你有其他操作系统或程序的设置方式,请留言告知我们。

注意如果你移除了RC4算法的支持,你可能无法访问一些站点,那些只支持RC4的站点,我们办公室旁边支持网上订餐的Pizza店就是个例子。

Mozilla Firefox:

  1. 在地址栏输入“about:config” 并回车,打开配置参数的详细列表。
  2. 确保 “security.tls.version.min”是“1”,以便关闭对SSLv2和SSLv3的支持。
  3. 搜索 “security.ssl3“。
  4. 将名字中不含“aes_256”的所有算法项(例如RC4、camellia、des等)的值都改为“false”。这将会使得它们不再可用。
  5. 你将只剩下TLS  v1.0+和AES256的各项。
  6. 你甚至无需重启Firefox即可生效。

注意Firefox有一个非常NB的插件叫“CipherFox”,它允许你查看所连接站点的密码算法信息。

Mozilla Thunderbird: (也可参看 optimization tips for Thunderbird)

  1. 从“Tools”菜单选择“Options”。
  2. 在“Option”对话框的“Advanced”标签页的“General”区,点击“Config Editor…”按钮。
  3. 采取同Firefox设置类似的操作,禁用SSLv2和SSLv3,关闭所有名字中不包括“aes_256”的算法。
  4. 重启Thunderbird以便一些持久化的连接关闭并且重新打开。
  5. 确保你的email帐号都配置为使用SSL或TLS,不是“if available”,而是“always”。
  6. 如果你的email提供商支持,彻底的禁用你帐号的不安全连接。这将会导致连接失败,即使email程序意外的配置为安全连接(?)。

Google Chrome

Chrome使用操作系统的SSL设置。因此,如果你从操作系统上改变了密码算法顺序或移除了RC4(方法见下面),这将会解决你在Chrome上的问题。

我们发现如果使用一些额外的命令行参数启动Chrome,可以强制使用TLS1.0+并且可以阻止某些密码算法的使用,例如:将下述参数添加至Chrome快捷方式(以Arguments的方式)或命令行。

--ssl-version-min=tls1 --cipher-suite-blacklist=0x0005,0x0004,0xc011,0xc007

将会阻止RC4算法的使用.

Internet Explorer

为了禁用RC4算法,并设置AES256为主要算法,你需要在Windows操作系统中更改密码算法支持。方法参看下面。

Skype:

  • 稍微偏离了点主题,但 Skype 使用256位的AES加密算法,因此如果你使用它聊天或语音电话,你的数据将会以这种方式加密。

Windows Vista, Windows 7+

我们已经看到,Windows Vista及更高的版本支持256位的AES,但是它将128位AES放在了列表的首位,因此这也是windows环境中大多数依赖于Windows内建SSL模块程序的工作方式(例如IE、Chrome、Outlook等)。

如果你的Windows是“小企业版”及以上的版本,你可以通过使用“组策略编辑器”移除不想使用的密码算法,也可改变算法的出现顺序。例如,为了将AES256而不是AES128或RC4设为默认选择,可参考这些指引

  1. 通过在命令行窗口中键入gpedit.mscd打开组策略编辑器。
  2. 选择Computer Configuration | Administrative Templates | Network | SSL Configuration Settings.
  3. 只有一个条目: SSL Cipher Suite Order. 打开它。
  4. 选择Enabled.
  5. 现在你需要小心操作。你将会看到同上面一样的列表,但没有进行很好的格式化,而是简单的以逗号分割。列表的第一项是:
    TLS_RSA_WITH_AES_128_CBC_SHA
    第二项是:
    TLS_RSA_WITH_AES_256_CBC_SHA
    在列表中移动光标。将第一个128改为256,然后继续移动光标,将256改为128.(如果你不能编辑或输入,可以将其拷贝出来,粘贴到记事本中,编辑后在粘贴回来)。
  6. 如果你想取消RC4和其他非AES算法,以便使用AES替代RC4,并且你知道你的浏览器是Beast免疫的,那么可在列表中移除RC4的项。 例如:TLS_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_RC4_128_MD5, and SSL_CK_RC4_128_WITH_MD5
  7. 也可改变其他的顺序,但要保证确实是在算法种类中做的改变。
  8. 点击OK,关闭组策略编辑器,重启系统。

