狐狸酱

(∩•̀ω•́)⊃-*⋆biubiubiu~ 这是一个帅气的狐狸~

美联邦通讯委员会(FCC)主席指出:网络中立是一个错误

FCC 主席 Ajit Pai 在 2017 年移动世界大会演讲期间表示,网络中立是一个错误,FCC 现在将对此采用更加宽松的监管措施。他表示,网络中立性为宽带市场注入了巨大的不确定性,不确定性是增长的敌人。Ajit Pai 长期以来一直反对网络中立,并在 2015 年投票反对该提案。 Ajit Pai 的论点是,互联网提供商在旧规则下做得很好,新的规格损害了互联网公司的投资。 Ajit Pai 表示,FCC 委员会批准零评级计划,这正是为什么美国所有四家运营商现在提供无限数据计划的原因。这些公司的无限数据计划具有高度竞争性,因为上一届 FCC 主席制订了一套明确的规则,它们处于竞争环境。Ajit Pai 认为 FCC 委员会不应干涉市场上的任何东西,除非市场发生巨大的失败,Ajit Pai 认为竞争可以保持开放的互联网,即使没有任何第三方制订的规则。 Ajit Pai 已经担任该委员会的主席一个多月,在那段时间,他已经开始采用几种不同的方式打压网络中立性,包括批准零评级,缩减透明度规则,建议停止主要的新隐私要求。 稿源:cnBeta;封面源自网络

五角大楼宣布开源代码库,公开部分项目非保密软件代码

五角大楼宣布了开源代码网站 Code.mil(或 github.com/deptofdefense/code.mil),将用于公开联邦雇员开发的非保密软件代码。 目前项目还只是一个雏形,还没有代码公开。五角大楼正在征询有关开源代码授权协议的意见,根据代码授权的一个提议,这些公开的代码是没有版权的,美国公民可自由的将这些公开的代码用于私人项目或公共项目。 稿源:cnBeta;封面源自网络

Avecto 年度报告:94% 微软高危漏洞可通过关闭管理权限消除

根据端点安全公司 Avecto 的年度微软漏洞报告结论:94% 的微软软件高危漏洞可通过关闭管理权限消除;对于浏览器而言,100% 的 Internet Explorer 和 Edge 漏洞可通过关闭关闭管理权限消除。 2016 年微软软件报告了 530 个漏洞,其中 36% (189) 被归类为高危漏洞;Windows 10 系统发现的漏洞最多,有 395 个,93% 的 Windows 10 漏洞可通过关闭管理权限消除;Microsoft Office 发现了 79 个漏洞,其中 17 个高危。 稿源:cnBeta;封面源自网络

Google E2EMail 加密电子邮件代码宣告开源

Google 一直擅长分享其丰富的信息,包括将其全部捐赠给开源社区。这一次轮到了 E2EMail,一个实验性质的端到端加密系统。E2EMail 由 Google 开发,内置 JavaScript 内部开发的 JavaScript 加密库。它提供了一种通过 Chrome 扩展程序将 OpenPGP 集成到 Gmail 中的方法。消息的明文单独保留在客户端上。 E2EMail 在谷歌当前一个中央密钥服务器上进行测试,根据最近的密钥透明度公告显示,OpenPGP 方式的核心密钥坚实,可扩展,因此这种解决方案,取代了传统上与 PGP 一起使用的有问题的网络信任模型。 E2EMail 代码目前已经上传到 GitHub,每个人都可以访问查看代码。端到端加密被视为所有隐私问题的解决方案,可以避免政府监控,中间人攻击等。即使公司也可以通过尽可能最好地保护他们的通信来保护他们免受工业间谍侵害。 在过去几年中,尤其是在爱德华·斯诺登提供有关美国国家安全局的监听密码之后,越来越多的服务实施了端到端的加密服务,包括像 WhatsApp 和 Signal 这样相当知名的消息应用程序。 电子邮件服务,应用程序和社交网络都已开始关闭其数据流,以帮助用户和保护他们免受监视和网络威胁。话虽如此,端到端加密还没有到达互联网的所有角落。 稿源:cnBeta;封面源自网络

外媒曝德国情报机构监控外国记者

德国明镜报道,德国外国情报机构 BND 自 1999 年开始对一些外国记者的电子邮件、传真和电话记录进行监控。其中包括 BBC、路透社、《纽约时报》、津巴布韦独立报纸《Daily News》(2003 年被 Robert Mugabe 关闭)。 美国 NSA 告密者斯诺登此前向全世界媒体透露了美国国家安全机构全球范围的监视计划。他说,这一计划也得到了德国间谍机构 BND 和英国间谍机构 GCHQ 的协助。在 2 月 16 日,德国总理默克尔在议会的聆讯中作证。根据目前所揭示的信息,她也在美国情报部门的监视名单上。 稿源:solidot奇客 ;封面源自网络  

