WANcatServer

SITCON 首次參與心得

Word count: 1,071 / Reading time: 4 min
2018/12/02 Share

SITCON 首次參與心得

SITCON 學生計算機年會係一學生自發組成的研討會,秉持著以學生為主軸的核心價值,藉以凝聚與傳遞學生的力量。希望藉由提供一個經驗交流與資訊技術實務分享的平台,使已有成就者能夠傳承己身經驗,嶄露頭角者在激盪中獲得靈感與啟發,並同時讓初入茅廬者得以對資訊科學有更深入的了解;進而達到「學以致用、教學相長」的目標。

——取自 SITCON 官網

在上次的升學議題討論時,我認識了 Sean,他幫我拉進了許多社群,像是 Mozilla、SITCON、Minecraft 等等,雖然在群組裡我都沒什麼說話,畢竟小小菜逼八,跟大家不熟,也不敢說什麼。

幾個禮拜前,SITCON 開始徵稿明年的演講,我就先投了上次寫的大斗內時代,聽議程組說是頭香。我就打算再進一步參與社群,於是參加了今天在台中的聚會。台中的技術社群聚會很少,這次機會難得,我就二話不說去了。

不過就跟今年的 JSP 一樣,我又是單槍匹馬的去,心中還是有點緊詹的,而且雖然是學生社群,但我和大家的年齡還是差了蠻多,在場大部份是大學生,只有少數幾個高中生,國中生是沒有見到。

今日主題

今天有三個資安主題的小演講,每場 40~60 分鐘左右,我在先前沒什麼接觸資安,老實說沒辦法聽很懂,也很難提出問題,只有能完全理解內容的人,才能提出精闢的「好問題」

雖然我並非想朝資安發展,不過多多了解,也對自己的資訊安全有幫助,而且我有管理伺服器,伺服器的維安也是我很大的責任,有好的資安知識是很重要的。

今天的前兩場主題都是 App 的資安,第一場在講政府的 App 安全檢測政策,第二場則是現場示範用 Charles 做中間人攻擊,可憐的肯德基叔叔和日立冷氣就被抓來開刀了 XD。

中間人攻擊

今天大致學到的是憑證的重要性,沒有憑證或是用自己簽的憑證,很容易遭受中間人攻擊,也就是中間人假冒服務器,接受客戶端連接,再假冒客戶端與真正的服務器連線,讓客戶端與服務器都以為是安全的連線,藉此竊取資料。

這是 SSL 非對稱加密也沒辦法解決的問題,雖然你可以確保只有這個公鑰的主人可以解開訊息,但你沒辦法確定公鑰的主人是不是對的人。因此現在的 HTTPS 都需要與憑證機構配合,網站擁有者需要向憑證機構簽署憑證,客戶端只要向憑證機構詢問此公鑰的擁有者,就可以確定是不是該網站的公鑰了。

以我自己架網站的經驗,弄 HTTPS 其實還挺麻煩的(是我太廢),首先要有簽署過的憑證,不過現在有Let’s Encrypt這樣可以自行簽署的網站,自己架網站門檻已經沒那麼高。我的伺服器現在是用 CloudFlare 做 CDN,所以就用它附帶的 HTTPS 功能,實在是蠻方便的,可以驕傲的有綠色鎖頭。

認識新朋友

其實這次參加最大的目的在認識新朋友,雖然已經加入 SITCON Telegram 群組幾個月,不過都沒有說過話,畢竟在近千人的群組講話還滿有壓力的,我也覺得實體的聚會比較好認識朋友。

第一場演講結束後,SITCON 共同發起人 DennyHuang 就來找我聊聊。三場演講結束後,開放聊天時間,我也找到一位朋友談了許多資訊相關的話題,活動結束後,也和一些人交換了 Telegram。


今天只寫一點點小紀錄,期待未來參與更多活動!

CATALOG
  1. 1. SITCON 首次參與心得
  2. 2. 今日主題
    1. 2.1. 中間人攻擊
  3. 3. 認識新朋友