Google 宣布了从 Chromium/Chrome 中移除 Public Key Pinning (PKP)支持的计划。PKP 是防止中间人攻击和恶意 CA 的一种证书核查机制。Google 工程师给出的理由 PKP 普及率低和存在技术挑战。 Google 计划在明年 5 月 29 日发布 Chrome 67 正式版时移除对 PKP 的支持。这一计划尚未确定下来，用户仍然可以递交反对意见。根据调查，在 2016 年 3 月所有 HTTPS 网站部署 PKP 的比率为 0.09%，到 2017 年 8 月，部署率只提高到 0.4%。 稿源：solidot 奇客，封面源自网络

如果您可以使用漂亮的手链或水瓶作为密码，该怎么办？佛罗里达国际大学和的研究人员创建了一个基于摄像头的远程认证解决方案，以帮助用户在任何移动设备上做到这一点。该解决方案称为 Pixie。要使用它，用户首先选择一个秘密物理对象，如书或纸本，并使用移动设备拍摄照片，创建参考照片。 然后，每次要使用双因素身份验证时，用户只需要将小物件对准摄像头即可。如果他们拍摄的图像质量较差，Pixie 将被编码以警告用户。如果用户以另一个角度拍摄照片，它仍然会识别出物体。类似于 YubiKeys，Pixie 可以使用物理令牌来验证用户的登录信息。但不同于插入 USB 端口的密钥，Pixie 声称将能够用任何旧的物件进行身份认证，而无需购买任何额外的硬件。 研究表明，用户可以在任何拥有摄像头的设备上使用 Pixie，包括旧款移动设备，智能手表和 Snapchat 眼镜。根据这篇论文，人们发现使用物理令牌比输入文本密码更容易，但是比面部识别更慢，更不准确，因为人们选择的物理对象比眼睛和脸部的形状更加多样化。Pixie在Android 上使用各种对象进行测试，包括纹身，手表和钥匙串等。 目前研究人员没有计划将 Pixie 引入市场，该项目还只是一个概念验证，显示物理对象如何成为使用双因素身份验证的可行方法。该研究的结论是，使用更先进的图像处理技术，如使用深层神经网络，Pixie 可以变得更加容易使用。 稿源：cnBeta，封面源自网络；

过去五年电子邮件市场发生了深刻变化：曾经占统治地位的邮件桌面客户端被移动客户端和 Webmail 服务所取代。根据 Return Path 的研究，在 2017 年 55% 的电子邮件是在移动环境下打开的，超过了 Webmail 的 28% 和桌面客户端的 16%。而在 2012 年，只有  29% 的设备是在移动设备上打开的。 Return Path 还发现，用户主要使用苹果的 iOS 设备阅读电子邮件，79% 的移动电子邮件是在 iPhone 或 iPad 上打开的，Android 设备只占 20%。 稿源：cnBeta、快科技，封面源自网络；

据外媒报道，银行卡组织万事达卡（MasterCard）已经向希望构建自有解决方案的开发者们，开放了该公司的区块链结束，其专为改善速度、透明度、跨境支付成本而设计，旨在推动 B2B 领域的发展。万事达卡实验室执行副总裁 Ken Moore 在一篇博客文章中写到：“通过将区块链技术与我们的结算网络和相关规则结合到一起，我们已经创建了一套安全、可审计、易于扩展的解决方案”。 谈到支付，我们希望为合作伙伴提供选择上的灵活性，让他们可以基于客户的需求，无缝地使用我司现有的、或者全新的支付方式”。此外，该银行卡组织还特地在 YouTube 上发布了视频短片，简要地向大家介绍自家技术。万事达卡实验室创新支付部门负责人 Ricardo Sota 表示： 我们的区块链技术可以实现接近实时的卡支付交易结算，消除了整合和改善了结算。与竞争对手的区块链解决方案相比，我司在隐私、灵活性、可伸缩性、以及结算网络的覆盖范围上具有更大的优势。 如需获知万事达卡区块链技术和 API 的详情，可移步如下链接查看：https://developer.mastercard.com/product/mastercard-blockchain 稿源：cnBeta，封面源自网络；

