25 posts tagged with "科技"

實體金鑰的夢​

前陣子看到黑暗執行緒大大 DIY 實體金鑰，我看了之後非常的心動，後來我就做了一番研究，就發現到有一個項目叫 OpenSK，而且還是 Google 開發的，所以我就去買對應的開發板 nRF52840 回來玩玩，又很剛好的我朋友要從淘寶帶東西，所以我就請他幫我帶了兩根 nRF52840 的 Dongle 回來。

送來的時候包裝真的滿精緻的，我非常期待的打開來玩玩，結果悲劇就發生了。

大踩坑​

先讓大家看看正面和背面到底長怎樣

如果你有研究過那個 OpenSK 這個專案就會發現到有點不對，為什麼沒有可以按的地方。一般來說實體金鑰在驗證的時候是需要手動去按下上面的一顆按鈕，但是這個確是整個都封死的，我本來想說算了，因為內部也確實有按鈕。

接著我就試著進行燒錄，我先是燒了 uf2 bootloader 進去，因為我插入的時候是沒有這個 bootloader 的，結果燒完我就發現完了。整個板子的燈都不會亮了，不管我怎麼按上面的按鈕怎麼操作都沒有用，它就這樣死掉了。快 200 元的台幣就這樣沒了，滿可惜的，但是我也無能為力。

小結​

如果你很剛好的想要試用 OpenSK 這個專案，記得不要買到跟我同樣的 Dongle，這個是完全不能用的方案，一燒錄就整個壞掉了，希望能幫到差點掉到坑裡的人。

大新聞​

下面的貼文轉自黑暗執行緒：

看到一起令人發毛的資安新聞。
韓國最大電信業者 SK Telecom (SKT) 遭駭客入侵，導致高達 9.7GB 的資料外洩。要命的是，其中包含 IMSI、MSISDN、ICCID 等重要資料，駭客可以用它複製一模一樣的 SIM 卡分身，跟原本的 SIM 同時宣稱自己是本尊。
若真假 SIM 卡手機同時開機，兩張 SIM 卡將互相搶占網路連線(電信廠商有機會偵測異常並同時停用)；若被害者手機關機或未上線，則假 SIM 卡手機便能取而代之，接收認證簡訊，完成密碼重設、信用卡刷卡 OTP 確認等程序。若駭客同時掌握姓名、身分證號、銀行帳號等個資，加上能收簡訊，在一些線上身分驗證流程裡幾乎可以完美扮演被害人啊~ 超可怕。
幾點心得：
1. 原以為 SIM 卡會像信用卡晶片用硬體（HSM）保護的非對稱金鑰驗證身分，不像對稱式金鑰會有機會被複製，但看來並非如此，沒我原本想像的安全。
(查了資料，3G/4G/5G 協定一直都是對稱式加密，應是基於速度與成本下的決策)
2. 之前有聽過簡訊驗證不如 Passkey 無密碼登入(若使用 HSM 硬體保護金鑰且不備份雲端)的說法，簡訊於此事件再中一刀。
3. 查了新聞提到的 USIM 保護手法，一些做法是採雙向認證(多驗證及識別手機本身)、強化長期加密金鑰（Ki）管理及提高演算法安全強度。(用對稱式金鑰這點仍是軟肋，但除非手機通信協定全面升級，無能為力)

不要再使用簡訊驗證了​

我早在很久以前就放棄簡訊驗證碼，全部都轉到驗證器，主要是因為當時覺得手機號碼有被電信公司停話的可能，我不想要把我的服務綁在一間公司上，所以我才會轉用驗證器。

如果你是第一次聽說的話也不用擔心，因為要轉換是非常簡單的事。以 Google 為例，只要去控制中心就能調整。

下面被我打叉的就是簡訊（SMS）驗證選項。

我最推薦的驗證器有兩款，參考了 Privacy Guides 的建議，分別是「Ente Auth」和「Aegis」。兩者都非常的好用而且也都有中文版，我都使用過。我個人覺得 Ente Auth 的畫面好看一點，但功能兩者都差不多。如果想要自行選擇，一定要記住選有「匯出」功能的。像 Authy 就不是好選擇，因為只要你用了就離不開了，未來要換到別款只能重新綁定。

