分类: 推荐阅读

Google Chrome 团队决定明年弃用 HPKP 公钥固定标准

早些年谷歌工程师为了提高互联网整体的安全性避免因证书颁发机构违规操作而设计了 HPKP 公钥固定标准,允许网站在服务器部署证书颁发机构的哈希值, 若网站使用的证书与固定的哈希不对应则拒绝连接。公钥固定的现实意义在于如果有 CA 证书颁发机构违规向某个域名私自签发证书,那么也无法实现对网站的劫持。但是现在谷歌浏览器已经决定弃用 HPKP 公钥固定标准,预计将会在 2018 年 5 月份到来的正式版里正式弃用。 HPKP 公钥固定所携带的是中级证书或者根证书的哈希值,并与终端浏览器约定此哈希通常会在 1 年左右失效。如果 1 年后网站不再使用 TrustAsia 签发的证书而换成其他,这会造成实际使用证书与固定的证书哈希不同。那么浏览器就会直接拦截用户与服务器之间的连接,浏览器会认为新更换的 CA 可能是想进行恶意劫持。 安全研究员斯科特称攻击者可劫持用户访问并返回恶意 HPKP 头,这种操作并不会造成用户的数据发生泄露。但恶意 HPKP 头在被浏览器接收后会阻止用户正常访问网站,因为浏览器校验到的 HPKP 头与真实服务器不同。因此恶意攻击者可以利用 HPKP 公钥固定策略无差别的对所有 HTTPS 网站发起这种有点另类的拒绝访问攻击。虽然网站所有者始终没有丢失对网站和服务器的控制权,但由于固定哈希已经被接收因此没有办法清除缓存。 参与撰写和制定该标准(RFC 7469)的谷歌工程师称公钥固定变得非常可怕,该标准会对生态造成严重危害。除了恶意攻击者可以伪造 HPKP 头进行拒绝访问攻击外,如果证书发生泄露需要进行吊销也会引发较大问题。因为吊销旧证书后再请求签发新证书只能选择此前固定的 CA 机构,你不能再选择新的 CA 机构为你签发证书。 基于此方面考虑 HPKP 标准在制定时已要求网站至少固定两份哈希,因此最终更换证书时只能继续选择由 TrustAsia 或 Comodo 签发的证书, 其他的证书浏览器则会拒绝接受。目前,已经支持 HPKP 公钥固定的浏览器有 Google Chrome 浏览器、Mozilla Firefox 浏览器以及 Opera 浏览器。既然作为标准参与制定的谷歌都决定放弃支持,Mozilla Firefox 和 Opera 势必也会在后续停止支持公钥固定。 谷歌去年 8 月的数据显示全球启用 HPKP 的站点仅只有 375 个,这个数字对于整个互联网来说真的是微不足道。同时由于很多网站使用 CDN 或者如 CloudFlare 类的 DDoS 防护,此类服务本身就没准备支持 HPKP 公钥固定。最终谷歌会在 2018 年 5 月份发布的 Chrome v67 版中正式弃用 HPKP,使用该标准的网站可以提前撤销固定了。 稿源:蓝点网,封面源自网络;

苹果 iOS 11.2 修复了计算器快速输入时会出错的 Bug

苹果于 10 月 31 日向开发者发布了 iOS 11.2 第一个测试版。据悉,iOS 11.2 修复了计算器应用在快速输入时,会导致运算结果出错的 Bug。计算器 Bug 在 iOS 11 测试阶段就存在,直到 iOS 11.2 发布前,一直没有被修复。当我们在计算器应用中快速输入一些数字和运算符号时,有一些字符会被忽略。我们可以尝试一下输入1+2+3,并快速点击等于,结果并不是6。 当然,如果你每个字符都停顿一下,还是可以得到正确的结果。这个问题主要是因为动画的延迟导致两个或更多个数字添加到一起,所以1+2+3在快速输入时会得到 24 这个结果。这个问题会影响很多计算,除非用户慢慢的输入每个字符。 研究人员表示,问题出现在按钮亮起的动画阻碍了触控操作,直到动画效果完成。iOS 的这种动画等待操作的机制也让整体应用体验更流畅。目前,在 iOS 11.2 中,苹果移除了计算器 app 的动画效果,从而彻底解决了这个问题。 稿源:cnBeta、MacX,封面源自网络;