谷歌披露了另一个未打补丁的 Windows 漏洞 Edge 用户处于风险之中

谷歌公布了另一个未修补的 Windows 安全漏洞详细信息,根据谷歌的 Project Zero 计划政策,该漏洞在通知对方 90 天后仍然不修补,那么谷歌将公布此漏洞。这一次,漏洞存在于微软 Edge 和 Internet Explorer 浏览器的一个模块当中。谷歌工程师 Ivan Fratric 发布了一个概念证明,这个漏洞可以使浏览器崩溃,为潜在的攻击者获得受影响系统的管理员权限打开了大门。 Fratric 在 Windows Server 2012 R2 上对 64 位的 Internet Explorer 进行了分析,但 32 位 Internet Explorer 11 和微软 Edge 都应受同一漏洞的影响。这意味着 Windows 7,Windows 8.1 和 Windows 10 用户都暴露在了同一漏洞当中。该漏洞在 11 月 25 日报告给了微软,根据谷歌 Project Zero 的政策,该漏洞在 2 月 25 日公开,因为微软尚未提供补丁。有趣的是,微软已经推迟了本月应该发布的例行补丁,现在计划在 3 月 14 日发布安全更新,但还不知道公司是否真的在其中修复了谷歌发现的此漏洞。 这是 Google 在短短几个星期内披露的第二个安全漏洞,谷歌还公布了在 2016 年 3 月首次向微软报告的 gdi32.dll 中漏洞详细信息。谷歌 Project Zero 成员 Mateusz Jurczyk 试图说服微软在 2016 年 6 月修补这个缺陷,但问题只有部分解决,所以在 2016 年 11 月向谷歌提交了另一份报告。在 3 个月的窗口过期后,谷歌公布了此漏洞的细节。 谷歌这次给我们带来了两个不同的安全漏洞,微软尚未推出补丁进行修复,很难相信微软会在 3 月 14 日之前外修这些漏洞。 稿源:cnBeta;封面源自网络

SHA1 碰撞攻击的第一位受害者:WebKit 版本控制系统

SHA1 碰撞攻击出现了第一位受害者:WebKit 项目使用的开源版本控制系统 Apache SVN(或 SVN)。在某人上传 Google 公布的两个 SHA-1 值相同但内容不同的 PDF 文件后,版本控制系统出现严重问题。SVN 使用 SHA1 去跟踪和合并重复的文件。SVN 维护者已经释出了一个脚本工具拒绝 SHA1 碰撞攻击所生成的  PDF 文件。 与此同时,版本控制系统 Git 的作者 Linus Torvalds 在其 Google+ 账号上称,天没有塌下来,Git 确实需要替换 SHA1,这需要时间,并不需要现在就去做。 稿源:cnBeta;封面源自网络

人教版高中教材再遭“篡改网页”:打开是赌博网页

继前几日网友举报人教版高中语文选修教材里的网址出现淫秽色情网站后,近日,又有网友举报称,在使用人教版高二生物 3 必修课本时,发现教材中提供的一个网址为赌博网站。今天下午,记者尝试打开该网页,发现已无法显示。 根据网友提供的照片信息,在课本 14 页左下方的“登录信息”标签下有 3 个网址。记者分别输入浏览器后发现,第一个和第三个网址指向为人民教育出版社官网和“中国基础教育网”。被网友举报的是第二个网址 “www.sw-sj.com”。 在网友之前对“赌博网站”的截图中可以看到,页面的醒目位置显示有“斗地主小游戏”“赌场”等字样,还有类似广告宣传的大幅图片及文字。该情况稍早前已被多家媒体证实。 在此之前,人民教育出版社官方微博已针对“语文选修教材《中国古代诗歌散文欣赏》中出现黄色网站”一事作出声明,查明教材提供的网页链接遭到篡改,并已向网络监管部门做了举报。 另据媒体报道,人民教育出版社相关负责人今天表示,在语文教材出现了链接问题后,就针对所有教材提供的网页链接做了一次整体摸查,上述情况之前也已知道。不过,想在完全整理检查完后,再做统一的处理,后续会有处理办法。 稿源:cnBeta 节选;封面源自网络

Linus Torvalds 回应 SHA-1 碰撞攻击“不必过于担忧”

Google 与 CWI Institute 合作演示了对 SHA-1 的碰撞攻击,公布了两个 SHA-1 哈希值相同但内容不同的PDF 文件。这一消息在 Git 社区引发了 Git 对象碰撞攻击可能性。 Git 作者 Linus Torvalds 对此回应称 Git 不用担忧 SHA-1 碰撞攻击。他解释说,git 不只是哈希数据,还预留一个类型/长度字段,增加了碰撞攻击的难度,相比之下 pdf 文件使用了一个固定的头,为了实现相同的哈希值攻击者可以在里面加入任意的静默数据。所以 pdf 文件的不透明数据格式使其更容易成为攻击目标。git 也有不透明数据,但都属于次要的。他表示,git 可以很容易加入额外的完备性检查抵抗碰撞攻击,它并不面临迫在眉睫的危险。 稿源:solidot奇客;封面源自网络

代码缺陷导致 CloudFlare 泄露大量客户站点的密码等私密信息

据外媒报道,知名网络优化服务(CDN)提供商 CloudFlare 最近遭遇了一起严重的泄露事件,包括 cookies、API 键值、以及密码等在内的许多敏感个人信息被曝光。另据昨晚一篇博文的详细披露,该公司为数百上千万个互联网站点提供 SSL 加密。虽然 CloudFlare 当前暂未证实这批信息被恶意利用,但搜索引擎上的部分缓存又是另一个问题。 2 月 18 号的时候,在谷歌 Project Zero 安全小组工作的 Travis Ormandy 最先在 Twitter 上爆料了此事。但实际上,这个缺陷或许可以追溯至去年 9 月 22 号。 CloudFlare 表示,规模最大的一次信息泄露始于 2 月 13 日,当时发生的代码异动表明每秒 3,300,300 次的 HTTP 请求可能导致了内存溢出。 在被缓存的数据中,Ormandy 看到了某约会站点上的预订酒店和密码等完整信息。他在 2 月 19 号写到: 我不知道 CloudFlare 背后究竟有多少互联网站点,直到发生了这件事。这包括完整的 https 请求、客户端 IP 地址、完整的响应、cookies、密码、键值、日期等一切内容。 在 Ormandy 发布了推文之后,CloudFlare 工程师禁用了导致出现问题的三项功能代码,并与搜索引擎方携手清理缓存信息。 稿源:cnBeta;封面源自网络