Google 已经正式宣布推出自有 CA 根证书，这意味着该公司在“自力更生”的道路上更进了一步。这项措施将确保 Google 能够摆脱对由第三方签发的中级证书颁发机构的依赖（本例中为 GIAG2）。该公司一直致力于为全线产品和服务推出 HTTPS 服务，而这显然需要寻求一个更快的方法和更多的控制。 这也是“谷歌授信服务”（Google Trust Services）诞生的基础，它将代表 Google 及其母公司 Alphabet 来运营这些 CA 根证书服务。当然，整个过程还是需要一定时间的。因此 Google 收购了两家现有的根证书机构 —— GlobalSign R2 和 R4 —— 以便该公司更快地开始发行自有证书。 稿源：cnbeta，有删改，封面来源：百度搜索

据外媒报道，英国政府近日的一个项目将允许英国军队士兵使用改造后的 iPhone 7 来讨论军事秘密，取代不够安全的 Android 设备。 据 TechRepublic 报道， 为英国国防部 ( MoD )执行这个项目的英国电信（ BT ）公司计划将 iPhone 7 当成保密通信的“首选设备”。 BT 防御技术业务经理 Steve Bunn 表示，该公司目前正在改造 iPhone 7，以便其可以根据信息的敏感程度在不同的操作模式和安全级别之间切换。Bunn 表示：“我们一直与 MoD 密切合作，开发我们通常所说的‘双重角色设备’”。 除了允许士兵之间的安全通信，BT 表示他们改造后的 iPhone 也能被用于保留敏感数据。“安全存储容器”可能涉及某种形式的隐藏或加密的文件和文件夹，可以允许存储关键任务的秘密文件以供以后使用，或能在不使用网络的情况下在两点之间传输数据。出于安全原因，英国电信官员无法提供有关定制 iPhone 7 的更多详细信息。 BT 工作人员最初没有使用 iPhone，而是选择了三星 Galaxy Note 4，但后来他们改变了计划。Bunn 表示：“随着越来越多的开发和测试，（三星手机）安全性被认为是不够的。iPhone 的安全凭证使它成为一个更可行的设备。” 稿源：cnbeta，有删改，封面来源：百度搜索

谷歌和火狐浏览器正在采取新的措施让用户小心有安全漏洞的网站，在最新的更新版本 Chrome 56 和 Firefox 51 中，当用户在不安全的 HTTPS 网页中提交敏感信息时，就会收到警告。此前的测试版已经加入了此类警告，现在更新版本将使更大数量的用户收到安全警告。在这周推出的 Firefox 51 中，当用户进入要求提交密码的网页时，就会出现新一个带有红色斜线的锁的图标，提示用户网站有风险。 而在 Chrome 56 中，不止是密码，还有当网页要求提交信用卡信息等敏感信息时也会出现警告。谷歌的安全工程师 Emily Schechter 称：“调查显示用户经常不会察觉到那些显示网络不安全的警告图标，而且当警告频繁出现时往往更加无视它们。在今后的更新中，我们会继续加强对不安全网页的警告提示，并努力将所有不安全 HTTPS 网页都加上标识。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。

工业和信息化部信息中心 1 月 26 日通过微博公布消息称，2016 年四季度工信部对 46 家手机应用商店的应用软件进行技术检测，发现违规软件 34 款，涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题，这些不良软件已被全部责令下架并公开曝光。其中包括小米应用商店、新浪应用中心、豌豆荚、百度手机助手等知名软件商店都被发现存在不合格 App。 游戏类应用占据此次被下架不合格 App 的较大比例，另外也不乏教程类、优化类、锁屏壁纸类的工具型 App，可见恶意吸费、非法收集用户个人信息的应用类型依然覆盖面较广。 值得注意的是，工信部此次公布的名单可能也还是冰山一角，且仅靠工信部的管控处理仍然会有各种漏网之鱼，对吸费软件恶意应用的严打依然是任重道远，需要各方加大力度配合推进。 稿源：cnBeta，有删改；封面：百度搜索

据外媒报道，Gmail 将很快部署阻止 JavaScript 电邮附件运行的措施。从 2 月 13 日起，用户将无法再添加 .js 类型的附件，因其被很多形式的恶意攻击所利用。如果用户不小心下载了一个恶意 JavaScript 文件，攻击者可以利用它来获得 PC 的访问权限，窃取数据或执行其它破坏性操作。 Android Police 指出，JavaScript 已成为继 .exe .bat .msc 之后，被 Gmail 严格限制分享的又一个附件类型。虽然此举无法彻底杜绝被嵌入 .zip 等压缩包中的恶意文件，但斩断直接发送的途径，对大多数普通用户来说确实是件有助于提升 Gmail 邮件服务安全性的好事。 如果有特殊的需求，也可以考虑通过谷歌网盘或云存储等方式，发送和分享一个 JavaScript 文件。试图发送此类附件的 Gmail 用户，将会看到一则“禁止上传”的警告提示。 稿源：cnbeta 有删改；封面：百度搜索