模糊水印“打码”照片并不安全:法国黑客复原 QR 码后获 1000 美元比特币钱包

据外媒报道,比特币企业家 Roger Ver 在法国电台接受采访时发布了一份有关比特币钱包的私人密钥和 QR 码作为观众奖品,并表示节目在播出后第一位访问该账户的人员可以转账并保留这笔奖金。当时,Ver 并不知道法国法律禁止电台播放账户私钥和 QR 码。因此,电台在未获取法院权限播出时模糊了 QR 码相关细节。 但是,这一消息还是立即引发了法国黑客与比特币爱好者的兴趣,他们开始寻找各种途径还原账户 QR 码,以获取这项观众奖金。不久,两名法国研究人员 Michel Sassano 和 Clement Storck 在率先复原了这个模糊的 QR 码后转走了比特币钱包中的 1000 美元。Michel Sassano 表示,他们共计耗费了 16 个小时对这个模糊的图像进行了逆向工程,并试图将模糊的点与 QR 码的标准格式联系起来,从而恢复了这份模糊的 QR 码图像。 由此可见,在社交网络上发布模糊的二维码或条形码图片是不安全的,因此研究人员建议用户在分享数据时,应使用完全的颜色块处理敏感细节,从而防止网络犯罪分子利用黑客工具获取其敏感信息。 详细分析报告:传送门 原文作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

男子路上捡到 U 盘,竟包含英国女王机场线路图等绝密信息

据英国媒体报道,一男子日前在伦敦女王公园路边树叶下发现一 U 盘,里面竟然有英国最大机场希思罗的安全机密文案,其中包括女王及各国政要在机场的安全措施中采取的确切路线。报道称,这严重威胁到国家安全。据悉,机场方面已展开 “非常、非常紧急” 的调查。 报道指出,男子在图书馆电脑查看该 U 盘内容,惊悉载有 76 个档案,包括地图、影片及文件,全部未经加密处理,亦不需要任何密码。当中包括英女王前往希思路机场的路线及所需保安措施、所有可进出机场禁区的身份证资料及若发生自杀式炸弹或恐袭时的巡逻时间表。 此外,机场特快线(Heathrow Express)的闭路电视分布图、隧道网及逃生通风井等位置亦一清二楚,还有内阁及外国代表使用机场的路线及保安,及超声波雷达系统的详细资料。有保安消息指出,这些资料恐成为恐怖主义或间谍活动的一大威胁,担心资料在暗网内供人购买。 稿源:搜狐sohu、东方网,封面源自网络;

Facebook 颁布广告新政策:增强政治广告透明度

据外媒 10 月 30 日上午消息,Facebook 于近期推出新政策,目的是让政治广告更易辨别。据称,Facebook 颁布新规则,让广告主遵循新政策可以增强透明度。如果是政治广告,必须通过审核,确认它的确是政治广告。广告内还会包含 “Paid for by”(告诉观众资金是由谁赞助的)信息,用户点击广告可以查看详细资料。有些广告主不愿意透露身份,为了解决此问题,Facebook 用机器学习技术进行识别验证,判断他们是不是政治广告主。 Facebook CEO 扎克伯格表示:“ 公司增加了几千名员工,让他们评估广告。此外,调整政策后用户在选举问题上可以知道哪些不同的群体正尝试传达信息,且任何人如果想破坏规则也会更加困难。目前,新政策无法清除所有不守规矩的人,但它是一个重要的进步,我们已经朝着正确的方向迈出许多步。” 去年美国大选时,有媒体报道俄罗斯通过代理人借助科技平台干扰大选,此事引起极大争议,Facebook、谷歌、Twitter 卷入风波。11 月份美国将会举行中期选举,Facebook 不希望平台再次被人利用。扎克伯格说,在中期选举举办之前新政策就会执行。几天前,Twitter 也推出相似的政策,它会公开政治广告主的身份。 稿源:新浪科技,封面源自网络;

