Arduino購買者指南以及Seeeduino

eSpressif esp8266芯片組是三美元的“事物互聯網”發展委員會的經濟現實。根據流行的自動固件建築工地Nodemcu-Builds，在過去的60天內有13,341個自定義固件為該平台構建。其中，只有19％的SSL支持，10％包括加密模塊。 我們往往批評IOT部門缺乏安全，經常覆蓋殭屍網絡和其他攻擊，但我們將把我們的項目置於我們需求的相同標準嗎？我們會停下來識別問題，還是我們可以成為解決方案的一部分？ 本文將專注於使用運行Nodemcu固件的流行ESP8266芯片對MQTT協議應用AES加密和哈希授權功能。我們的目的不是提供複製/粘貼靈棍，而是逐步完成流程，沿途識別挑戰和解決方案。結果是一個系統，該系統是端到端加密和認證，防止沿途竊聽，並欺騙有效數據，而無需依賴於SSL。 我們知道還有更強大的平台，可以輕鬆地支持SSL（例如Raspberry PI，Orange Pi，FriendlyArm），但讓我們從我們大多數人躺在最便宜的硬件上開始，以及適合我們許多項目的協議。如果您需要，AES是您可以在AVR上實施的東西。 理論 MQTT是一個輕量化的消息傳遞協議，在TCP / IP之上運行，通常用於IOT項目。客戶端設備訂閱或發佈到主題（例如，傳感器/溫度/廚房），這些消息由MQTT代理中繼。有關MQTT的更多信息，可在其網頁或我們自己的入門系列中提供。 MQTT協議沒有超出用戶名/密碼身份驗證的任何內置安全功能，因此通過SSL對網絡進行加密和認證是通用的。但是，SSL對ESP8266和啟用時，SSL可能更加苛刻，因此您將留下更少的內存為您的應用程序。作為輕量級替代方案，您只能加密已發送的數據有效負載，並使用會話ID和散列函數進行身份驗證。 直接執行此操作的是使用Lua和Nodemcu加密模塊，包括支持CBC模式中AES算法以及HMAC哈希函數。使用AES加密正確需要三件事來生成密文：消息，密鑰和初始化向量（IV）。消息和鍵是簡單的概念，但初始化向量值得一些討論。 當您在具有靜態鍵的AES中對消息進行編碼時，它將始終產生相同的輸出。例如，用key“1234567890abcdef”加密的消息“UsernamePassword”可能會產生“E40D86C04D723AFF”等結果。如果使用相同的密鑰和消息再次運行加密，則會獲得相同的結果。這為您打開了幾種常見類型的攻擊，特別是模式分析和重放攻擊。 在模式分析攻擊中，您可以使用給定數據的知識始終產生相同的密文來猜測不同消息的目的或內容而沒有實際知道密鑰。例如，如果在所有其他通信之前發送消息“E40D86C04D723AFF”，則可能會迅速猜測它是登錄。簡而言之，如果登錄系統是簡單的，則發送該數據包（重播攻擊）可能足以將自己標識為授權用戶，並且混亂隨之而來。 IVS使模式分析更加困難。 IV是與修改結束密文結果的密鑰一起發送的數據。顧名思義，它在數據進入之前初始化加密算法的狀態。對於發送的每條消息，IV需要不同，以便重複的數據加密到不同的密文，以及一些密碼（如AES-CBC）需要它是不可預測的 – 實現這一目標的實用方法只是為了每次隨機調整它。 IVS不必保密，但典型以某種方式混淆它們是典型的。 雖然這可以防止模式分析，但它沒有幫助重播攻擊。例如，重傳給定的一組加密數據仍將重複結果。為防止，我們需要驗證發件人。我們將使用公共，偽偽裝生成的每條消息的會話ID。通過發佈到MQTT主題，可以由接收設備生成此會話ID。 防止這些類型的攻擊在幾種常見用例中是重要的。互聯網控制的爐灶存在，拋開效用，如果他們沒有使用不安全的命令，那將是很好的。其次，如果我是從一百個傳感器的數據記錄，我不希望任何人用垃圾填充我的數據庫。 實用加密 在Nodemcu上實施上述需要一些努力。您將需要編譯的固件，除了任何其他人之外，還包括“加密”模塊您的申請。不需要SSL支持。 首先，讓我們假設您與以下內容的內容連接到MQTT代理。您可以將其實現為來自加密學的單獨功能，以保持清潔。客戶端訂閱了SessionID頻道，該頻道適當地發布了很長的偽隨機會話ID。您可以加密它們，但這不是必需的。 1 2 3. 4. 5.

