分类: 推荐阅读

Chrome 与 Firefox 均开始警告用户不要在非 HTTPS 网站提交信息

谷歌和火狐浏览器正在采取新的措施让用户小心有安全漏洞的网站,在最新的更新版本 Chrome 56 和 Firefox 51 中,当用户在不安全的 HTTPS 网页中提交敏感信息时,就会收到警告。此前的测试版已经加入了此类警告,现在更新版本将使更大数量的用户收到安全警告。在这周推出的 Firefox 51 中,当用户进入要求提交密码的网页时,就会出现新一个带有红色斜线的锁的图标,提示用户网站有风险。 而在 Chrome 56 中,不止是密码,还有当网页要求提交信用卡信息等敏感信息时也会出现警告。谷歌的安全工程师 Emily Schechter 称:“调查显示用户经常不会察觉到那些显示网络不安全的警告图标,而且当警告频繁出现时往往更加无视它们。在今后的更新中,我们会继续加强对不安全网页的警告提示,并努力将所有不安全 HTTPS 网页都加上标识。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。

工信部曝 34 款不合格 App 应用商店成“帮凶”

工业和信息化部信息中心 1 月 26 日通过微博公布消息称,2016 年四季度工信部对 46 家手机应用商店的应用软件进行技术检测,发现违规软件 34 款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题,这些不良软件已被全部责令下架并公开曝光。其中包括小米应用商店、新浪应用中心、豌豆荚、百度手机助手等知名软件商店都被发现存在不合格 App。 游戏类应用占据此次被下架不合格 App 的较大比例,另外也不乏教程类、优化类、锁屏壁纸类的工具型 App,可见恶意吸费、非法收集用户个人信息的应用类型依然覆盖面较广。 值得注意的是,工信部此次公布的名单可能也还是冰山一角,且仅靠工信部的管控处理仍然会有各种漏网之鱼,对吸费软件恶意应用的严打依然是任重道远,需要各方加大力度配合推进。 稿源:cnBeta,有删改;封面:百度搜索

Gmail 即将落实阻止 JavaScript 附件的政策,以减少恶意攻击

据外媒报道,Gmail 将很快部署阻止 JavaScript 电邮附件运行的措施。从 2 月 13 日起,用户将无法再添加 .js 类型的附件,因其被很多形式的恶意攻击所利用。如果用户不小心下载了一个恶意 JavaScript 文件,攻击者可以利用它来获得 PC 的访问权限,窃取数据或执行其它破坏性操作。 Android Police 指出,JavaScript 已成为继 .exe .bat .msc 之后,被 Gmail 严格限制分享的又一个附件类型。虽然此举无法彻底杜绝被嵌入 .zip 等压缩包中的恶意文件,但斩断直接发送的途径,对大多数普通用户来说确实是件有助于提升 Gmail 邮件服务安全性的好事。 如果有特殊的需求,也可以考虑通过谷歌网盘或云存储等方式,发送和分享一个 JavaScript 文件。试图发送此类附件的 Gmail 用户,将会看到一则“禁止上传”的警告提示。 稿源:cnbeta 有删改;封面:百度搜索

2016 年 bot 流量报告出炉:机器人流量占比为 51.8%

据 Imperva Incapsula 公司公布的 2015 年 Bot Traffic Report( bot 流量报告),人类五年来首次线上流量超过机器人,占全部线上流量的 51.5%,而在 2013 年的时候仅仅为 38.5%。人类流量占多的情况比较短暂,在最新公布的 2016 年 bot 流量报告中显示,人类在线流量降到了 48.2%,bot 流量达到了 51.8%。 在 bot 流量中,存在好坏之分。好的 bot 网络是指能够增进 web 创新和成长的 bot,通常这些 bot 具有者是合法企业,他们用 bot 来完成一些大数据的任务,比如进行数据搜集或网站扫描等。而坏的 bot 流量,最具代表性的就是僵尸网络。在恶意着手里 bot 网络常常用于发起 DDoS 攻击或执行漏洞扫描等。 在 2016 年 bot 流量报告中,好的 bot 流量从去年的 19.5% 上涨到 22.9%。Feed 提取是该分类中最为活跃的,在所有流量中的占比达到了 12.2%。这主要归功于移动应用的广泛使用,反应人类正迁移到移动设备上。而坏的 bot 流量从去年的 28.9% 下降了 0.1%。其中最为活跃的是 Impersonator bots,已经连续五年蝉联这一位置,在所有 Imperva 网络中的占比达到了 24.3%。Impersonator bots 通常用于发起 DDoS 网络攻击,现在最知名的是 Mirai、Nitol 和 Cyclone 等等。 稿源:cnBeta,有删改;封面:百度搜索

