Taskbar Progress 工作列 進度條 C# .NET

01

如上圖所示,工作列可以有進度條。本方法需要較底層,所以必須調用外部API。

請先下載參考:WindowsAPICodePack

https://sites.google.com/site/1456wbff/home/WindowsAPI.7z?attredirects=0&d=1
https://mega.nz/#!0J9BSbYB!4svqcg8liM6fRGDc9Zk-D_NjNzdMF5GEHY6vzLt13rY
http://cht.tw/h/nrkw9

下載完畢後匯入參考,並使用代碼:

僅此作為筆記。

淺談 HTTP、HTTPS、HSTS 安全 MITM、SSLStrip

01

眾所皆知要監聽帳號密碼已經不是難事,如上圖所示已經取得了”非HTTPS”加密連線的帳號密碼。最近研究少有成果,來寫篇文章留個紀念,當作我已經懂了原理。若有錯還請各位高手指正。

02

正常HTTP連線是不會有任何駭客可以侵入,例如手機網路(不談破譯基站或偽造基站)、非共用的私人網段。

03

一旦在區域網路上有他人的存在,就可能造成資安漏洞被MiTM(中間人)攻擊,竊聽信用卡、帳密…等資訊,例如:公用電腦、公用WiFi。所以很多重要網站(如:Google、FB)都有透過加密連線。如下圖所示,綠色鎖頭 https。

ssl

HTTPS的誕生就是預防被竊聽,它的加密現在有兩種形式,一個是RSA、另一個是ECC,都是利用數學難題作為基礎來加密資訊。

04

由上圖可知,每台電腦在出廠時,都會有”證書”存在自己電腦,不需要經過網路傳輸。也就是 CA Root 。所有證書的簽發都是一層一層向下簽,CA簽發給CA下的單位如DV、OV、EV證書驗證機構,再簽發給域名。而瀏覽器默認信任CA Root,由於來源可靠,故此域名就跟著被一塊信任。

0605

當攻擊者想要竊聽 HTTPS 時會造成問題,因為攻擊者沒有私鑰,無法解密訊息,導致此監聽就無意義了,故只能偽造證書。但是偽造證書會出現一個問題,瀏覽器會警告用戶此證書不可信任(域名錯誤、來源不可信…等)!

CA-unknowCA-domainerror

所以攻擊者需要監聽HTTPS的辦法就是,想辦法讓瀏覽器不要透過HTTPS連線,利用SSLStrip可以達到此目的,假設此伺服器是強制HTTPS的情況,就會變成駭客與伺服器做安全連線,而真實用戶與駭客間採用HTTP連線。

08

因為這種情況的發生,所以進而加入一個新功能HSTS,嚴格HTTPS連線,一旦連上了HTTPS,就會發送HSTS頭部訊息,瀏覽器接收後,此後不管任何到此域名的連線都會變強制在本地端做307導向。使攻擊者只能接受並原封不動的傳送此連線資訊,而無法被監聽。

09

但不少用戶在瀏覽器網址框都是直接打 域名 或是 打 http:// 而不是 https:// ,所以普遍用戶都是 301 轉跳到 HTTPS,在第一次連接時的頭部訊息,如果發動了攻擊,就可以偽造後續所有連線,所以…SSLStrip還是略勝一籌阿。

10

基於此緣故,現行網際網路又推行了一個新東西:HSTS preload,顧名思義,預先載入,各網站的擁有者可以登入自己的域名到 preload list,等日後瀏覽器更新時,就會把這些網站列表編譯進瀏覽器內。此後瀏覽器,不用透過 301 轉向,直接查詢網站是否在清單裡,如果存在,則直接強制HTTPS連線,就算用戶輸入 http:// 開頭,還是一樣強制307轉跳到https連線。

11

這已經是終極預防措施,不過,經過我去查網路上某資訊得知,這個清單在Chrome瀏覽器中並非靜態,造成可以利用Delorean時間竄改工具,攻擊瀏覽器,使之 preload 清單的 域名 過期,回到原本 先訪問 HTTP 再 轉跳 HTTPS 的模式,造就了 駭客再次入侵。SSLStrip 還是贏了……防不勝防!上網時要注意看是不是綠色鎖頭喔~