未來我想做的嘗試​

我目前都是使用驗證器，但未來我會試試使用實體金鑰。最常見的像是 YubiKey，但那個有點太貴了，所以我打算採用 DIY 的方案，有機會再分享。

下載工具的最後大魔王​

我從國小開始，三不五時就會有從 Youtube 下載影片的需求，我認為這種需求應該是每個人從小到大，甚至到出社會都會需要用到的技能。最常見的方法就是去網路上找「Youtube 影片下載器」之類的網站，這些網頁常常每次找的都不一樣，可能這次可以用，下次就失效了。我們需要一個可以穩定長期使用的工具，那就是 yt-dlp。

yt-dlp 是一套開源工具，完完全全免費，可以選擇的選項還非常多，要下載什麼格式都行，但是安裝上比較麻煩一點點，我覺得這個可能是它不那麼流行的原因，但如果你像我一樣會使用終端機，或者你常常要下載音樂或影片，那這個工具你一定不能錯過。

萬事起頭難​

1. 先下載兩個程式。你一定會有疑問為什麼要下載兩個而不是一個？其實這也非常好理解，因為 yt-dlp 是用來下載，而 FFmpeg 是用來處理格式的問題，兩者都是開源的。FFmpeg 本身是一個非常強大，也是各大播放器的核心元件之一。

   • yt-dlp 下載點
   • 
   • FFmpeg 下載點
   • 

2. 兩者都下載之後就到你的下載資料夾，先把 ffmpeg 那個 .zip 解開，之後應該會長得像下面這樣。

   • 

3. 之後點開剛剛解壓縮的 ffmpeg 資料夾，一路點進裡面的 bin 資料夾，之後把 yt-dlp.exe 拉進去。

   • 

4. 接著把整個 ffmpeg 資料夾拉到 C:\ 底下

   • 

5. 到設定的環境變數裡面設定變數。範例的作業系統為 Windows 10，其它系統大同小異，再請讀者自行上網搜尋步驟。路徑為「控制台」->「系統」->「關於」->「進階系統設定」->「環境變數」。如果圖片太小，可以點擊右鍵並選擇「在新分頁中開啟圖片」，這樣會比較清楚。

設定	系統	關於	進階系統設定	環境變數

6. 雙擊位於上方的 Path，之後會進入編輯區，此時，到你剛剛複製到 C 槽的 ffmpeg 資料夾，和之前一樣點進 bin 資料夾內。接著，點擊上方的路徑欄將路徑複製下來。接著回到編輯區，點擊「新增」把剛剛複製的路徑貼上，之後點擊「確定」就行了。

   • 
   • 
   • 

7. 你已經安裝完成了，接下來要測試是否成功。做法很簡單，就是開啟 CMD，就是那個最讓你害怕的小黑窗。接著就可以測試了，分別輸入 yt-dlp 和 ffmpeg 應該要看到和下方圖片類似的回覆。

   • 
   • 
   • 

8. 如果正確的話就安裝完成了喔！

開始使用​

在你想要下載的資料夾，點上方的路徑欄，輸入 cmd 就可以開始使用。

所有的操作都會在 CMD 裡面執行，但是也不要感到害怕，這一點也不難。你可以先試著輸入下方的範例指令，看看運行的結果。

yt-dlp -f mp4 https://youtu.be/dQw4w9WgXcQ

如果執行沒有發現什麼錯誤，那麼你已經成功下載了一部影片了，趕快去你的資料夾看看吧！

等等，我不就要記一堆指令？​

這個問題問得非常的好！以前確實需要記住一部分，而且常常要去看官方的手冊，用想的就知道非常麻煩，但都 2025 年了，誰還在這樣？我們可以直接使用任何你覺得習慣的生成式 AI，只要像下面這樣，就馬上得到了一條可以用的指令。

你成功學會使用了​

如果你能成功下載影片，那你就得到了一項強而有力的武器。有了這個之後就再也不用依賴一堆奇怪的網站來幫你了，而且你也學會了怎麼使用終端機工具，其實都是很類似的操作，一開始可能會覺得不習慣，但這真的不難。

