Posts

Showing posts from May, 2011

Oakland 2011

Tuần sau tôi sẽ trình bày ở hội thảo Oakland 2011  với paper "Cryptography in the Web: The Case of Cryptographic Design Flaws in ASP.NET": This paper discusses how cryptography is misused in the security design of a large part of the Web. Our focus is on ASP.NET, the web application framework developed by Microsoft that powers 25% of all Internet web sites. We show that attackers can abuse multiple cryptographic design flaws to compromise ASP.NET web applications. We describe practical and highly efficient attacks that allow attackers to steal cryptographic secret keys and forge authentication tokens to access sensitive information. The attacks combine decryption oracles, unauthenticated encryptions, and the reuse of keys for different encryption purposes. Finally, we give some reasons why cryptography is often misused in web technologies, and recommend steps to avoid these mistakes. Lần này thay đổi không khí, nộp paper cho một hội thảo hàn lâm, may mắn là không những họ khôn...

Xấu hổ và tự hào

Nhân dịp hôm nay đọc được một loạt bài về "yêu nước, tự hào dân tộc" trên VietnamNet, tôi xin kể cho các bạn nghe một câu chuyện nhỏ. Chỗ tôi ở có nhiều người Ấn Độ. Tôi cũng có một thằng bạn người Ấn Độ. Một hôm hai đứa đang xếp hàng chờ mua đồ ăn trưa thì có một người, qua diện mạo tôi đoán cũng là người Ấn Độ, chen ngang hàng, giành mua trước. Lúc quay lại bàn ăn, tôi có hỏi thằng bạn là mày thấy thế nào khi tự dưng có thằng người Ấn Độ làm chuyện khó coi trước mặt mày và bạn mày. Bạn tôi kêu, ơ mày hỏi gì lạ, tao không thấy gì cả, nó là người Ấn Độ, tao là người Ấn Độ, nhưng không có nghĩa là tao có trách nhiệm hay là bắt buộc phải xấu hổ về chuyện nó làm. Ai làm nấy chịu, tao chỉ xấu hổ nếu tao làm sai. Hết chuyện rồi ;-). Bây giờ bạn thử đổi "Ấn Độ" bằng "Việt Nam" và thử tự hỏi, có nên thấy xấu hổ nếu một chuyện tương tự xảy ra? Chưa hết, bây giờ bạn thử đổi "xấu hổ" bằng "tự hào" và thay vì có người chen ngang hàng, thì ...

Siêu hacker

1. MPlayer, Google Chrome, VLC, MythTV... có chung điểm gì? Chúng đều xài thư viện FFmpeg. Rất nhiều phần mềm khác sử dụng thư viện này và có thể cái tivi hay chiếc điện thoại của bạn cũng sử dụng FFmpeg. 2. Xen, VirtualBox, Linux Kernel-based Virtual Machine... có chung điểm gì? Chúng đều dùng công nghệ của QEmu. Xen nghe có vẻ xa lạ? Amazon EC2, và có thể công nghệ điện toán đám mây mà bạn đang dùng, sử dụng Xen. 3. IOCCC, ra đời năm 1984, là một cuộc thi quốc tế để chọn ra đoạn mã C rối rắm sáng tạo nhất. Đúng như tên gọi, các đoạn mã chiến thắng IOCCC thường rối rắm nhưng lại cực kỳ sáng tạo và đương nhiên phải hữu ích. Đơn cử như năm 2000, người chiến thắng viết một chương trình có kích thước 475 byte, in ra giá trị của 2^6972593 - 1, số nguyên tố lớn nhất từng được biết đến tại thời điểm đó, trong vài phút. Đừng thử ở nhà: viết chương trình tính số đó, xem coi mất bao lâu. Đơn cử như năm 2001, người chiến thắng viết một trình biên dịch có thể tự biên dịch chính nó, có thể...