經濟實惠的台式電源對於房屋愛好者來說非常棒，具有大的電壓繁多以及低價格的限制。不去愛的種種？控制;很多有一個通常非常煩躁的單匝鍋，特別是在低電壓下。 該選項是將工廠罐更換為較大的電線纏繞10轉動單元，購買10倍的精度。沒有任何東西沒有減少，新的盆子沒有塑造舊洞，然而這一點沒有鑽孔就無法修復。同樣，原來的旋鈕不再適合，但這只是旋鈕升級的機會。 最終結果仍然是具有騷動控制的電源，但是避免屏風，Tippy攻絲旋鈕在您的目標100MV之內，您可以撥打到目標的10mV範圍內。這使得生活更容易，特別是在可能沒有電力指導的低壓作業上。 通過所有信息休息一下視頻後加入我們。

Apple iOS Advancement Scene已經到達一個地點，它將始終處於外觀者的關注下。關於移動創新和軟件的出現，這幾乎不足為奇。移動技術玩家在我們的日常生活中起著重要的作用，因此他們一定會受到嚴格的審查。圍繞“可愛路徑應用程序”的最新發生，同樣確保所有人的目光都牢固地固定在應用程序安全和保障上，以及開發人員對最近的媒體報導的反應。 考慮到這一點，似乎令人感動的是，加利福尼亞大學的一項研究團隊以及全球安全系統實驗室的一項研究團隊的最新研究發現了一些信息，這可能會對大多數人產生重大震驚。這兩個團隊創建了一份報告，該報告表明，與其官方的App Store商店相比，Cydia商店上的應用程序的應用程序洩漏和傳輸個人數據的可能性較小，並且傳輸個人數據的可能性較小。 不可否認的是，越獄不僅非常受歡迎，而且同樣是龐大的業務，但是特定人在iOS內部規避蘋果安全和保障的主要問題之一是，它將使操作系統以及應用程序和應用程序受到保護，並受到保護。更容易受到隱私洩漏或數據丟失的影響。研究人員發現這是相反的，五分之一的完全免費的應用商店應用程序故意將個人數據發布給開發人員。一個定制的工具被理解為PIOS是由團隊生產的，根據報告的標題，該工具是為了在iOS應用程序中找到隱私洩漏而開發的。 PIOS工具運行了1,407個完全免費的應用程序，App Store佔整體的825個以及Cydia的Bigboss存儲庫，構成了其他526個。 在由PIO分析的825個完全免費的應用商店應用程序中，其中21％的副本是用戶的UDID號碼的副本，並出於某種原因將其上傳回設計師。 UDID是一系列字母，也是每個設備不同的數字。令人擔憂的4％的應用程序檢查的應用程序通過GPS跟踪了小工具位置，並將其發送回了開發人員，其中0.5％的檢查應用程序發布了用戶的通訊錄，這是觸發了原始路徑崩潰的原因。 這些發現與從Bigboss存儲庫中檢查的Cydia應用直接形成鮮明對比，Bigboss存儲庫是在Cydia預裝的默認存儲庫之一。只有4％的越獄應用程序檢查了獨特的UDID標識符，只有一個應用程序真正跟踪了用戶的位置，並將其發送回開發人員。同樣值得注意的是，跟踪位置的一個應用程序確實稱為Mobilespy，並且是為此而開發的。 原因之一可能是事實是，為越獄設備提出軟件申請的人們更加愉快，並且要注意應用程序安全和安全問題，畢竟，越獄的創作者必須征服蘋果自己的安全和保障才能真正攜帶出於這個原因，因此有理由接受他們對此有廣泛的了解是合理的。在出版用戶通訊錄的煤的路徑情況下，業務首席執行官確實指出，他們不是特定的蘋果準則，可以避免開發人員避免這種習慣，甚至還沒有達到保險要求這是“行業共同的實踐”。該問題最終可能歸結為理解的開發人員以及隨後實施“進步指南”，但是，在一天結束時，蘋果應該做更多的事情來避免將應用程序洩露到應用程序中允許的應用程序洩漏個人數據店鋪。 賽迪亞開發人員傑伊·弗里曼（Jay Freeman）最近在隱私問題上也有自己的狀態，並被引述為： 如果您關心這種類型的事情，您應該越獄手機，而不是蘋果對什麼既出色又不好做出決定。人們認為越獄是關於決定蘋果不喜歡的事情。但是，它同樣使您可以選擇蘋果喜歡的東西不好。我們為您提供阻止您不相信應用程序上的應用程序的性能的工具。” 下次您選擇從App Store下載免費的充電應用程序時，也許您會停止並質疑它是否會將您的任何類型的個人數據發送給開發人員。思考的食物。 您可能同樣喜歡檢查： 蘋果：iPhone上報告的iOS 5 iMessage錯誤不是錯誤 iOS 5錯誤可能會將您的圖片留在iPhone上，以供所有人看到null