美国公民看待科技巨头:苹果、FB 和 Twitter 最不受信任

苹果公司备受追捧的时代可能即将结束。近期,一份最新调查显示,在激发消费者热情和信任度上,苹果和亚马逊公司、谷歌公司、微软公司、Facebook 公司相比并不占优,甚至还垫底。科技博客 The Verge 和咨询公司 Reticle Research 在 9 月 28 日至 10 月 10 日联合做了一次调查,受访者包括 1520 名美国全国代表(根据美国 2016 年人口普查)。结果显示,尽管苹果在科技行业依旧拥有庞大影响力,但并未在消费者心中留下更为正面的印象,在某些情况下甚至很负面。 苹果已不是美国人最爱科技品牌 在激发消费者热情和信任度上,苹果落后于谷歌、更是远远不及亚马逊。亚马逊几乎在各项指标中的正面反馈中处于领先位置。当受访者被问及有多么喜欢一家公司的产品和服务时,苹果在 “有点喜欢” 和 “非常喜欢” 评分上在五大科技巨头中排名垫底,落后于亚马逊、谷歌、微软、Facebook。 在负面评价上,苹果好于 Facebook,但依旧落后于亚马逊、谷歌以及微软。60% 的受访者表示“非常喜欢”亚马逊的产品和服务,大约 55%、45% 的受访者非常喜欢谷歌和微软的产品、服务。 苹果在消费者热情排名上垫底 在受访者是否会向好友和家人推荐一家公司的产品和服务上,苹果再次落后于谷歌和亚马逊。逾90%的受访者表示他们“有可能”或“极有可能”推荐谷歌和亚马逊的产品和服务。只有大约80%的受访者表示“有可能”或“极有可能”推荐苹果的产品和服务。在极端负面评价上,苹果排在倒数第二,稍好于Facebook。15%的受访者表示,他们“根本不可能”推荐苹果的产品。 苹果在消费者信任度上排名靠后 在消费者信任度上,亚马逊位居第一。鉴于亚马逊已无处不在,并通过 Prime 会员和其它服务努力为消费者提供高性价比产品,这一结果并不令人感到意外。然而,消费者对于苹果的信任度还不及谷歌,后者的主要商业模式是靠收集消费者数据投放目标广告创收。 更能说明消费者目前对苹果的看法的是热情和社会影响力。在受访者对科技巨头的热情方面,调查使用的是“是否在乎这家公司会在明天消失”。苹果在五大科技巨头中排名垫底,只有不到 40% 的是受访者表示“非常在乎”苹果及其产品是否会在明天消失,接近 20% 的受访者表示 “一点也不在乎”。在对社会产生“非常积极”影响力上,苹果领先于 Facebook 和微软,但落后于谷歌和亚马逊。 综上所述,尽管苹果在消费者隐私保护、破纪录营收和市值上做得不错,并且以高端硬件和顶尖设计著称,但是苹果的风头似乎已经被那些深度融合在人们日常生活的公司所盖过。虽然谷歌和亚马逊在高端台式机、平板电脑以及智能手表上还难以真正与苹果抗衡,但是这两家公司所主导的领域和我们的数字体验之间的联系正变得日益密切。 稿源:cnBeta、凤凰网科技,封面源自网络;

Chrome 将移除 Public Key Pinning (PKP)支持

Google 宣布了从 Chromium/Chrome 中移除 Public Key Pinning (PKP)支持的计划。PKP 是防止中间人攻击和恶意 CA 的一种证书核查机制。Google 工程师给出的理由 PKP 普及率低和存在技术挑战。 Google 计划在明年 5 月 29 日发布 Chrome 67 正式版时移除对 PKP 的支持。这一计划尚未确定下来,用户仍然可以递交反对意见。根据调查,在 2016 年 3 月所有 HTTPS 网站部署 PKP 的比率为 0.09%,到 2017 年 8 月,部署率只提高到 0.4%。 稿源:solidot 奇客,封面源自网络

