漏洞版本:PHP5.3.27PHP5.4.17PHP5.5.1漏洞描述:BugtraqID:61776PHP是一种HTML内嵌式的脚本语言PHPSSL模块不正确处理服务器SSL证书中"subjectAltNames"通用名中的空字节，允许攻击者利用漏洞进行中间人攻击，获取敏感信息<*参考http://www.secunia.com/advisories/54480/ http://git.php.net/?p=php-src.git;a=commit;h=dcea4ec698dcae39b7bba6f6aa08933cbfee6755 http://git.php.net/?p=php-src.git;a=commit;h=2874696a5a8d46639d261571f915c493cd875897 http://git.php.net/?p=php-src.git;a=commit;h=2b9f5ac2525118bab372d5fc66eb19cabc46f483*>安全建议:厂商解决方案用户可参考如下厂商提供的安全补丁以修复该漏洞：h...

今天上午，Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法，该漏洞贯穿于所有的SSLv3版本中，利用该漏洞，黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)，便可以成功获取到传输数据(例如cookies)。截止到发文前，还没有任何补丁放出来。对此Google表示，他们只能给出一个无奈的建议：关闭客户端SSLv3支持或者服务器SSLv3支持或者两者全部关闭。另外，Google已经明确表态将在接下来的数月中，逐步从其服务中撤销掉SSLv3的支持。 SSL3.0虽然已经将近15年了，但是基本所有的浏览器都支持该协议。服务器方面，有消息称，全球TOP100万的网站，超过99%站点使用了SSLv3为了保持兼容性，当浏览器进行HTTPS连接失败的时候，将会尝试旧的协议版本，包括SSL3.0。 攻击者可以利用这个特性强制浏览器使用SSL3.0，从而进行攻击。 攻击者可利用该漏洞获取安全连接当中的明文内容。解决该问题可以禁用SSL3.0，或SSL3.0中的CBC模式加密，但是有可能造成兼容性问题。 建...

OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁，这次的更新涉及多处高危漏洞，连接：http://www.openssl.org/news/ 受影响的版本包括：OpenSSL1.0.1through1.0.1gOpenSSL1.0.0through1.0.0lallversionsbeforeOpenSSL0.9.8y未影响版本：OpenSSL1.0.1hOpenSSL1.0.0mOpenSSL0.9.8za  相关漏洞详情：http://www.openssl.org/news/secadv_20140605.txt其中一个漏洞CVE-2014-0195将导致任意代码执行，该漏洞影响DTLS客户端或服务端CVE-2014-0224：中间人欺骗(MITM)漏洞，影响客户端（全版本）和服务端（1.0.1and1.0.2-beta1)建议：OpenSSL0.9.8SSL/TLSusers(clientand/orserver)请更新到0.9.8za.OpenSSL1.0.0SSL/TLSusers(clientand/orserver)请更新到...

---恢复内容开始---  企业自用,到证书机构签发证书的费用和时间等都可以省下.....SSl证书的背景功用.......(省略万字,不废话)  可以参考:  SSL证书_百度百科   X509证书详解   openssl证书请求和自签名命令req详解 ★【OpenSSL】创建证书 ★   使用openssl创建自签名证书及部署到IIS教程 ★利用CA私钥和证书创建中间CA★   关于openssl和X509V3证书 ★OpenSSL-证书链★   理解证书和证书链（一）  理解证书和证书链（二）  理解证书和证书链（三） 开源的可视化管理工具:)https://github.com/chris2511/xca 1.创建RootCA创建root文件夹,在root文件夹上级建立配置...

阿里上买的域名,申请了个免费ssl,然后开始折腾,,,,申请了ssl证书,但是不提供.pem格式的下载(*/ω＼*)然后把一堆提供的都下载下来了, 然后又到网上搜crt/cer等格式转pem格式.....然后看到有说cer/crt就是pem格式的,耶(＾－＾)V,这么轻松!!!?改扩展名,放入cert文件夹,重启FreeSWITCH然后,,,,然后就没然后了, 当时一同改了参数的,结果就是internal死活起不来, external没有问题然后debug啊,看错误啊, 说端口占用或者ip地址不对???尼玛,5060,5061,5066,7443...等端口都检查了几遍, 各种服务都停了,甚至重启服务器搞,,,,结果依然,,,呵呵然后又到网上搜,各种搜,搜各种,搜,搜,搜突然看到说证书问题,也会导致报地址或端口不对的错误.....无语了........果断把证书换回原来的,立马好了.....然后又是一通搜,证书转格式转换....其实cer/crt就是pem格式,是没错的,,,,,问题1是,还有个.key的我没有放入到.pem...