根据最新研究发现，暗网经济正在助推勒索软件蔓延。据悉，在今年十月份发布的一份报告中，反病毒服务提供商 Carbon Black 的研究人员发现，勒索软件在 2016-2017 年期间的销售量增长了 2502%。研究人员表示，这项研究报告监测了全球 21 个顶级暗网平台，然后再将收集到的数据进行推算得出了这个一结果。事实上，目前全球有超过 6300 个平台提供勒索软件交易。然而，随着销售量增长率达到惊人的 2502%，也使得勒索软件的总销售金额达到了 620 万美元，比上一年总销售额多了 25 万美元。 虽然总销售额看上去并不是太多，但是这种增长趋势却令人印象深刻——研究人员支出，如果不是预料之中，这样的增长主要是由供需推动的，该报告指出：“网络犯罪分子越来越多地看到市场机遇，并且希望通过勒索软件来快速获利”。勒索软件市场的不断扩大，一部分原因是由于一些工具让匿名变得更加轻松（比如比特币和 Tor 代理等），另一部分原因是因为勒索软件不断扩散，让许多人都可以轻松发起非法交易，去勒索别人。 报告表示：“随着技术创新日趋成熟，地下勒索软件经济已然成为一个类似于商业软件的行业，甚至包括开发、技术支持、分销、质保和客服等‘一条龙’服务。” 根据 CSO Online 的数据显示，去年勒索软件支付的金额达到了 10 亿美元，相比于去年增长了 4000%。不仅如此，勒索软件的开发人员也获得了不少收益。去年，一些勒索软件开发人员的收入能够超过 10 万美元，而在合法商业软件领域，程序员的中等收入大约为 7 万美元。而且，随着地下供应链的不断成熟，勒索软件开发人员不需要独立研发整套工具包：比如，一个程序员可能会专门从事加密技术研发，去锁定受害者的电子设备；而另一个程序员可能会专门负责如何收取勒索到的钱款。 安全专家认为，这种专业化程度的不断提升，是推动地下勒索软件经济快速增长的关键因素。推出一款 “赚钱” 的勒索软件早已经不是一个人在战斗了，过去，可能需要有一个人非常擅长开发和部署复杂的勒索软件，但现在你只需要知道在哪里购买所有必须的组件，然后把工具包补充完整即可。 Carbon Black 的报告中这样说道：“由于现有勒索软件经济服务层级细化，这个行业本身已经开始变得更加强大。这些细化服务降低了行业准入障碍，想要发起勒索的攻击者不再需要较强的专业技能，甚至你可能是个完全不同技术的‘小白’，只要你有比特币，就可以对任何人发起攻击。” 另一方面，勒索软件的攻击目标范围很广，也是没有止境的，导致这种情况的主要原因是企业普遍缺乏基本的安全控制：企业一直忽略对关键数据的备份，而且也很少测试自己的软件，看看是否过期，或是及时更新安全补丁。研究人员警告说，依靠执法部门来防范攻击基本上是没什么用的，所以企业主要还是需要依靠自身力量来对抗勒索软件。 而阻止勒索软件的关键，就是要说服受害者不去支付 “赎金”。根据 Carbon Black 分析的数据显示，约有 59% 的受访对象表示自己愿意支付低于 100 美元的“赎金”来重新获得自己的数据，但如果攻击者把“赎金”上限提升到 500 美元以上，那么大约只有 12% 的受访对象愿意接受。 报告最后总结说：“ 整套系统只有在受害者愿意支付‘赎金’的前提下才能运转起来，所以只要有人愿意支付，这个问题就会一直延续下去。” 稿源：，稿件以及封面源自网络；