使用相同的方法,你可以移除不想使用的所有算法,以锁定Windows只使用AES或只使用AES256作为加密算法。

然而,对于基本家庭版和高级家庭版的用户而言,是没有“组策略编辑器”的(如果你从其他Windows中拷贝过来是无法运行的),进行这项改变是比较麻烦的。但是上述多有设置都会体现在注册表中,因此可以直接更改注册表。我们这里不详细说明了,具体可以参看此链接

如果你不确定你的Windows版本,可以尝试上述操作,看看gpedit.msc是否能打开一个对话框。

锁定你的Web站点(Apache)

如果你是一个web站点的所有者,并且你的站点使用了SSL,你可以“锁定”站点以便只支持AES256。这将去除终端用户的选择权–要么使用AES,要么不安全的连接(?)。这对于非常敏感的站点是很好的事情。然而,它的“危险”是你的一些用户可能使用的是不支持AES算法的浏览器(例如IE的一些旧版本),因此他们无法访问你的站点,除非更换浏览器。

要想将你的站点锁定为支持AES128或AES256(使用AES但不要求256是为了iPhone等设备上的浏览器可以工作),你可以在httpd.conf文件中添加如下内容:

SSLCipherSuite AES256-SHA:AES128-SHA

这也可以添加全局配置,在虚拟目录中,甚至是在你的.htaccess文件中(不太懂)。这会确保所有到你的站点的连接都使用了这些算法中的一个。需要保证将其添加到你站点的安全设置中,而不仅是不安全的站点区域(?)。更多信息参看这里

一般而言,要为Apache进行高级别安全配置,你应该仅仅支持TLS v1.0+的协议和NIST推荐算法。参看: what level of TLS is required for HIPAA.

结论

如果你有AES选项的话,它是使用SSL的正确姿势。只要你是用的计算机不是古董,它真的不会太多的影响速度和性能。如果你担心安全的话,我们强烈建议你使用启用了AES的浏览器和/或email客户端(如今大多数程序中都包括)。

注意SSL和TLS只保护在你和服务器之间传输的数据,当你收发email时,在发送者和接收者之间网络上传输的信息数据是不受保护的,无论你的SSL是多么好(译者注:也就是说SSL只是信道加密),更多信息请参考The Case for Email Security。解决方案是在SSL之外使用端到端的email加密方案,例如LuxSci的SecureLine(SecureLine保护信息内容,SSL保护你的用户名和口令)。

1 对于真实email程序的测试,我们通过在IMAP端口运行调试模式的openssl来进行的。这将会记录下客户端和服务端选择的密码算法。

印尼海关通关必看:看看你的行李箱有没有猫腻!

http://www.cana.org.cn/news/277/277273.html

7月23日,中国旅客钟姓旅客在越南入境时护照被越南海关写上脏话。中方提出交涉,指出污损中国护照有损中国公民国格、人格,是无耻的懦夫行为,中方表示愤慨、蔑视和谴责。越方表示将对此进行调查。一波未平一波又起。近日有网友爆料了其在印尼海关通关的真实经历。

(内容以第一人称叙述)

2016年1月份去印尼四王岛潜水,经印尼首府雅加达转机,飞机上遇到一名印尼华人,说:你们下飞机后要注意下自已托运的行李,看上面有没有特殊的记号,如果有要赶快去掉,不然过海关时一定会受到刁难然后勒索。一般开价都在500美 金,当然可以讲价,特别是从中国飞来的客人,是印尼海关的最爱。

下机取行李时,我们一行15人,四个装水下摄影与潜水装备的箱子果然都被用粉笔在箱子的四周打了几个很小的叉,不小心还真看不出来。我想这一定是运送行李的部门在提箱子的时候发现这些特大而且超重的箱子专门做了记号,他们真是经验丰富,一拎就知道里面有贵重的相机等物品。

我开始尝试用手去擦粉笔记号,可是干的手几乎是擦不掉的,越擦越明显,就在我急得想吐口水在箱子上清洗时,旁边一女孩默默递给了我一湿巾,我想这就是真爱吧。

几个箱大家都清理干净确保看不到任何记号后,我们才开始往外走,期间遇到一对老年中国夫妇可能是来探亲的,被工作人员引导到一个落地签证的窗口去办签证去,让交了500元人民币在一张纸上盖了一个章。(画外音:印尼从2015年起对华免签,不需要签证的,但很多中国游客被骗去交钱落地签了,正确做法是下了机跟着人流直接出关)

还没出机场,我已深深感受到这个国家对华人的恶意。

接着说,从我拿到行李开始,就不断有当地人来要求代运行李服务,都被我一一拒绝,我的想法很简单,他在人流中把我行李拉走了,我去哪找他?