 建议117：使用SSL确保通信中的数据安全SSL（SecureSocketLayer）最初是由NetScape公司设计的，用于Web安全的网络协议。目前它已经广泛应用到各类网络传输通信中了。SSL利用数字证书技术（非对称加密），保证了通信过程中的唯一性、不可篡改性、不可抵赖性。SSL通道原理图：非对称加密中：秘钥分为两部分：公钥PK和私钥SK。公钥用于加密数据用，私钥用于解密。公钥可公开而且应该公开，私钥只属于创建者。经过公钥加密的数据只有证书创建者才能解密。这是构成SSL通道所有理论的依据。在传统的网络传输过程中，我们将通信双方定义为：服务器端和客户端。假定服务器端是数字证书的创建者，它保存好自己的私钥，同时公布了自己的公钥给所有的客户端。满足了这个条件，我们来构建SSL通道。首先，客户端随机生成一个字符串作为密钥K，然后用公钥PK对这个密钥加密，并将加密后密钥发送给服务器端。如果客户端曾经在服务器端注册过自己的信息，则还可以在这个密钥上加上自己的身份信息，从而向服务器端汇报自己的唯一性，但在本例中略去这一步。服务器端用私钥解密消息，获取了客户端的K，并确认了客户端的身份...

最近公司网站要用https，从自己摸索到找到国内的免费证书到选购正式的收费证书，最后老板说：太贵！不要。一脸懵逼的听老板提到Let’sEncrypt证书，没办法，用呗。之前是有一些了解，国外发布的一款纯免费证书，只是觉得天下没有免费的午餐，免费和收费的差距肯定还是有的。于是，硬着头皮开始鼓捣Let’sEncrypt证书。 前言Let'sEncrypt作为新的证书颁发机构，免费，自动，开放，这三点对于个人用户来说尤为重要。免费自不用说，自动更是免去了很多过程和麻烦。官网目前推荐的获取和安装方式是certbot，只需要简单运行一些命令并作一些配置即可。 前提1.需要有域名，它会生成指定域名的证书。(填IP会报错不支持的)1.需要在域名指向的服务器上能访问https。(不然会报找不到443端口的错误)2.需要linux环境。 部署获取Let'sEncrypt##获取wgethttps://dl.eff.org/certbot-auto ##设置为可执行chmoda+xcertbot-auto 执行自动部署./certb...

这一节我们给游戏增加点额外的奖励，大多数游戏中都会有金币、装备啥的来激励玩家，在jumpy这个游戏中，我们也可以增加类似的道具：加速器。效果图如下：档板上会随机出现一些加速器(powerup)，小兔子碰到它后，会获取额外的跳跃速度，跳得更高，得分自然也更高。实现原理如下：首先得有一个PowerUp类：1#PowerUp加速器2classPowerUp(pg.sprite.Sprite):3def__init__(self,game,plat):4pg.sprite.Sprite.__init__(self)5self.game=game6self.plat=plat7self.current_frame=08self.last_update=09self.images=[self.game.spritesheet.get_image("powerup_empty.png"),10self.game.spritesheet.get_image("powerup_jetpack.png")]11self.image=random.choice(self.images)12self.rect...

上一节，我们整理了一个游戏开发的新框架（即：Game类），本节将运用这个框架，实现基本的加速度及摩托力效果。先定义游戏的精灵(下面代码命名为sprites.py)frompart_02.settingsimport*importpygameaspg#Vector可以看成(x,y)的封装vec=pg.math.Vector2classPlayer(pg.sprite.Sprite):def__init__(self):pg.sprite.Sprite.__init__(self)self.image=pg.Surface((30,30))self.image.fill(YELLOW)self.rect=self.image.get_rect()self.rect.center=WIDTH/2,HEIGHT/2self.pos=self.rect.center#速度self.vel=vec(0,0)#加速度self.acc=vec(0,0)self.width=self.rect.widthself.height=self.rect.heightdefupdate(self):#每帧更新前...