卡巴斯基实验室的安全研究人员透露，一些受欢迎的交友软件容易受到各种攻击，这将导致泄露个人用户的详细信息，包括姓名、雇主姓名，甚至他们的住所信息。研究人员在对受欢迎的交友软件（ Tinder、Bumble、OkCupid、Badoo、Mamba、Zoosk、Happn、WeChat 和 Paktor ）进行调查后，根据个人资料中提供的数据，确定了用户的真实身份。另外，通过了解用户的雇主，研究领域或他们的学校，可以找到用户的社交媒体帐户，从而知道他们的真实姓名。 卡巴斯基表示，他们在其他社交媒体网站上识别 Happn 和 Paktor 用户的准确率为 100%。Tinder 和 Bumble 的成功率分别下降到 60％ 和 50％，这仍然相当惊人。上述九个应用程序中的六个显示了用户的某种形式的位置数据，例如用户和他们感兴趣的人之间的距离。通过移动并记录两个用户之间的距离数据，“很容易确定猎物的位置”。Happn 的表现似乎是最糟糕的，能显示与其他用户的具体距离数据。该应用程序甚至显示了两个人擦肩而过的次数，使其更容易跟踪某人。 卡巴斯基调查的大部分应用程序都是通过 SSL 加密渠道查询将数据传输到服务器，但并不总是如此。在 Android 版本的 Mamba 中使用的分析模型不会加密有关移动设备的数据，而 iOS 版本以一种一个未加密的方式传输消息等所有数据。同时，通过 HTTP 上传照片，可以让攻击者确定潜在的受害者浏览哪些个人资料。更糟糕的是，研究人员发现，九个应用程序中有五个易受 “中间人攻击”，因为它们没有验证证书的真实性。几乎所有的应用程序通过 Facebook 授权，意味着缺乏证书验证可能导致窃取临时授权密钥。 卡巴斯基表示，这可以让社会媒体账户数据的犯罪访问长达三周左右。Android 用户需要担心更多，因为九个应用程序中有八个“通过超级用户访问权限为网络犯罪分子提供了太多信息”。在 iOS 中获得 root 访问权限的恶意软件很少见。卡巴斯基表示，其事先向开发人员通报了其调查结果，并补充说，有些已经解决了问题，而其他仍在修复问题。 稿源：cnBeta，封面源自网络；

针对勒令企业交出客户存储在海外服务器上的电子邮件一事，微软于 2016 年 4 月份向美国司法部提起了诉讼。不过在司法部推出一项解决该问题的新政策之后，这家软件巨头现正撤诉。微软解释称，该政策对 “噤声令” 施加了限制，确保其只在绝对必要的时候才被使用。此外对于这些命令，其现在要面临更多的困难，因为它通常没有设置固定的期限，所以持续的时间也并不确定。 微软副总裁兼首席法务官 Brad Smith 写到： 对于隐私和自由表达权利来说，这是一个重要的进步。对于我们的客户来说，这无疑是一场胜利。我们很高兴美国司法部采取了这些措施，保护了宪法赋予所有美国人民的权利。 当微软发起诉讼的时候，该公司声称收到了来自政府方面的 2567 份法律要求，而其中涵盖的“噤声令”、有 68% 似乎是为了防止该公司向客户披露有关请求的详细信息。Smith 补充道： 直到今天，模糊的法律标准允许政府定期秘密地进行保密工作，而无论他们是否基于手头调查的细节。但在今后，这类事情将不再发生。 尽管赢得了这一轮胜利，微软还是请求有关部门作出更多改变。其希望参议院能够推进 2017 年的经济改革法案，因其更新了远在 Web 和云计算出现之前、就已于 1986 年被制定的《电子通信隐私法案》。 稿源：cnBeta，封面源自网络；