利用苹果 iCloud 漏洞曝光好莱坞明星艳照的黑客已被判处 9 个月监禁

29 岁的“明星门事件”黑客 Edward Majerczyk 此前已经承认,他在 2014 年入侵了 300 多个 iCloud 和 Gmail 账户,并盗取了 30 多个好莱坞明星的照片。这其中包括了“大表姐”詹妮弗·劳伦斯的裸照和私密自拍等。据外媒报道,日前 Majerczyk 因为违反计算机欺诈和滥用法案而被判处 9 个月监禁。 另外,美国地区法官 Rajnath Laud 判定,Majerczyk 还需向其中一名受害者支付 $5700 美元的精神损失费。法官表示,并没有证据表明 Majerczyk 就是那个将照片发布到网上的人。“明星门事件”中涉及的名人还包括 Kate Upton、 Justin Verlander、 Kirsten Dunst 及 Kaley Cuoco 等好莱坞明星。Majerczyk 在 2014 年 10 月被警方逮捕。 Majerczyk 后来解释称,他通过网络钓鱼诈骗的方式获得名人的 iCloud 账户信息,从而获得他们的私人照片和视频。2014 年 9 月,一起制造这起事件的 Ryan Collins 已经被美国法院判处 18 个月监禁。 稿源:cnbeta,有删改,封面来源:百度搜索

研究显示 Android 图案锁屏可被轻松攻破

据外媒报道,近 40% 的 Android 智能手机和平板电脑都在使用图案锁屏,由于该系统是全球使用最广泛的移动系统,所以这也就意味着全球上千万甚至更多的用户其设备都是通过图案锁屏获取保护。 然而来自英国兰卡斯特大学、中国西北大学和英国巴斯大学的研究人员却发现,这些设备并没有人们想象中地那么安全。 他们发现,这些设备可以通过 5 步就能被攻破,该过程只需要一个纪录用户手指移动的视频和一个计算机视觉算法软件即可。这里说的视频记录则是用户在屏幕上移动的大致位置,在获取视频之后,软件能够通过这套动作生成数个解锁图案。获悉 ,研究人员能够在手机拍摄距离为 2.5 米的情况下得到准确结果,数码单反相机支持的距离更远,能够达到 9 米。此外,研究人员还发现,看似最复杂的图案实际上却是最容易攻破的,这是因为连接的点越多,软件形成的选项越少。如此看来,想要更加安全,用户最好选择更加简单的锁屏图案。 稿源:cnbeta,有删改,封面来源:百度搜索

匿名搜索引擎 DuckDuckGo 的搜索量超 100 亿次

人们对自己的隐私权利越来越看重,对谷歌等浏览器的信任度不像以前那般强,因此像 DuckDuckGo 这样的注重个人隐私的匿名浏览器抓住了机会,自 8 年前这款浏览器推出之日起,其搜索量就一直保持惊人的速度增长,2013 年斯诺登首次向公众披露美国政府对民众的监听计划后,DuckDuckGo 的搜索量更是呈爆炸性增长。 DuckDuckGo 浏览器方面称,至今一共提供了超过 100 亿次的搜索服务,其中仅去年一年就有 40 亿次搜索,增长速度是历年来最高的。在 2017 年 1 月 10 日这一天,该浏览器的搜索次数达到了 1400 万次。2016 年,DuckDuckGo 网站还曾向美国 9 家组织捐款 225000 美元,以提高信任网络的管制标准。 稿源:cnbeta,有删改,封面来源:百度搜索

我们为何要花如此长的时间连上 WIFI 接入点?

