分类: 推荐阅读

Firefox 52 将停止支持所有 NPAPI 插件,Flash 除外

计划于 3 月 7 日发布的 Firefox 52 将停止支持所有 NPAPI 插件,但最流行的插件 Flash 除外。NPAPI 代表 Netscape Plugins API,最早是 Firefox 的前辈 Netscape 开发的,后来成为其它浏览器共同支持的插件标准。 随着 Web 的演化,互联网标准组织逐渐开发出了独立的 Web API 在无需安装插件的情况下支持绝大部分插件所提供的特性。Mozilla 是在 2014 年宣布 Firefox 将逐步停止支持 NPAPI 插件。旧的 NPAPI 插件能在 Firefox ESR (扩展支持版本)  52 上继续工作,但 ESR 53 之后将不再支持。这一改变不会影响到扩展,但随着Firefox的扩展技术切换到 WebExtensions,众多的扩展也将停止工作,已有许多流行的扩展宣布停止更新。 稿源:solidot奇客,封面:百度搜索  

贝克汉姆“邮件门”后发声,私人邮件遭黑客窃取并恶意篡改

欧洲的几家媒体,包括法国《队报》,英国《镜报》,《每日邮报》日前公布了贝克汉姆的一系列私人邮件,这批私人邮件揭露贝克汉姆参与慈善事业是为了获取爵位。贝克汉姆的公关顾问、最亲密助手西蒙-奥利维拉表示,黑客在窃取邮件之后故意进行了修改,而联合国儿童基金会也发表声明力挺贝克汉姆。 前曼联队球员大卫.贝克汉姆,前英格兰足球队队长贝克汉姆一直以来都保持着良好的个人形象。除了继续巩固自己在体育界,娱乐圈的地位,还积极参与慈善事业,出任联合国儿童基金会的形象大使,多次为联合国儿童基金会筹集资金,引来赞誉声无数。但黑客发布了大量贝克汉姆私人邮件称他所做的一切都是为了获取爵位,其在 2013 封爵失败后大怒,在邮件中说提名他获勋章的委员会老大是“毫无欣赏力的傻 X (unappreciative c****)”等言论。邮件也披露了一些小贝和联合国儿童基金会的关系,称其发邮件给基金会索要了 6685 英镑的来回机票交通费等等。 贝克汉姆团队对此的回应,他的发言人表示: “这个事情是基于一些从第三方服务器窃取的,过期且经过改写的材料断章取义拼接而成,意在故意给小贝造出一个不准确的印象”。 稿源:腾讯新闻,有删改,封面来源:百度搜索

黑客组织“匿名者”拿下近 20% 黑市网站:仅用 21 个步骤实现

据外媒报道, 当地时间 2 月 3 日,匿名黑客组织攻击入侵了暗网托管商 Freedom Hosting II(以下简称 FH2 )的服务器窃取了 75GB 文件以及 2.6 GB 的数据库,导致其托管的 1 万多个 Tor 网站下线。据独立安全调查员 Sarah Jamie Lewis 公布的一份报告显示,FH2 总共运行了近 20% 的黑市网站。而没过多久,自称发起该攻击的黑客组织联系媒体并提供了细节信息。 黑客组织称其最先是在 1 月 30 日攻破 FH2,但当时只拥有阅读权限。也就是说,那个时候他们还无法进行任何的文件更改或删除。但后来他们在上面发现了 10 个大型的儿童色情网站,且网站文件占用的空间有 30GB 远超过 FH2 为每个网站提供的 256MB 磁盘配额。正因为如此,黑客才决定对其发起进一步的攻击。 至于是如何拿下 FH2,黑客表示他们仅用了 21 个步骤就得以实现。简而言之,先创建一个新的 FH2 网站或登录已有的一个 FH2 网站,然后对配置文件中的一些设置展开调整,随后对某一目标的密码进行重置、打开 root 访问,最后使用全新的系统权限重新登录即可。 该黑客表示,他们已经公布了大量来自 FH2 的系统文件,但并未涉及用户数据。考虑到 FH2 网站存有大量的儿童色情内容,所以他们并不打算对外公开,但他们倒是愿意将其提供给将会把这些数据提交给执法部门的安全研究员。 据 cnbeta 和 ibtimes 消息整理,封面来源:百度搜索