据外媒报道，随着 Facebook 等社交媒体网站受到压力的不断加大，Twitter 日前宣布了一项新政策：未来，他们将对其平台上运行的广告采取更加透明的处理方式，用户将能知晓平台广告买家的身份。Twitter 产品与工程收入部门总经理 Bruce Falck 表示，新政策将在未来几周内开始推行。 未来，Twitter 将会推出一个全新的透明中心（Transparency Center），它将提供以下信息： Ο 现在网站投放的所有广告包括“只出于推广目的”的广告 Ο 广告将投放的时间 Ο 广告针对的用户群 Ο 所有政治广告背后的买家身份。 Twitter 的这一新政已经受到了来自参议员 Mark Warner 的积极评价和赞赏，他表示，这是很好的第一步，另外他还呼吁进一步提升在线政治广告的透明度。 稿源：cnBeta，封面源自网络；

无人机技术在最近几年取得了快速的进步，而且即将迎来另一次巨大的跳跃。美国亚利桑那州立大学以人为导向机器人和控制实验室的负责人 Panagiotis Artemiadis 正在研发一种导航系统，能够让一位无人机驾驶员只借助他的思维同时操控一群无人机。 无人机目前主要通过操纵杆或者手机操控，这意味着一位飞行员只能够同时操控一架无人机。借助脑机接口技术，一位飞行员就能够同时操控多架无人机，让它们形成一个编队，或者让它们分散在不同的飞行路线上。 Artemiadis 称：“我们首先对人类测试者进行训练，让他们能够想象这些行为。随后我们借助一种算法将那些行为与不同部分的大脑刺激联系起来。指令会通过飞行员头上穿戴的脑电图设备传递给无人机 ”。Artemiadis 将这一无人机概念比作一种自然现象。他声称：“这种集群控制的想法来自于鸟群和鱼群等自然群体带来的启发，这一想法为无人机机群研究带来许多好处。借助人类手动操控是无法让无人机机群以特定的编队飞行。此外，无人机机群能够为我们提供许多个体无人机无法实现的潜在用途。无人机机群能够形成复杂的系统，帮助我们完成新的任务和使命，比如说搜寻、探索、救援、监督、追击和基础设施配置等。” 大脑操控的无人机能够提升搜索和救援任务，能够比单一无人机更有效的搜索更大区域范围。无人机机群或许也能够用于帮助我们扑灭野火，它们能够追踪大火的速度，并且为现场急救员和消防员提供大量的照片和数据，这是目前的技术无法做到的。在农业领域，无人机能够帮助人们创建地形图来分析土壤质量，并且帮助人们制定灌溉计划。它们也能够搭载传感器，将任何庄稼疾病问题反馈给农民。手动操控的无人机已经在美国和日本的一些农场中得到应用，而借助脑机接口技术同时操控多架无人机的能力将能够覆盖更大范围的农田。 音乐会、体育赛事和示威游行等大型集会普遍存在安全威胁。无人机机群能够在这些集会发生时提供更多的监督，并且向监管部门发送更广区域范围内的实时视频记录。Artemiadis 的无人机研究受到美国国防部先进研究项目局和美国空军科学研究办公室的资金支持。Artemiadis 已经测试了同时操控三架无人机的情况，但是他声称这项技术能够实现更多数量无人机的操控。 稿源：cnBeta、网易科技，封面源自网络；

据外媒报道，Google 的 “漏洞悬赏计划” 最近从自己开发的软件扩大到了 Play Store 里的第三方流行应用，此举可能是避免在流行应用发现严重漏洞后影响到整个系统，确保应用更安全的同时限制漏洞所造成的破坏。 新的漏洞赏金计划适用于 Google 开发的 Android 应用以及阿里巴巴、Dropbox、Duolingo、Headspace、Line、Mail.Ru、Snapchat 和 Tinder 等第三方应用。目前，该计划只限于远程代码执行漏洞，允许攻击者在用户不知情或未经授权下执行任意的代码。 稿源：solidot奇客，封面源自网络；