安全研究:双因素身份验证码可能被物理对象取代

如果您可以使用漂亮的手链或水瓶作为密码,该怎么办?佛罗里达国际大学和的研究人员创建了一个基于摄像头的远程认证解决方案,以帮助用户在任何移动设备上做到这一点。该解决方案称为 Pixie。要使用它,用户首先选择一个秘密物理对象,如书或纸本,并使用移动设备拍摄照片,创建参考照片。 然后,每次要使用双因素身份验证时,用户只需要将小物件对准摄像头即可。如果他们拍摄的图像质量较差,Pixie 将被编码以警告用户。如果用户以另一个角度拍摄照片,它仍然会识别出物体。类似于 YubiKeys,Pixie 可以使用物理令牌来验证用户的登录信息。但不同于插入 USB 端口的密钥,Pixie 声称将能够用任何旧的物件进行身份认证,而无需购买任何额外的硬件。 研究表明,用户可以在任何拥有摄像头的设备上使用 Pixie,包括旧款移动设备,智能手表和 Snapchat 眼镜。根据这篇论文,人们发现使用物理令牌比输入文本密码更容易,但是比面部识别更慢,更不准确,因为人们选择的物理对象比眼睛和脸部的形状更加多样化。Pixie在Android 上使用各种对象进行测试,包括纹身,手表和钥匙串等。 目前研究人员没有计划将 Pixie 引入市场,该项目还只是一个概念验证,显示物理对象如何成为使用双因素身份验证的可行方法。该研究的结论是,使用更先进的图像处理技术,如使用深层神经网络,Pixie 可以变得更加容易使用。 稿源:cnBeta,封面源自网络;

研究报告:超过半数的电子邮件在移动环境下打开

过去五年电子邮件市场发生了深刻变化:曾经占统治地位的邮件桌面客户端被移动客户端和 Webmail 服务所取代。根据 Return Path 的研究,在 2017 年 55% 的电子邮件是在移动环境下打开的,超过了 Webmail 的 28% 和桌面客户端的 16%。而在 2012 年,只有  29% 的设备是在移动设备上打开的。 Return Path 还发现,用户主要使用苹果的 iOS 设备阅读电子邮件,79% 的移动电子邮件是在 iPhone 或 iPad 上打开的,Android 设备只占 20%。 稿源:cnBeta、快科技,封面源自网络;

MasterCard 宣布开放区块链技术 API

据外媒报道,银行卡组织万事达卡(MasterCard)已经向希望构建自有解决方案的开发者们,开放了该公司的区块链结束,其专为改善速度、透明度、跨境支付成本而设计,旨在推动 B2B 领域的发展。万事达卡实验室执行副总裁 Ken Moore 在一篇博客文章中写到:“通过将区块链技术与我们的结算网络和相关规则结合到一起,我们已经创建了一套安全、可审计、易于扩展的解决方案”。 谈到支付,我们希望为合作伙伴提供选择上的灵活性,让他们可以基于客户的需求,无缝地使用我司现有的、或者全新的支付方式”。此外,该银行卡组织还特地在 YouTube 上发布了视频短片,简要地向大家介绍自家技术。万事达卡实验室创新支付部门负责人 Ricardo Sota 表示: 我们的区块链技术可以实现接近实时的卡支付交易结算,消除了整合和改善了结算。与竞争对手的区块链解决方案相比,我司在隐私、灵活性、可伸缩性、以及结算网络的覆盖范围上具有更大的优势。 如需获知万事达卡区块链技术和 API 的详情,可移步如下链接查看:https://developer.mastercard.com/product/mastercard-blockchain 稿源:cnBeta,封面源自网络;