与奥巴马的黑莓定制机相比,入侵特朗普的 Android 手机更加容易

尽管新上任的美国第 58 届(第 45 任)总统 唐纳德·特朗普 说过要重视网络安全,但他仍在通过一部 Android 智能机来发布 Twitter 消息。《纽约时报》的报道称,即使已经在 2017 年 1 月份正式以总统的身份开展工作,但特朗普并不打算放弃该手机的使用权限。几周以来,他的推特小尾巴都是“来自 Android 手机”。 在一张拍摄于 2015 年的照片中,可知特朗普似乎在使用一部古老的 Galaxy S3 智能机。要知道,该机型已经将近一年多没收到软件更新了。对于统管国家事务的总统一职,手持一部消费级智能机是相当危险的。外国情报机构和专业的黑客团队,很容易对其发起有针对性的攻击。虽然它有许多已知问题(尤其是在 GS3 上运行的旧版系统),但这个问题并不能全怪 Android 。因为就算是最新款的 iPhone ,也难免受到间谍软件的困扰。 稿源:cnbeta,有删改,封面来源:百度搜索

打击勒索软件:Avast 新发布三款解密工具

捷克反病毒软件厂商 Avast 今日在博客上宣布已新推出三款勒索软件解密工具,目前该公司的“反勒索软件工具”的总数也达到了 14 款。Avast 反向工程与恶意软件分析师 Jakub Kroustek 在博文中表示:“在过去一年里,我们发现了超过 200 个勒索软件新株系,野外的利用有些泛滥,但好消息是数以百万计的 Avast 和 AVG 用户得到了保护,可以免受这种威胁”。 新发布的解密工具,解决了三款不同的勒索软件分支,分别是 HiddenTear、Jigsaw、以及 Stampado/Philadelphia 。 勒索软件 HiddenTear 已经肆虐了有一段时间,而且它的代码就托管在 GitHub 上,因此有许多黑客开始利用这款勒索软件的代码。通常它们的套路是,在所有文件被加密之后,勒索软件会在用户桌面上附上一份文本文件。 被勒索软件加密的文件后缀也是五花八门,比如  .locked 、 .34xxx 、 .bloccato 、 .BUGSECCCC 、 .Hollycrypt 、 .lock 、 .saeid 、 .unlockit 、 .razy 、 .mecpt 、 .monstro 、 .lok 、 .암호화됨 、 .8lock8 、 .fucked 、 .flyper 、 .kratos 、 .krypted 、 .CAZZO 、 .doomed 等 。 Jigsaw 则于 2016 年 3 月份被发现,许多变种都选择在屏幕上呈现同名电影 Jigsaw Killer 的照片。该勒索软件今年 1 月的新变种要求受害者阅读两篇有关勒索软件的文章,然后将会提供免费的解密密钥。 被 Jagsaw 劫持的文件后缀有 .kkk 、 .btc 、 .gws 、 .J 、 .encrypted 、 .porno 、 .payransom 、 .pornoransom 、 .epic 、 .xyz 、 .versiegelt 、 .encrypted 、 .payb 、 .pays 、 .payms 、 .paymds 、 .paymts 、 .paymst 、 .payrms 、 .payrmts 、 .paymrts 、 .paybtcs 、 .fun 、 .hush 等 。 Stampado 于 2016 年 8 月份开始冒泡,并在暗网上被出售。网络上有许多版本,其中就有 Philadelphia 。多数情况下,被其劫持的文件后缀为 .locked,且其会每隔 6 个小时删除一个新文件,除非你交付赎金。 稿源:据 cnBeta 内容重新整理;封面:百度搜索  

FBI 破解 iPhone 5c 的技术可能来自越狱工具

由于不愿意在 iOS 的安全方面妥协,苹果在 2016 年与 FBI 大战数回合,拒绝解锁一部恐怖分子所使用的 iPhone 5c。随后,FBI 向一家名叫 Cellebrite 的以色列数据提取机构救助,最终破解了涉案的 iPhone 5c。关于这一次 iPhone 破解过程,无论 FBI 还是 Cellebrite 一直都没有对外透露太多的细节。不过,现在有人出来“泄密”了。 根据 Motherboard 的报道,一名黑客日前在网上曝光了一份声称是储存在 Cellebrite 服务器里的文件,其中包含了大量与破解手机相关的数据。报道称,除了旧款 iPhone 之外,Cellebrite 破解手机的业务还涉及到 Android 和黑莓设备,而 Cellebrite 破解这些设备所使用的技术有一部分是直接借用面向公众发布的 iOS 越狱工具。 根据黑客描述,他从 Cellebrite 服务器里所获取的文件虽然已经经过加密处理,但是他和他的团队最终还是攻破了 Cellebrite 的数据保护墙。这也就意味着,Cellebrite 手上的数据并不是绝对安全的,这家数据提取机构破解 iPhone 后所得到的机密数据,很有可能会被其它安全机构又或者是黑客团队盗走。 稿源:cnbeta,有删改,封面来源:百度搜索