今天尝试在mac机上搭建dockerregistry私有仓库时，杯具的发现最新的registry出于安全考虑，强制使用ssl认证，于是又详细了解linux/mac上openssl的使用方法，接触了一堆新英文缩写，整理于下：TLS：传输层安全协议TransportLayerSecurity的缩写SSL：安全套接字层SecureSocketLayer的缩写TLS与SSL对于不是专业搞安全的开发人员来讲，可以认为是差不多的，这二者是并列关系，详细差异见http://kb.cnblogs.com/page/197396/KEY通常指私钥。CSR是CertificateSigningRequest的缩写，即证书签名请求，这不是证书，可以简单理解成公钥，生成证书时要把这个提交给权威的证书颁发机构。CRT即certificate的缩写，即证书。X.509是一种证书格式.对X.509证书来说，认证者总是CA或由CA指定的人，一份X.509证书是一些标准字段的集合，这些字段包含有关用户或设备及其相应公钥的信息。X.509的证书文件，一般以.crt结尾，根据该文件的内容编码格式，可以分为以下二种格式：PE...

一、前言先回顾下上一节创建docker-machine的过程，默认情况下dockertoolbox中的docker-machine使用virtualbox创建虚拟机，KI首次启动时创建虚拟机的过程，大致相当于下面这条命令：docker-machinecreate--drivervirtualboxdefault输出如下：Runningpre-createchecks...Creatingmachine...(default)Copying/Users/yjmyzz/.docker/machine/cache/boot2docker.isoto/Users/yjmyzz/.docker/machine/machines/default2/boot2docker.iso...(default)CreatingVirtualBoxVM...(default)CreatingSSHkey...(default)StartingtheVM...(default)WaitingforanIP...Waitingformachinetoberunning,thismaytakeafewminutes...

packagecom.dooioo.training.helper;importjava.io.IOException;importjava.io.UnsupportedEncodingException;importjava.security.KeyManagementException;importjava.security.NoSuchAlgorithmException;importjava.security.cert.CertificateException;importjava.security.cert.X509Certificate;importjava.util.ArrayList;importjava.util.List;importjava.util.Map; importjavax.net.ssl.SSLContext;importjavax.net.ssl.SSLException;importjavax.net.ssl.SSLSession;importjavax.net.ssl.SSLSocket;importjavax.net.ssl.Trus...

sample/le-proxy.c:33:10:fatalerror:'openssl/ssl.h'filenotfound mac下，在安装某些软件的时候提示如上错误，但是mac已经安装了openssl。原因：openssl是mac不推荐的加密方式，因为mac有自己的一套加密方式，于是，其他软件安装的时候找不到openssl路径解决办法：查看出问题的代码，比如：某个*.c文件提示 #include<openssl/ssl.h>找不到文件ssl.h。那么直接在找到openssl的安装路径(brew--prefixopenssl)，在路径下找到代码ssl.h,然后拷贝一份放到*.c文件的同目录的openssl目录下...

1.申请ssl证书2.下载ssl证书打开此网址 https://myssl.com/cert_convert.html将证书文件(xxx.com.crt)和密钥文件上传(xxx.com.key)输入密码后会得到一个jks的文件。上传到你的tomcat的conf文件夹下即可。3.修改server.xml这是tomcat原样字段<Connectorport="8080"protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443"/>修改为下面这样的<Connectorport="80"protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="443"/>　　<Connectorport="8443"protocol="org.apache.coyote.http11.Http11Protocol"maxThreads="150"SSLEnabled="true"scheme="https"secure="true"clientA...

 有几篇不错的文章：http://www.cnblogs.com/pen-ink/archive/2011/01/17/1937680.html 这个应该是最简单的示例了。不过，当两个password不同的时候会运行不了。http://www.cnblogs.com/yqskj/p/3142006.html 这个很不错，不过却不是完整的示例。http://www.iteye.com/topic/1125183 非常非常好的帖子 先建立客户端、服务端两个目录接着上文，拷贝tclient.keystore至客户端,拷贝tserver.keystore至服务端importjava.io.BufferedReader;importjava.io.FileInputStream;importjava.io.InputStream;importjava.io.InputStreamReader;importjava.security.KeyStore;importjavax.net.ssl.KeyManagerFactory;importjavax...