据 Imperva Incapsula 公司公布的 2015 年 Bot Traffic Report（ bot 流量报告），人类五年来首次线上流量超过机器人，占全部线上流量的 51.5%，而在 2013 年的时候仅仅为 38.5%。人类流量占多的情况比较短暂，在最新公布的 2016 年 bot 流量报告中显示，人类在线流量降到了 48.2%，bot 流量达到了 51.8%。 在 bot 流量中，存在好坏之分。好的 bot 网络是指能够增进 web 创新和成长的 bot，通常这些 bot 具有者是合法企业，他们用 bot 来完成一些大数据的任务，比如进行数据搜集或网站扫描等。而坏的 bot 流量，最具代表性的就是僵尸网络。在恶意着手里 bot 网络常常用于发起 DDoS 攻击或执行漏洞扫描等。 在 2016 年 bot 流量报告中，好的 bot 流量从去年的 19.5% 上涨到 22.9%。Feed 提取是该分类中最为活跃的，在所有流量中的占比达到了 12.2%。这主要归功于移动应用的广泛使用，反应人类正迁移到移动设备上。而坏的 bot 流量从去年的 28.9% 下降了 0.1%。其中最为活跃的是 Impersonator bots，已经连续五年蝉联这一位置，在所有 Imperva 网络中的占比达到了 24.3%。Impersonator bots 通常用于发起 DDoS 网络攻击，现在最知名的是 Mirai、Nitol 和 Cyclone 等等。 稿源：cnBeta，有删改；封面：百度搜索

29 岁的“明星门事件”黑客 Edward Majerczyk 此前已经承认,他在 2014 年入侵了 300 多个 iCloud 和 Gmail 账户,并盗取了 30 多个好莱坞明星的照片。这其中包括了“大表姐”詹妮弗·劳伦斯的裸照和私密自拍等。据外媒报道，日前 Majerczyk 因为违反计算机欺诈和滥用法案而被判处 9 个月监禁。 另外，美国地区法官 Rajnath Laud 判定，Majerczyk 还需向其中一名受害者支付 $5700 美元的精神损失费。法官表示，并没有证据表明 Majerczyk 就是那个将照片发布到网上的人。“明星门事件”中涉及的名人还包括 Kate Upton、 Justin Verlander、 Kirsten Dunst 及 Kaley Cuoco 等好莱坞明星。Majerczyk 在 2014 年 10 月被警方逮捕。 Majerczyk 后来解释称，他通过网络钓鱼诈骗的方式获得名人的 iCloud 账户信息，从而获得他们的私人照片和视频。2014 年 9 月，一起制造这起事件的 Ryan Collins 已经被美国法院判处 18 个月监禁。 稿源：cnbeta，有删改，封面来源：百度搜索

据外媒报道，近 40% 的 Android 智能手机和平板电脑都在使用图案锁屏，由于该系统是全球使用最广泛的移动系统，所以这也就意味着全球上千万甚至更多的用户其设备都是通过图案锁屏获取保护。 然而来自英国兰卡斯特大学、中国西北大学和英国巴斯大学的研究人员却发现，这些设备并没有人们想象中地那么安全。 他们发现，这些设备可以通过 5 步就能被攻破，该过程只需要一个纪录用户手指移动的视频和一个计算机视觉算法软件即可。这里说的视频记录则是用户在屏幕上移动的大致位置，在获取视频之后，软件能够通过这套动作生成数个解锁图案。获悉 ，研究人员能够在手机拍摄距离为 2.5 米的情况下得到准确结果，数码单反相机支持的距离更远，能够达到 9 米。此外，研究人员还发现，看似最复杂的图案实际上却是最容易攻破的，这是因为连接的点越多，软件形成的选项越少。如此看来，想要更加安全，用户最好选择更加简单的锁屏图案。 稿源：cnbeta，有删改，封面来源：百度搜索

人们对自己的隐私权利越来越看重，对谷歌等浏览器的信任度不像以前那般强，因此像 DuckDuckGo 这样的注重个人隐私的匿名浏览器抓住了机会，自 8 年前这款浏览器推出之日起，其搜索量就一直保持惊人的速度增长，2013 年斯诺登首次向公众披露美国政府对民众的监听计划后，DuckDuckGo 的搜索量更是呈爆炸性增长。 DuckDuckGo 浏览器方面称，至今一共提供了超过 100 亿次的搜索服务，其中仅去年一年就有 40 亿次搜索，增长速度是历年来最高的。在 2017 年 1 月 10 日这一天，该浏览器的搜索次数达到了 1400 万次。2016 年，DuckDuckGo 网站还曾向美国 9 家组织捐款 225000 美元，以提高信任网络的管制标准。 稿源：cnbeta，有删改，封面来源：百度搜索

腾讯、清华大学和清华大学深圳研究生院的研究人员在预印本 arXiv 上发表了一篇论文，分析了 Android/iOS 市场上的一款 WiFi 管家应用（ WiFi Manager ）收集的 4 个城市 500 万移动用户 700 万 WiFi 接入点的 4 亿 WiFi 会话，发现高达 45% 的连接尝试失败。而在成功连接尝试中间，15% 所花费时间超过 5 秒。超过半数的连接设置时间成本超过 15 秒，其中 47% 的时间是浪费在扫描阶段。 他们发现，除了信号强度影响连接设置程序外，WiFi 接入点的设备型号和移动设备型号都有助于预测连接时间成本。他们发现导致设备和接入点之间丢包的原因包括：信号强度变化，WiFi 干扰、高负荷导致的响应延迟。研究人员认为，可以在设备型号、接入点型号、连接接入点的设备数量、连接尝试的时间等数据的基础上开发出基于机器学习的接入点选择方法去加快连接。他们的测试显示，连接失败率从 33% 减少到 3.6%，80% 的连接设置时间成本减少到原来的十分之一。 稿源：solidot，有删改，封面来源：百度搜索