腾讯、清华大学和清华大学深圳研究生院的研究人员在预印本 arXiv 上发表了一篇论文,分析了 Android/iOS 市场上的一款 WiFi 管家应用( WiFi Manager )收集的 4 个城市 500 万移动用户 700 万 WiFi 接入点的 4 亿 WiFi 会话,发现高达 45% 的连接尝试失败。而在成功连接尝试中间,15% 所花费时间超过 5 秒。超过半数的连接设置时间成本超过 15 秒,其中 47% 的时间是浪费在扫描阶段。 他们发现,除了信号强度影响连接设置程序外,WiFi 接入点的设备型号和移动设备型号都有助于预测连接时间成本。他们发现导致设备和接入点之间丢包的原因包括:信号强度变化,WiFi 干扰、高负荷导致的响应延迟。研究人员认为,可以在设备型号、接入点型号、连接接入点的设备数量、连接尝试的时间等数据的基础上开发出基于机器学习的接入点选择方法去加快连接。他们的测试显示,连接失败率从 33% 减少到 3.6%,80% 的连接设置时间成本减少到原来的十分之一。 稿源:solidot,有删改,封面来源:百度搜索

上班偷看网页要被逮,程序员利用 AI 防 “老板”

人工智能已被应用于经济、医学及交通等多种领域。但看上去“高大上”的人工智能有时候的用途也未必都是那么高大上。今日要说的这一个 AI 应用程序“ Boss Sensor ”出自日本程序员 Nakayama 之手,研发动机只是不想让老板发现他在偷懒。 上班时候偷偷浏览与工作无关的网页对于职场人来说再熟悉不过了,而为了避免领导突然出现在身后被抓个现行,各种物理遮挡硬件和应用程序等方式都冒了出来。为防止反应不及动作过大而引起领导的怀疑,Nakayama 想到了用 AI 程序来自动完成这一过程,既显得十分自然又不会引起领导的疑心。他将这一 AI 程序称为 Boss Sensor,通过网络摄像头和软件相结合的方式来对领导进行“监视”。 据他介绍,领导的办公桌距离他的座位不过 5 秒钟的路程,因此留给 AI 程序反应的时间其实也不多。为此,他利用 OpenCV 跨平台计算机视觉库来进行人脸识别,并使用 Keras 深度学习框架来构建卷积神经网络( CNN ),专门针对领导的面部进行识别认证。当该 AI 程序识别到老板出现在 Nakayama 办公桌周围时,电脑桌面就将自动出现静态程序代码的画面,让领导以为 Nakayama 一直在努力工作着。 目前,Nakayama 已将 Boss Sensor 的源代码发布在了 GitHub 上。 稿源:cnbeta,有删改,封面来源:cnBeta

斯诺登曾使用的加密电子邮件服务 Lavabit 正式回归

就在 1 月 20 日美国总统特朗普宣誓就职同一天,加密电子邮件服务 Lavabit 重新上线,其 CEO Ladar Levison 宣布了新的隐私增强功能。 Lavabit 曾是“棱镜门” 泄密者爱德华·斯诺登长期使用的加密电子邮件服务,2013 年因拒绝配合美国政府对斯诺登的调查而陷入法律纠纷和巨额罚款当中,并于当年 8 月宣布关闭服务并毁坏服务器。然而 Levison 与美国政府的较量仍在继续,他于 2015 年 12 月提出一项动议,促使法院命令发布与 Lavabit 案有关的文件。 图:与 Lavabit 案有关的法院文件,Cryptome 发布(PDF) 如今 Levison 已经宣布 Lavabit 邮件服务正在恢复,修复了原有的 SSL 问题同时引入新的隐私增强功能。此外 Lavabit 还发布了一个开源的端到端加密全球电子邮件标准的源代码,全称 Dark Internet Mail Environment(DIME),旨在避免政府监视和隐藏元数据。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。