12

不用寄信 檢查 Email 是否 真實 存在 PHP

01

最近很常研究 Email,由於是自己架設伺服器,比較麻煩,所以更深入研究了一下下。

今天想到就寫一篇,真實檢查 Email 的方法,因為這個不是驗證 Email 格式與否,而是直接驗證 此Email是否存在,並且無須寄信即可以檢查。

首先先查詢 Email @後域名的MX紀錄,再查此IP,得到 IP 後即可透過 TCP 連線至該 SMTP 伺服器驗證以確立此 Email 確實存在,而不是亂打的。

代碼醜陋,請各位看官不要介意。

Bash 自動備份網站與異地備份

這是我現在所用的方法,直接分享出來,備份壓縮網站資料與資料庫十日,自動刪除近十日之外的檔案。

建立一個 backup.sh 檔案,內容如下:(FTP地址帳密、網站路徑、資料庫密碼…要自己修改一下)

創一個文檔在 /home/user/secret.cnf (或你喜歡的地方),然後設定權限 400 或 600 內容填入如下。

最後 在終端機 打指令

在最下面加入:(設定定時任務,零時零分自動備份網站並透過FTP外寄出去)

這樣就可以完成幾乎全自動的備份。

淺談Telegram開發機器人

01

我做了一個很簡單的計時器,為了某群組裡面的高中生而設計,這也是我首次製作 tg 的機器人。我才做兩個而已,所以有些功能我真的不知道的我也沒辦法為您解答。

以下是講我的經歷:

首先必須先註冊個telegram帳號(廢話),然後搜索聯繫人@BotFather  這很重要,加入這個機器人之後,首先輸入:/newbot ,然後再輸入你想要取的名子(可以是中文),接著系統會提示你再輸入用戶名稱,結尾必須是 bot ,而且僅英文以及下畫線,接著你的機器人就創立了,BotFather會告訴你,你的Token,這很重要,因為等下傳送或是接收訊息都要用到這組文字。

開始就是程式設計的部分,我個人是比較熟PHP,所以用PHP開發。而且還是改寫自官方的腳本。但我現在已經明白原理了。

程式碼都獻上了,現在開始講原理。

首先必須要有一台服務器,來執行WebHook,把你寫好的PHP檔案上傳到伺服器上面,注意檔名最好建立很特殊的名稱,讓一般使用者無法猜到你用什麼檔名,以預防惡意人士直接訪問你的程式。(洪水轟炸,或偽造請求之類的。)

上傳後,請直接訪問 https://api.telegram.org/botTOKEN/?method=setWebhook&url=https://www.example.com/secretbot.php

參數url後面接的就是你要接收的位置,僅支援https,完畢後一旦直接對bot講話輸入指令,telegram就會立刻送出對話內容傳到你的程式,而你的程式處理完之後再回傳給telegram,這就是它的工作原理。

得到的內容長得像:

簡單明瞭,這只是message的部分,有可能會出現其他資料,例如傳圖片,有人加入群組時,就會不同了,請參閱 telegram 文檔,https://core.telegram.org/bots/api

而我的設計是當使用者輸入 /start 時,就會回傳 聊天室 id,因為我需要 id 才可以讓我直接發訊息回去,否則必須每次都是被動型傳輸,這樣我就可以主動傳送了,因為我不需要依靠對方先傳訊息給我才可以取得 id 回傳。

而我設定輸入指令 /show 時 就會彈出距離目標時間還有多久。而且利用 cron job 定時任務,每天都會 run 這程式發送一次倒數訊息。這就是整個簡單的概念。

接下來,在 tg 上就可以直接操作並直接顯示結果了,唯一缺陷就是沒有指令選單。這時可以再向 BotFather設定,輸入 /setcommands,再輸入 @botname指令(英文)+空格+簡介。(可以多行輸入)

最終預防機器人被濫用亂加入群組,可以設定鎖定,/setjoingroups@botname → Disable

這樣就大功告成了。其他功能自己探索,其實很簡單的。

最棒的手機通訊軟體 Telegram

02

01

Telegram官網:https://telegram.org/

我想大概不需要多講,親自去操作就知道它的威力了!

優點是:

它是一個同步雲端的程式,不像Line一樣,換手機就訊息全部遺失。而且貼圖還要錢,樣式還要錢!它只要輸入訊息進去就會永久保留雲端(除非是秘密聊天室,下面會講。若是超級群組也可以刪除訊息)

Telegram是一個開源的軟體,不以營利為目標,成立宗旨是保護用戶個資。有龐大的網路貼圖庫可以安裝,通通免費,還有非官方版的應用程式「Plus」可以套用主題,全然免費,和額外的小功能。

Telegram到底哪裡好呢?它可以成立一個高達五千人的超級大群組,以及公開的頻道,公開的群組,可以建立連結分享,亦可建立私人不公開小團體。

最大的特點是:Telegram 支持 RSA 2048 AES 256 的安全端對端加密通訊,這是我認為最棒的功能,它可以幫助用戶阻擋外人侵入,竊取你們的通訊,而Line、FB、Yahoo……等通訊軟體,基本上,聲稱有安全加密,問題是:那些供應商是不是就可以看你的對話!

