外媒称，中国一些城市对于人脸识别技术的应用即将达到临界点，勾画出了未来人脸可能取代钥匙、银行卡甚至身份证的远景。据新加坡《 海峡时报 》网站 10 月 8 日报道，这种技术还可能成为终极追踪器——通过与覆盖范围迅速扩大的监控摄像头网络相结合，面部识别技术帮助一些城市抓住了长期逃避法律惩罚的通缉犯。 以今年 8 月的青岛啤酒节为例，在历时一个月的活动期间，警方对 190 名嫌疑人员的身份进行了识别，经过二次盘查核实了 25 名逃犯，其中包括已经通缉了 10 年之久的一个卖淫团伙的主谋。此外，从长沙到上海再到武汉，一些城市也在利用人脸识别来点名羞辱乱穿马路的人：被摄像头抓拍到的违章者的面部（有时甚至还有他们的姓名和一部分住址）会出现在巨大的液晶显示屏上，这一系统还特别适合认定累犯。 商汤科技是在这一领域处于领先的中国企业之一，该公司 CEO 徐立说：“公安系统使用人脸识别技术的情况在中国非常普遍，这证明了目前这种技术的影响力和准确性”。今年重庆市对该公司的技术进行了为期 40 天的试用，在此期间发现了 69 名重点关注的嫌疑人，其中 14 人被警方抓获。 中国企业去年在这方面的专利申请数量已经超过了硅谷。据徐立说，中国企业在这一领域有两个优势：“在中国，我们拥有优势，因为中国人对新技术的接受和认可程度更高。此外，还有大数据带来的便利，如果我们需要不同类型的数据来训练我们的系统并改进其表现，我们是能够做到的。” 稿源：cnBeta、参考消息，封面源自网络；

基于 Tor 隐藏服务的暗网毒品市场除了面临执法机关的打击外，现在还面临拒绝服务类的 DDoS 攻击。四大毒品市场——Dream、Tochka、Trade Route 和 Wall Street——全都在攻击下无法访问或只能访问备用地址。 安全专家表示，一两家暗网网站下线不是什么罕见的事情，但所有网站情况都相同就有点不同寻常了。目前，暂时并不清楚攻击发起者是谁，但显然严重扰乱的暗网社区。暗网网站需要通过 Tor 才能访问。计算机科学教授 Alan Woodward 怀疑这四家暗网市场使用了相同的托管商和相同的网络基础设施。 稿源：solidot奇客，封面源自网络；

美国征信机构 Equifax 近日麻烦不断，除了面对多起诉讼、声誉受损及美国司法部的刑事调查外，Equifax 的网站于 10 月 12 日疑似遭受另一次黑客入侵。但公司表示，这个问题来自第三方供应商，且系统并未受到影响。目前 Equifax 仍在处理影响超过 1.43 亿美国消费者的数据泄露事件。 不过，安全研究员Randy Abrams 对 Ars Technica 表示，当他访问 Equifax.com 查看他的信用报告时，他正被重定向到 hxxp //：centerbluray.info，看起来好像该网站遭遇了另一次黑客攻击。Abrams 登陆的网站包括了一个假的 Flash 安装程序，尝试欺骗用户点击安装被赛门铁克（Symantec）称为 Adware.Eorezo 的广告软件。 在 Abrams 发布报告后不久，Equifax 就发布了以下声明：“我们知道 equifax.com 网站信用报告协助链接中确定的情况。我们的 IT 和安全团队正在研究这个问题，并且在经过谨慎考虑后中暂时将此页面删除。我们随后会分享更多的信息 ”。随后 Equifax 表示，其网站没有被黑客入侵。这个问题涉及公司用于跟踪网站数据的第三方供应商。其代码正在提供恶意内容，而 Equifax 已经从网站上删除，且报告的问题并不影响我们的消费者。” 稿源：cnBeta，封面源自网络；

