PGP Signature 驗證@ Windows

採用 Gpg4win 的做法： 

1. Gpg4win 下載 後直接做安裝
   
2. 以 Veracrypt 軟體為例。首先到 Veracrypt 下載 安裝檔案、 PGP Signature 檔案 與 VeraCrypt PGP public key
   
3. Signature 驗證：
• 執行 Gpg4win Kleopatra
• 建立個人 OpenPGP 金鑰配對 (Key Pair Creation Wizard)，輸入名稱與電子郵件後直接點選 "Create 建立"
• 點選 Import 功能，將  VeraCrypt_PGP_public_key.asc Import。
  
• 此時會在 All Certificates 項目看到匯入的資料，點選 "VeraCrypt Team (2018 - Supersedes Key ..." 項目會出現 Certificate Details 視窗。點選視窗內的 Certify 按鈕。將自已產生的 Key 與 "VeraCrypt Team (2018 - Supersedes Key ..." 項目做 "保證" 動作。
• 點選 "解密/檢查" 項目功能。點選要確認的 .sig 檔案 (如，VeraCrypt Setup 1.25.9.exe.sig) 後就能看到驗證成果。

其它做法：

1. 下載 GPG Plugin Portable 。安裝後將 GPG 目錄設定在系統內設定環境變數方便使用。或是安裝Gpg4win後也可以直接在終端機直接下指令
2. 指令參考：

• gpg.exe --import VeraCrypt_PGP_public_key.asc
• gpg.exe --verify VeraCrypt Setup 1.25.9.exe.sig VeraCrypt Setup 1.25.9.exe
• 執行後有顯示 gpg: Good signature 表示OK
  

gpg 指令參考

• gpg --import key..asc
• gpg --list-keys
• gpg --delete-key 'veracrypt@idrix.fr'
  

參考文件

• Gpg4win Compendium 3.0
• How to Verify PGP Signature of Downloaded Software on Linux 
• GPG Quick Start 
• Verifying Package Integrity Using MD5 Checksums or GnuPG 
• Verifying phpMyAdmin releases 
• 使用 GnuPG 確保傳輸重要檔案或文件的過程能確保機密性與完整性 
  

Google analytics 使用gtag 加入 event 事件

新版本的 google analytics 追蹤碼不能使用 ga 的機制
e.g. ga('send', 'event', [eventCategory], [eventAction], [eventLabel], [eventValue], [fieldsObject]);

改寫網頁後，觀察了很久，一直很納悶為什麼在 google analytics 平台內沒有看到資料。後來才發現到這件事。基本上網路上所找到的範例基本上還是以 ga 的方法為主。

目前新版本的 google analytics 追蹤碼要導入事件，要採用的方法是要改用 gtag 的方法。撰寫方式參考相關資料內的連結。

為了方便使用，參考 google 的範例，稍微調整成下面的方式：

function trackEvent(eventCatalog,eventAction,eventValue) {
    gtag('event', 'click', {
        'event_category' : eventCatalog,
        'event_action' : eventAction,
        'event_label' : eventValue,
        'value' : 1
    });
}

這樣的方式前端頁面要使用時，只要在需要加入監控的連結內加入此 function 即可，範例如右 <a href = 'https://www.google.com' onclick="trackEvent(TEST, click,Google)">Google</a>

google analytics 內的「報表 =>行為 =>事件」內的資料需要等待一段時間才能看到數據。想要即時知道到底改寫正不正確，可以利用「報表 =>即時 =>事件」功能頁面，再同時打開測試頁面點選測試 URL。這個時候若有在該功能頁面看到數據就表示新加入的 google event tracking 的功能是沒有問題的。


相關資料：

• 使用 gtag.js 追蹤出站連結
• Google analytics 将 gtag.js 添加到您的网站
• Google analytics 「事件」簡介
• Google analytics Measure Google Analytics Events
• Google Analytics: From analytics.js to gtag.js
• Google Analytics 最新版本，gTag來襲！ 

主機密碼與權限修改

同仁發現入口處的 ALL IN ONE 電腦被更動過權限。

其實想想一點也不覺得奇怪。不管防堵的多密，總還是會有漏洞可鑽。

當然我不知那位讀者是如何做到的。但我聽到的當下，最直覺想到的就是利用 ubuntu Live CD or USB 來做。稍微 Google 了一下，資料馬上就得到了。這情境，當然也適用於不小心忘了自己所使用的電腦的登入密碼的狀況所使用。

參考資料：

• 【Linux】利用chntpw變更windows使用者密碼

Giveaway of the day

Giveaway of the day(GAOTD)，這網站每天會提供一些超值的商業軟體，不過它僅能在它的免費下載期間下載並安裝才能使用。

此方式己失效，GAOTD己改變方法了 (2012.07)。
另一個提取方式的參考  http://roov.org/2013/02/giveaway-of-the-day/ (2013.12)

它的運作機制，研究了一下，它會有一支 atctivate.exe連向它自己的網站伺服器做驗證的動作，驗證完成後再將以下載完成的檔案解壓縮到一個暫時的特定目錄；這時如果想要永久保留這些「可安裝的程式檔」，僅要找出特定目錄內的檔案再將它另外備份出來就可以了。

看到這篇的介紹，可以不用這麼麻煩，有現成的程式可以使用。使用的方式也很簡單(雖然是義大利文不過也有英文介面)，按下 Browser 後指向 GAOTD 的檔案，讓 Giveaway Forever 程式處理，最後保存 Giveaway Forever 所處理後的檔案就可以了；今天測試了一下，它所處理後的檔案是 0 Kb，也不知原因，改天再試看看了。

Wireless Hacking

稍微瞄過下文章後的感想。
家中的 Wireless AP 沒在使用時，還是關閉為佳。

• Wireless Cracking tools
• Essential Wireless Hacking tools
• Tools -
• Aircrack-ng
• NetStumbler
• ......