快到海关检查了,我心里忐忑不安,总觉得哪里不对劲。于是我把我的大箱子放倒再检查一遍。

尼玛,好险,在轮子底部还有一个记号,这次没有湿巾了,我只有吐口水擦掉了,也罢。真爱总是短暂的。

如此我们都装着若无其事般就过了海关了,没有人要求做开箱检查。

事后了解,海关只要开箱检查就会故意找碴,或拖你时间,直到你给钱,特别中国人,凡事喜欢用钱来搞定,是印尼海关最喜欢的顾客。

这次多亏遇上贵人。所以出了机场后我赶紧发了一个朋友圈,以警后人。也算是积德吧。

二、

这件事我几乎忘记了,直到上周我们去科莫多潜水拍摄,从巴厘岛转机,入境时,一位同伴长的象富二代,被巴厘岛的边检官员拿着护照看来看去,嘴里念念有词:小费小费。。同伴愣是装傻了约十分钟,这个边检官才在他护照上盖章放行。我在过关后的边检官背后默默地等同伴看到了这一幕,恍然觉醒:这是在印尼呀!

我再次深深感受到这个国家对华人的恶意。

取行李的时候我当然特别检查了一下记号,尼玛!这帮孙子这次居然用上了小扎带。这扎带用手不可能解开,但谁能在飞机上带刀下来呢?

我们此行12人,7个装水下摄影与潜水装备的箱子全都做了记号。就在我几近绝望的时候,旁边一同伴默默拧开一圆珠笔,里面藏着一微型小刀,又遇到真爱,真爱来得总是很意外!

大家讯速地把扎带都清除后松了一口气,才敢往外走。过海关时有两条通道,有指导人员,我主动向没有行李检查机器的这个通道走出,工作工员盯了我的箱子看没有记号,放行。我特么怎么会有一种做贼得逞的感觉?

我们几个先出来在外面等其它人,有一女伴的箱子在过机器的时候还是被打开了,她的箱子30公斤,估计海关人员看到人都走着差不多了,还没有发现一个有记号的箱子,临时要求打开她的,结果连内衣内裤都摸了一遍,真的摸了一遍呀!折腾了半小时,看女伴没有给qian的意思,就放行了。

然后我们几个出来的人在旁边拐角等候时,几个海关人员追了出来,要求检查一大哥的箱子(外观上他的箱子最值钱),结果箱子里有一套只下过一次水的摄影装备。海关说这是走私,要罚款。这大哥机智,把手机里我不久前在水下给他拍了一张手持着这个相机装备照给海关看,海关这才悻悻地放行。

如此,我们一行人折腾了近一小时才出了机场。如果你没有时间或着急下一个航班,你就只能乖乖掏 钱了。

这样的事情其实发生在很多人的身上,我后来发到朋友圈里,有很多人也有过被印尼海关勒索的经历与给小 费的经历,可是却为什么国内的网上鲜有人分享呢?有的攻略还特么鼓励国人给点小 费去保平安顺利。以致于让一个落后贫穷国家的公务人员都可以随意欺负到我们中国人的头上?

想想还是自已不争气,没有硬骨头,就别怪人家挑软的捏!

希望大家转发让去印尼旅游与潜水的朋友们看到,希望你们不要再去办落地签了,希望你们过境盖章的时候不要给小费了,希望你们取行李的时候留意下有没有给人做了记号,希望你们记得带上两样东西:湿巾、指甲刀

最后,希望大家再看看阿里巴巴与四十大盗的故事。

原来,我才是真爱!

小编说:

近年来,东南亚国家为了吸引中国游客,不仅降低价格,而且还纷纷实行落地签和免签,再加上随着二三线城市增开赴东南亚直航包机。这促使中国人赴东南亚旅游的人数攀升,但海关索贿问题也随之凸显。落地签和免签虽然简化旅行手续,但却间接为海关索贿创造条件。陶短房说,在海关办落地签时,某些工作人员往往借机向旅行文件不齐全的旅客索贿。除了索贿,很多海关人员还利用费用超重等借口来收取不正常费用。很多旅客抱有“出门在外,花钱消灾”的心态都花钱了事,这在相当大程度上纵容了这些海关的旁门左道的发财手段。吃亏的将是越来越多的中国旅客。

本文仅希望能为即将在印尼通关的旅客提供一点点帮助。