當你看著 BUG，BUG 也看著你​

今天發現一件挺特別的事。早上上課時，我在寫某個程式碼，結果一直遇到 BUG，怎麼檢查都過不了，顯示是語法錯誤。照理說，語法錯誤應該不難找才對。 剛好老師經過，我們就一起排查問題。找了好久，還是沒找到原因，一直出現一個莫名其妙的錯誤訊息。後來老師離開後，我乾脆重啟 IDE，沒想到這時突然跳出一個對話框，按了一下就解決了！之前怎麼搞都沒出現過這個對話框，到底是想怎樣啊？

成功合成之後拍下來了，原先一直接紅色的叉叉

不是第一次也不會是最後一次​

我覺得最煩人的 BUG，就是你看它的時候它不在，三不五時又冒出來搗亂。這種 BUG 跟沒被記錄在 Log 裡的問題一樣麻煩。今天就是這種情況！之前我也遇過類似的事，程式碼怎麼跑都是錯的，拿給別人一看，卻又正常運作了。這種問題真的超煩，BUG 就像有自己的意識一樣。當然，我們都知道程式碼不可能有意識，一切一定有個根本原因，只是常常找不到，偏偏它還時不時跳出來嚇你一跳。

為什麼要去 Google​

你可能是第一次聽到「去 Google」這句話，但這不會是最後一次，因為這是我近一兩年一直在做的事。

起因是 Google Photos 突然從免費轉到付費，加上我的相片越來越多，現代手機鏡頭一個比一個強，很快就會放滿我的 15GB 空間，想想就覺得滿幹的，所以我一開始把照片存在本地，但後來發現這樣存取不太方便。在看了 Wiwi 我決定開始嘗試自架服務。

Google 的主要業務是廣告，有一句話我很喜歡：「如果一個服務免費，那麼你就是商品。」這句話非常適用於現代科技巨頭，從 Google 到 Facebook，哪一家不是靠廣告賺錢？對我來說，廣告作為收入來源其實沒什麼大問題，畢竟以前的電視也是這樣。但讓我最不爽的是精準廣告，針對用戶的習慣和行為投放廣告，這讓我非常反感。因為這代表你平常的行為都被監視著，完全沒有隱私的感覺。

去 Google 化的另一個重要原因是你的資料，包括照片和雲端硬碟裡的檔案，可能會被用來訓練 AI，我很不喜歡這種感覺。

去 Google 很困難嗎？​

老實說，一開始我的很多服務都綁在 Google 上，照片也是。但因為我決定把資料存在本地，所以對我來說，去 Google 化不算太難。可能因為我本來就跟 Google 保持一定距離。我覺得最難的不是去 Google，而是學會自己架設各種服務。我常常為了一個小東西花了好幾天時間，這確實不是一般人能接受的，技術門檻不低。

我一開始用 Docker 架設，大多數服務都有提供 Docker Compose。如果你不知道我在說什麼，別擔心，如果你打算自架服務，這些東西你遲早會遇到，是一定要學的。後來我轉用 Kubernetes（k8s），聽說學習曲線很陡，但我覺得還好。我大概學了一週，實際架設了幾個服務，加上現在有生成式 AI，還可以參考別人的經驗，所以學起來很快。架好之後，只要設定正確，其實不容易出錯。

如果你覺得上面聽起來不難，那還有一些事情需要考慮。自架最麻煩的就是遇到錯誤，尤其是在架設新服務時，總會莫名其妙出現奇怪的 BUG。這是會讓你非常痛苦的體驗，但也不可避免。不過，這個過程確實能學到很多東西。如果沒有相關背景，還能成功架設雲端、相簿等服務，那真的非常厲害了。

如果不會自架也沒關係，不是每個人都時間和精力研究這些東西。你可以試試替代方案，例如 Ente Photos，它提供免費額度，且不會追蹤你的資料，但免費版只有 10GB，想增加容量就得付費。

我做了什麼​

如果你看了前面，一定會好奇我到底做到什麼程度，我目前架了 Baikal、AList、Ente Photos，分別對應日曆、聯絡人、相簿和雲端硬碟。

你可能會發現，我沒提到 Gmail 的替代方案。這不是因為我懶，而是因為郵件服務不是普通人能輕易架設的。你需要 VPS（虛擬專用伺服器），簡單來說，在家裡沒辦法輕鬆架設郵件服務，得去租主機。那我怎麼辦？我改用 Proton Mail，這家公司提供免費信箱， 非常好用。