Telegram 的獨特 秘密聊天室 可以確保用戶的通訊安全,不必擔心講機密事情被警察監聽,被政府監聽,連Telegram自己都不能解密,所以,你們之間的通訊只有在你們之間才可以看得到!

除此之外, Telegram 還支持 秘密訊息 自我銷毀 的功能,超過一定時間就會自動毀滅文檔,是指 雙方的資料同步消失,若正在聊天中,用戶主動刪除訊息,而對方那邊也會跟著同步刪除,非常酷炫!

而且 Telegram 這款應用程式支援所有平台,IOS、Android、Windows、Linux 通通支援!不論手機還是電腦版,非常方便,甚至可以同時登入!還有更離譜的功能是可以自己傳訊息給自己。

Telegram 所提供出來的雲端空間呢,是無限空間無限流量的,但是單個檔案上限大小是 1.5 GB ,意思是不可以上傳過大的檔案,同時,不論手機或電腦版,都可以傳輸檔案,傳輸照片”原檔”,而非壓縮,傳輸任意格式的檔案,不像 Line 只有電腦版才可以上傳檔案,手機板無法傳檔案,聊天室圖片轉寄還會越轉越失真,轉越多人越模糊。真的很爛。

而且在聊天室中,打字或錄音或上傳檔案,都會被顯示在狀態列,還有上線列表可以查看最後上線日期,所以可以知道誰可能已讀了,也可以知道誰正在打字中、上傳檔案中…。當然也可以隱藏最後上線時間。

在Telegram裡面,還有所謂的管理員,可以決定用戶的加入與踢出,決定群組圖片、名稱,同理也可以設定人人都是管理員,但,創始人是無法被剔除的。

超級群組中,會多出獨特的功能就是「可以編輯訊息」、「可以刪除訊息」,刪除訊息?什麼意思,本來不就可以刪了嗎?不是,本來群組刪掉訊息,只會自己帳號這邊刪掉,其他人的帳號都還會出現,但在超級群組中,自己刪掉自己的訊息,是大家都會消失掉的!

Telegram 的壓縮品質也較佳,圖片比較清晰,如果還嫌模糊就傳原檔吧!

另外,它還可以支援 「機器人」,例如投票機器人、GIF搜圖機器人、調查機器人…,可以在聊天室中打指令實現某些功能,這個就讓用戶們自己去探索拉!

官網:https://telegram.org/

缺點:

Telegram 的缺點有點少,首先是影片不可以邊播放邊下載

加好友方式,得用電話簿的方法加入,必須要知道好友的電話號碼。

缺點…其實我實在想不出有啥麼缺點。

VPN 真的安全嗎?

真匿名嗎?

網路上一堆VPN供應商都很愛說 NO Log 不紀錄用戶的數據 ,但客戶又怎麼知道真的沒有紀錄,每個服務商都說保護用戶隱私,然後當警察追查的身分的時候,一下就被服務供應商給賣了。

網路上有不少案例,例如垃圾 HideMyAss ,竟然提交出去給警方,根本就垃圾!會想使用VPN,甚至是付費VPN的人是一定要真匿名與真安全的,然後網路上很少是這麼做的。

經過我自己去調查了一陣子之後,發現,很多部落客發出的文章都說:「那些 VPN 普遍都是騙子,當警察要抓你的時候,VPN供應商就丟出你的用戶資料!」

不是說好了要刪除嗎?不要紀錄嗎?