据路透社报道，虽然美国禁止本国企业与俄罗斯的国有机构商业往来，但是俄罗斯某些公司仍然设法购买微软软件。2014 年俄罗斯吞并克里米亚后，美国对俄罗斯实施制裁。但俄罗斯的国家采购数据库显示，国外政府和公司在应对美国制裁上仍有对策。 知情人士透露，由于一些用户利用微软出售流程的漏洞向其提供了虚构身份信息，因此路透社并无证据表明微软把产品直接出售给受到制裁的俄罗斯公司。对此微软发言人通过邮件回复路透社：“微软坚决致力于遵守法律要求，近几周我们已展开调查。我们在世界各地拥有有效的贸易合规流程，以确保合作伙伴符合所有规定（包括立即停止与合作伙伴的不合法销售），并采取强有力措施防止被禁止的用户获取以及使用我们的产品和服务。” 俄罗斯规定所有国有机构和公司必须在采购数据库上登记交易记录。涉及其中五笔交易的知情人向路透社确认，曾购买过微软软件。路透社对该数据库的调查发现，俄罗斯和克里米亚境内遭制裁的国有机构和公司购买微软产品的次数超过 5000 次，涉及金额大约 6000 万卢布（合103万美元）。虽然这一总额虽然相对不大，但这些软件对俄罗斯和克里米亚的许多公司和机构来说至关重要。数据库的记录也未包括私营公司，所以违背制裁购买微软产品的规模可能更大。 稿源：cnBeta、网易科技，封面源自网络 ；

赛门铁克 CEO Greg Clark 接受路透社采访时表示，该公司不再允许政府检查其软件的源代码，担心这会危及到其产品的安全。美国科技公司为了在俄罗斯和中国等国获得产品出售许可证而允许政府检查产品源代码。 赛门铁克也曾是其中一员，允许相关政府检查其软件的源代码。但随着国家支持的黑客攻击活动的增加，允许政府检查源代码增加了安全风险，可能会导致客户失去对其产品的信心。Clark 称，检查源代码构成了不可接受的风险。 稿源：solidot奇客，封面源自网络；

近期，开发者 Felix Krause 分享了一种 iOS 钓鱼攻击的方法，这种方法可以让应用开发者使用苹果风格的弹窗轻松获得 iPhone 用户的 Apple ID 和密码。根据 Krause 解释，iPhone 和 iPad 用户可能很喜欢苹果官方的 Appld ID 和密码输入要求，有时当我们在 App Store 购买应用或访问 iCloud 服务时，经常会出现密码验证弹窗。 Krause 使用 UIAlertController 模拟系统密码请求弹窗的设计，这种工具可以轻松创建与苹果 iOS 系统原生相同的弹窗。虽然一些系统提示需要开发者拥有用户的 Apple ID，但有一些弹窗不需要电子邮件地址，而且可以直接要求用户提供密码。这种 iOS 钓鱼工具的方式并不是新出现的，苹果也有很严格的审核，但 iOS 用户还是需要注意，防止自己的密码被盗走。 如果用户想要真正密码弹窗是不是来自于苹果，只需点按 Home 键，如果属于 app，弹窗会消失。如果来自系统，弹窗依然存在。同时，Krause 还建议用户直接在设置应用中完成密码输入验证。Krause 已经将问题报告给苹果，希望苹果能尽快解决。目前，想要更好保护自己的苹果账户，最好打开双重验证机制。 稿源：cnBeta、MacX，封面源自网络；

据外媒报道，Twitter 主要投资人、前微软 CEO 史蒂夫·鲍尔默表示，目前社交网络还无法阻止假新闻的传播。不过他认为社交平台可以起到一定的遏制作用。 鲍尔默于本周一接受彭博社 TV 采访时指出，他认为像 Facebook、Twitter、Google 等这样的公司应当采纳一套能告知用户其阅读新闻是否来自可靠源头的系统。 Facebook 于上周披露了一些与俄罗斯存有关联的账号在其平台上投放广告的消息。两周前，Twitter 称，他们发现了 200 多个账号被证实跟 Facebook 广告购买者相关。此外，Google 的最新调查显示，俄罗斯人员在 YouTube、Gmail 以及 Google 搜索中花了数万美元购买广告。 知情人士透露，Twitter、Facebook、Google 高层将在下月 1 日出席由美国国会举行的关于俄罗斯干扰大选的听证会。当问及 Twitter 持续不断的骚扰问题时，鲍尔默表示他个人秉承言论自由理念，不过所有的社交网络都应该对 “完全不合适” 的内容采取行动。而当谈及总统特朗普的争议推文时，鲍尔默表达了跟 Twitter CEO 杰克·多尔西一样的态度–“这是他的想法。每个选民都可能受益于这个直接聆听的功能。 ” 稿源：cnBeta，封面源自网络；