Google 将开源 Google Earth Enterprise

Google 官方博客宣布将于 3 月份在 Apache 2 许可证下开源 Google Earth Enterprise( Google 地球企业版,简称GEE),源代码将托管在 GitHub 上。GEE允许开发者构建和托管自己的私有地图和 3D 地球仪。开源的产品包括了 GEE Fusion、GEE Server 和 GEE Portable Server。Google 是在 2015 年 3 月宣布弃用和终止企业版销售。为了给客户足够的时间过渡,Google 提供了两年的维护期,这一维护期将于 3 月 22 日结束。Google 称,开源 GEE 将给予客户社区继续改进和推进该项目。Google 表示, Google Earth Enterprise 客户端、Google Maps JavaScript® API V3 和 Google Earth API 并不开源。 稿源:cnbeta,有删改,封面来源:百度搜索

Gitlab.com 误删 300 G 数据、五重备份失效已宕机 10 小时

GitLab.com 官方网站发布声明称由于其产品数据库问题导致的网站无法正常访问。据国外媒体报道称 Gitlab 网站疲惫的系统管理员深夜在进行数据库维护时,使用 rm -rf 删了 300GB 生产环境数据。等到清醒过来紧急按下 ctrl + c (强制中断程序的执行),只有 4.5GB 保留下来。然后恢复备份失败,网站已经宕了 10 个小时。 目前可以确认的是 Gitlab 的数据备份是无效的。报告称此次数据丢失并非仓库的数据,而是仓库相关的 issue 以及合并请求操作。 GitLab.com 号称有五重备份机制:常规备份( 24 小时做一次)、自动同步、LVM 快照( 24 小时做一次)、Azure 备份(只对 NFS 启用,对数据库无效)、S3 备份。这次事故发生时,所有备份全部无效!为了纪念这个事件,已经有人提议,将 2 月 1 日定为“世界备份日” 消息来源:oschina ,封面来源:百度搜索 ** 据 HackerNews.cc  2日 1:00 最新消息,GitLab 数据库成功已恢复事故前6 小时的最新备份。

Kernel.org 宣布将关闭 FTP 服务器

Linux 内核官网 kernel.org 宣布 将在今年 3 月 1 日关闭 FTP 服务器 ftp.kernel.org,12 月 1 日关闭mirrors.kernel.org。 kernel.org 解释了关闭 FTP 服务器的理由: FTP 协议是低效的,需要向防火墙和负载均衡守护进程添加复杂的程序; FTP 服务器不支持缓存和加速器,严重影响性能; 绝大数 FTP 协议的软件实现已经陷入停滞,很少更新。 它因此决定在年底前关闭所有 FTP 服务器,但为了最小化潜在干扰而决定将关闭过程分成两个阶段完成。 稿源:solidot奇客;封面:百度搜索

逾三分之一的中国网民愿为折扣而透露隐私

北京时间 31 日据俄媒报道,德国消费调研公司(GfK)的多国在线调查问卷结果显示,与其他国家相比,中国的网络用户更愿意为获得折扣等优惠透露个人信息。 据俄罗斯卫星网报道称,这份在线调查问卷要求受访者选择他们对以下声明的认可程度:“我愿意分享自己的个人信息(如健康、财政状况、驾驶记录、用电情况等),以此换取低价或个人服务等优惠。” 报道称,38%的中国受访者对此表示完全赞同,表示完全不认可的只有8%。愿意以个人信息换取优惠的网络用户比例居高的国家还包括墨西哥(30%)、俄罗斯(29%)和意大利(28%)。德国、法国、巴西、加拿大与荷兰的受访者最不愿意透露个人信息。 稿源:新浪财经,有删改,封面来源:百度搜索