Gea-Suan Lin's BLOG

Thursday, May 18, 2006

Blue Security 放棄

從四月底開始被 DDoS 攻擊以來不斷的抵抗,直到昨天他們決定放棄:Blue Security Gives up the Fight

的 Anti-Spam 作法是這樣做:

  1. 先成立一個網站,讓大家登記他們的 e-mail address,告訴全世界「不要 spam 這些信箱」。
  2. 這些 e-mail address 是以 One-Way Hash Function 計算後的資料型態公開出來。

聽起來很不錯?你沒辦法得到一份有效的列表,但是如果你拿到一個 e-mail address,就用 One-Way Hash Function 算出來,看看在不在這份列表裡面。於是糟糕的事情就來了:如果我是 Spammer,我想要「復原」大部分的 e-mail address,那麼我就拿我手上有的 e-mail address 去計算,再加上用字典檔去試,也許我可以復原一半以上的 e-mail address。

接下來,我寄信給這些 user,告訴他們「這份名單已經外洩,blah blah…」,然後還寄了一大堆 virus/spam/…,於是 就慘了 :p