据外媒报道，Google 正在继续推动通用加密，要求所有 45 个顶级域名（ TLD ）在其控制下进行安全连接，其中包括 .com、.org、.net、.gov、.int、.edu等后缀结尾的域名。为确保这 45 个顶级域名安全连接，Google 将使用 HSTS 或 HTTP 严格的运输安全。调查显示，自从 2010 年将 Gmail 移至 HTTPS 时，Google 一直在推动通用加密或 HTTPSEverywhere。此外，从去年开始对个人网站的 SSL 证书及加密进行施压。知情人士透露，从 2018 年开始，每当有人访问仍然通过 HTTP 服务的网站时，Google 会在地址栏中放置一个“不安全”的指示。 HSTS 是一种机制，强制 Web 浏览器只通过 HTTPS 连接到您的网站。有一些称为 HSTS 预加载列表的东西，它自动存储在浏览器中，并告诉他们自动执行 HTTPS 连接。这增加了一层安全性，因为它防止降级攻击。 据悉，当浏览器收到一个网站的 HSTS 时，意味着网站所有者已启用 HTTP 严格传输安全，以便 HTTP 连接永远不会遭到重置。但是，在浏览器收到 Header 之前，你仍然很容易受到攻击。因此 HSTS 仍是存在瑕疵的。不过 Google 已基本上为其所有顶级域名解决了这个问题。 HSTS 预加载列表可以包含域，子域和顶级域名。直到 2015 年，没有人尝试添加顶级域名，Google 添加了同名的 .google。目前，它还增加了其他 44 个顶级域名。据悉，通过将所有顶级域名置于列表中，浏览器将自动执行与该顶级域名的任何域的 HTTPS 连接-只要它们已安装了 SSL 证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险，因为默认情况下，该域已经在顶级域名级别的预载列表中。 然而，获取 HSTS 预载列表可能需要几个月的时间。将自家顶级域名放进预加载列表，算是 Google 对其他网站拥有者的贴心之举。作为域名注册商，它也更具吸引力。当然，这些顶级域名中只有三个是活跃的 .google、.how、.soy，第四个 .app 即将上线。Google 的这一做法可能会形成一个趋势。随着 SSL 迅速成为需求，增强你的 SSL 产品将会比以往更重要。我们期待看到更多的域名注册商将整个顶级域名添加到列表中。 稿源：cnBeta、誉名网，封面源自网络；

一家自称不记录日志的香港 VPN 服务商 PureVPN 被指帮助 FBI 抓住一名网络骚扰者。24 岁的麻省居民 Ryan Lin 于上周被捕，被指通过网络大肆骚乱前室友 Jennifer Smith。 据悉，Lin 是通过 Craigslist 上的广告而在 2016 年 4 月底/ 5 月初成为 Smith 的室友，Smith 的房间没有锁，她有一台 MacBook 笔记本电脑也没有密码保护，其中还有一份文件储存了她的所有在线账号的密码。在 Lin 入住不久他就表现出奇怪的行为，Smith 在 Lin 的请求下以 60 美元出售了大麻，当天凌晨 3 点他进入了她的卧室对她大吼，指控她在出售大麻上欺骗了他。此事发生不久她就搬了出去。Lin 通过短信暗示他已经窃取了她的所有在线账号密码，访问了她的 iCloud，Google Drive，查看了她的个人日志。 此外，Lin 还通过登录其账号以 Smith 的名义发送了炸弹恐吓、儿童色情和性暴露照片。FBI  的调查发现，Lin 使用了 Tor 和多个 VPN 服务来隐藏真实的 IP，他使用的一个 VPN 服务就是 PureVPN，而他同时还使用了另一个 VPN 服务 WANSecurity。讽刺的是，Lin 还在社交网络上抨击 VPN 服务商所谓的不记录日志是胡扯。 稿源：solidot奇客，封面源自网络；

德意志银行近期宣布开源交易平台 Autobahn 拥有超过 15 万行源代码。据悉，被称为 Plexus Interop 的代码由 Symphony 软件基金会管理， 托管在 GitHub 上，采用 Apache v2 许可证。 德意志银行希望第三方交易应用供应商能将开源代码作为公用的基础，使得彼此能无缝的工作。目前，代码将被整合到 Symphony 的协作平台。公司的一位高管 Peter Wharton-Hood 表示，德银想要成为银行行业开源技术的领导者。 稿源：solidot奇客，封面源自网络；