yoursunny blog
computer, Internet, and life

How to Access Gogo Inflight WiFi on American Airlines for Free?

Junxiao Shi

Gogo offers WiFi Internet access on American Airlines domestic flights within United States. The Internet services are provided through Air-To-Ground (ATG) technology: a cellular radio network of over 200 towers in North America points their antennas to the sky; a Gogo-equipped airliner connects to one of these cellular towers, and provides Internet to passengers via WiFi. Pricing for Internet access via Gogo in-flight WiFi starts at USD 4.95 for 30 minutes.

gogoinflight airborne splash page

American Airlines and Gogo also provide inflight personal device entertainment through the same gogoinflight Wi-Fi signal. This service is free of charge, and allows passengers to watch movies and TV episodes on their own smartphones and tablets. Presumably, contents are pre-downloaded to a server located inside the aircraft, and therefore accessing those contents do not consume radio bandwidth.

Rogue One: A Star Wars Story movie provided on gogoinflight

While watching videos are permitted during the flight, Gogo does not want passengers to download these copyrighted movies for watching later at home. Therefore, users must have the Gogo Entertainment app on their mobile devices in order to watch movies. The app is compatible with the Digital Rights Management technology used in the entertainment server, to ensure that the movies can be watched for free, but cannot be (easily) downloaded. But what if the device does not already have the Gogo Entertainment app?

(read more)

实验:自定义Windows帐号的RID值

Junxiao Shi

Windows帐号的SID由“S”、SID版本号、颁发机构、子颁发机构、RID组成,本文讨论的是最后一段RID的自定义。

Windows安全原理与技术老师给我推荐了一篇文章:《EFS加密的一线生机-加密帐户被删的补救方法》,文中介绍了在Windows中创建指定RID值帐号的方法。10月14日,我对文中的方法作了验证。现在我将发给老师的电子邮件整理成这篇文章。

实验环境:Windows Server 2003 SP2 en-us @ VMware Server

RID的自定义

《EFS加密的一线生机》提到的修改RID方法是:在Windows中,下一个新建帐户所分配的RID是由HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项的F键值所确定的。F键值是二进制类型的数据,在偏移量0048处的四个字节,定义下一个帐户的RID。

(read more)

守株待兔骗过UAC

Junxiao Shi
last updated

User Account Control (UAC)Windows Vista操作系统引入的一项安全基础架构技术。 应用程序只拥有标准帐户权限,除非管理员明确授予其更高的权限。 这样,只有用户信任的程序才能获得高权限,而恶意软件则没有对系统造成破坏所需的权限。

为什么需要UAC?

在2003年之前,我一直使用着Windows 98。 Windows 98有一个“用户帐户”设置,设置后会在开机时出现密码输入框。 可是我惊奇的发现,在密码输入框中简单的点击“取消”按钮,就可以进入系统,并且所有操作并不会受到限制。 Windows 98的多个用户帐户,仅仅是桌面自定义的区分,并没有对操作权限作任何限制。 如果想删除一个帐户,只需到C:\WINDOWS删掉用户名.pwl文件就可以了。

2003年我开始使用Windows XP Professional。 第一次打开新电脑,没有要求输入密码的提示,就直接进入了桌面。 在安装完毕日常使用的软件后,我为Administrator帐户设置了密码,并且创建了一个Users组的帐户来进行日常操作。

很快我发现,《写作之星WDS》软件无法正常启动了。 作为正版用户,我给翰林汇公司打了电话;客服人员告诉我,1.0版本是为Windows 98设计的,在Windows XP中则必须使用管理员帐户才能启动。 经过多次尝试,我发现只需把我的帐户加入Power Users组,就可以正常启动《写作之星WDS》,但是仍然无法打开和保存文件、只好复制、粘贴。

(read more)

使用SelfSSL创建自签名的IIS证书

Junxiao Shi

微软IIS 6.0 Resource Kit中的小工具SelfSSL可以创建自签名的IIS证书,用于测试目的。 所谓“自签名”,就是指该证书本身是一个根CA证书,同时又能作为服务器证书。 当然,这个根CA证书是默认不受信任的,所以只能用于测试,不能用于实际的公开站点。

步骤:

  1. 下载SelfSSL.exe,然后在Administrator下打开

    Microsoft SelfSSL Version 1.0, Do you want to replace the SSL settings for site 1 (Y/N)?

    对问题回答y并按回车,就会为IIS的默认Web站点创建一个自签名的证书

  2. 然后要在IIS里操作:右击Websites下的Default Web Site,选Properties,在Directory Security选项卡点击Server Certificate,然后按提示,指派一个现有证书

    IIS Certificate Wizard, Assign an existing certificate

  3. 选择刚才创建的证书

    IIS Certificate Wizard, Select a certificate

  4. 双击证书,可以查看证书内容,可以看到不受信任:

    Certificate Information

  5. 下一步选择HTTPS的端口,默认端口是443。

  6. 尝试用IE访问一下:

    Security Alert

    警告根证书不受信任(用在公开站点,给用户感觉就是“网站不安全”),点Yes

  7. 成功打开https协议的网站(注意状态栏的锁),我们成功了!

    website with padlock

注意:因为SSL加密的内容包含域名,所以无法在相同IP地址、相同端口,用域名区分开设多个SSL站点;这一点在IIS的帮助文档里写得很清楚。

(read more)

发送数字证书加密和签名的电子邮件

Junxiao Shi

操作视频

前往土豆网观看操作视频

  1. 申请证书
  2. 导出私钥、导出公钥
  3. 使用Foxmail发送签名、加密的邮件

数字证书申请地址

  • http://ca.foxmail.com.cn 接收邮件获取下载码,进入后安装证书
  • http://www.ca365.com “免费证书”,选择“电子邮件保护证书”,申请成功后即时安装证书
  • http://www.thawte.com 选Personal Email可以申请成功,但是操作很麻烦;好处是它的根证书是系统自带的,权威性较高;但是证书的名字只能是thawte freemail member,想写自己名字得去找5个工作人员出示身份证
(read more)

公钥密码加密和鉴别过程(PKI体系)

Junxiao Shi

公钥密码加密和鉴别过程(PKI体系)

  1. 用户向RA提交证书申请,RA审查后由CA颁发证书给用户
  2. 发送方计算信息摘要值
  3. 发送方将信息摘要值发送给时间戳服务器,获取带有服务器签名的时间戳
  4. 发送方将信息摘要值、时间戳用自己的私钥加密,得到签名数据
  5. 发送方随机产生一个对称密钥,用此密钥和某种算法对信息进行对称加密,得到密文
  6. 发送方将上一步使用的对称密钥和算法代号用接收方的公钥加密,和密文保存在一起
  7. 发送方将签名数据和密文通过不安全信道发送给接收方
  8. 接收方用自己的私钥解密密文的对称密钥和算法代号部分
  9. 接收方用上一步得到的算法和对称密钥对密文正文进行解密,得到明文信息
  10. 接收方用发送方的公钥对签名数据进行解密
  11. 接收方计算信息摘要值,与签名数据解密结果中的摘要值进行比较,如果一致则信息没有被篡改
  12. 接收方检查时间戳,确认没有遭受重放攻击

应用实例——Windows Live ID单点登录服务

Windows Live ID是Microsoft公司提供的单点登录服务,应用于Windows Live、MSN等网站,并且其他站点也通过SDK调用Windows Live认证服务。

Windows Live ID在以下方面使用了公钥密码技术:

(read more)

百度推出QQ升级?

Junxiao Shi

在老同学的博客上看到这么一则消息:“腾讯八周年升级活动已经出来了,和百度合作,轻松升到30级”。第一反应当然知道这是骗人的,QQ升级的骗局见多了,很多页面的源代码上都注明了“只为获取流量,与腾讯无关”。可是,一看网址,觉得奇怪了;网址真的是百度的:http://imgnews.baidu.com/ir?t=1&u=&f=%68%74%74%70%3A%2F%2F%71%71%2D%72%2E%63%6E?QQ=49451441。难道百度真的推出了QQ升级?

仗着最安全的Firefox浏览器,我点下了这个网址。不出所料,出现了经典的QQ号码输入界面。抬头一看网址,变成了http://qq-r.cn/?QQ=494514416。咦,百度又出现跨站漏洞了?

先看看百度服务器返回的数据吧。手头没有nc,也不想抓包,就在记事本里构造好HTTP请求包,用telnet.exe提交(命令为telnet imgnews.baidu.com 80)看看:

(read more)

计算机网络安全访问控制系统的实现

Junxiao Shi

网络拓扑

网络拓扑图

  • 外网网段 202.120.36.0/24

    防火墙eth0接口 202.120.36.180

    DNS服务器 202.120.2.101

  • 内网网段 192.168.33.0/24

    防火墙eth1接口 192.168.33.254

    主机A 192.168.33.40

    主机A公网地址 202.120.36.100

    主机B 192.168.33.41

    主机B公网地址 202.120.36.101

  • DMZ区网段 192.168.1.0/24

    防火墙eth2接口 192.168.1.1

    Web服务器 192.168.1.2

    邮件服务器 192.168.1.40

网络拓扑的脚本定义

Internal="192.168.33.0/24"
DNSServer="202.120.2.101"
WWWServer="202.120.2.102"
GlobalA="202.120.36.100"
HostA="192.168.33.40"
GlobalB="202.120.36.101"
HostB="192.168.33.41"
MailServer="192.168.1.40"
FireWall="202.120.36.180"
HttpsServer="216.239.63.83"
FtpServer="202.38.97.230"
TelnetServer="202.120.3.1"
(read more)