所以,還是沒辦法只透過一層加密的服務就擺脫所有事情,如果只用 OpenVPN代理一層應該很有機率還是會被追查到。

我是不知道警察有沒有權限可以管到國外的VPN,甚至VPN主機商主動提供資料給警察。

這部分待定。我只知道要通過複雜的代理才可以真正得到 FreeDom 以及 Privacy 。否則現在任何人在網路上做任何事,都非常有機會被抓到,只要有人提告,你基本很難逃離,更何況一般不懂網路的使用者。

「隱私是你的基本權利,不需要擔心他人在背後監視我並懲罰我就因為我當我自己。」

個人建議,各位朋友們,上上策還是用 WiFi 連別人家(記得修改MAC地址)。

如何入侵 WiFi…參閱我之前寫的網路教學就知道WiFi多麼的不堪一擊。我扯遠了。

https://weils.net/blog/2015/08/15/aircack-ng-on-android-using-wireless-adapter-otg-compile-kernel/

主題是,現在絲毫沒有網路安全,沒有隱私安全。

超商繳費儲錢進去Paypal帳號

首先,這個方法透過不少外國管道有點類似洗錢,但是是合法的!請別擔心。

第一步先註冊BitoEx的帳號:https://www.bitoex.com

註冊帳號是為了購買全球通用的國際虛擬貨幣比特幣。

而比特幣可以在 BitoEx 購買到。(可全家超商繳費付款,目前只能”全家”!)

買比特幣教學參考:https://www.bitoex.com/fami?locale=zh-tw

購賣完成依照指示儲金額進入BitoEx之後,

到E-coin辦理帳號。https://www.e-coin.io/

然後登入帳號,因為 e-coin 網頁設計有點不良,所以建議別使用 Opera(無法轉換貨幣)、IE(下拉式選單有誤,無法轉出金額),請使用 Firefox 瀏覽器(全部功能正常)或是Google Chrome!這很重要,沒有的趕快去裝!

00

首先先註冊!右上角的 sign up,剩下大家就自己來了,註冊完畢記得驗證信箱,然後登入。

01

接著進入總覽,點擊 View address 顯示比特幣地址。

02

然後複製,用你的 BitoEx帳號寄錢到 那上面顯示的比特幣地址!個人建議至少寄 15 美元的比特幣,經換算大概是 台幣 500 塊,比特幣 0.035 BTC (2016.04.06的均價,未來比特幣價格可能會波動,所以僅供參考。)!寄送完成之後,並不會馬上入帳,可能要等個半小時至兩小時,也許更快,十分鐘就好了,這個視情況而定。

03

等確定入帳之後,就點 Request new card 請求一張借記卡(Debit Card)。

04

這個過程需要花費 3 $ ,的價格,記得類別要選 “Virtual” ,非常重要,選實體卡片會要你上傳身分證明,而且它會寄送卡片到你家去。請選擇虛擬卡!價格又比較便宜。

05

填完一些基本資料,大部分都可以亂填。

06

結帳,後續大概就自己操作就知道了。訂購完成之後,會發一封 email 告訴你,你的卡號和CVV 及 過期日,過期日前兩碼是月份,後兩碼是年分。例如:03-19,就是代表2019年03月。

07

因為剛辦完卡,所以裡面都是空的,0 $ (別妄想會送你錢),所以得自己存錢。點擊 Load Card

08

輸入你要儲的金額,注意,這裡只允許!最低 10 $ !最高 2500 $ ,這卡片有限制,若要用更大金額,請先上傳身分證明。然而我們只是要驗證 Paypal,以及小額付款,所以不需要用到那麼大的金額。

等儲錢進去後,辦理你的Paypal.com帳號,填入你的基本資料後,新增信用卡就用當初email寄給你的資料填寫!點擊驗證!

09

就會有紀錄在你的e-coin交易!而那四位數字就是你的驗證碼。刷新Paypal,填入四位數字驗證碼就完成驗證了!

接著你就可以利用 Paypal進行匿名全球交易,而且只靠”超商繳費”與假身分。

利用 Flickr API 取得原始圖片網址

鑒於網站上的空間有限,存放圖片又非常不方便,存本站會耗費空間與流量,存外站就不會。而 Flickr 支持 1 TB 的免費圖片空間!還支援原圖外連,這對我來說,非常好用!

為了把外站同步相簿到本站,需要研讀一下 Flickr API ,請參考: https://www.flickr.com/services/api/

首先要先建立應用程式,https://www.flickr.com/services/apps/create/apply/

00

隨便填一下資料後,可以取得 應用程式的 key 值與金鑰。

01

02

然後使用:http://idgettr.com/

輸入自己個人頁面網址,可以取得 自己的 User ID,長得像是: 123456789@N01。

接著用「程式」訪問 Flickr 的 API 特殊網址 (要記得變更網址 { } 大括號夾住部分):

可以得到如下圖的頁面:這是JSON格式的資料。請尋找您要取得網址的相簿ID。(長得像是下圖橘色所示)

03

然後再用程式訪問

04

就可取得 原始 資料。

範例程式碼: