2022年6月6-9日，被誉为安全行业“奥林匹克”的RSA Conference2022在旧金山召开。作为全球顶级的网络安全大会，RSAC2022吸引全球网络安全企业、专家、大咖共聚一堂，探讨当下热门网络安全技术理念，共同寻求抵御安全风险的新解法。 近年来，网络攻击事件频频发生，其中黑客“炫技”已经越来越少，取而代之的是作战思维更加明确，趋利性更加明显的专业化网络攻击组织，包括各种勒索软件团伙，合作链条紧密的地下黑产等等。 在这样的情况下，以攻击者视角对企业数字资产攻击面进行检测发现和持续监控的网络资产攻击面管理（CAASM）已经受到越来越多人的认可。 而如何通过CAASM帮助企业全面盘点网络资产，不断提高资产可见性和云配置，减少安全漏洞风险成为RSAC2022的焦点之一。为了更好地了解CAASM是如何减少攻击面，会后，security boulevard记者邀请JupiterOne 创始人兼首席执行官Erkang Zheng进行分享。 协调已经成为新的难题 众所周知，漏洞修复工作需要多部门共同协调完成，然而企业内部负责特定网络资产的技术和团队倾向于各自为政，漏洞管理人员的职责不明确，直接导致协调组织中的人员、策略和基础设施已经成为一项无法及时完成的工作，也让安全漏洞管理沦为纸上谈兵。 随着企业数字化转型、加速上云和IoT、5G、云原生等技术的应用，更多的业务转至线上，一方面使得内部数字资产结构和复杂性迅速增加，另一方面也让暴露在互联网上的攻击面呈指数级拓展，安全漏洞数量成倍增加，最终让本就艰难的安全漏洞修复朝着更加糟糕的方向发展。 倘若无法有效解决这一问题，那么企业数字化转型将面临停滞不前的风险。此时，CAASM应运而生。 作为是一种新兴技术，CAASM倾向于以智能化的手段更高效的识别组织内部的资产和漏洞。2021年7月，Gartner发布《2021 安全运营技术成熟度曲线》，首次提出CAASM概念，并指出“它使组织能够通过API与现有工具的集成、对合并后的数据进行查询、识别安全控制中的漏洞和差距的范围，以及修复问题，来查看所有资产的风险。” 换句话说，CAASM通过利用API可以让安全团队全面、快速了解IT基础架构的所有组件，无论它们是在本地还是在私有云、公共云或混合云中。在此基础上，安全团队可以大规模实施细粒度策略，全面提升各个组织的安全性，且不会对敏捷性有任何影响。 Erkang Zheng表示，这在大规模分布、快速变化的操作环境中实现并非一件容易的事情，因为安全团队既要尽可能地直接防止网络攻击，还要持续监控资产所有者，防止出现违规操作，并在发生安全事件时快速进行安全响应。 破除资产孤岛效应 采访中，Erkang Zheng表示，我们每个人小时候都玩过“连线画图”的游戏，让每个人将纸上的那些点全部连起来，就可以得到相同的答案。回到网络安全领域，如果那些点都特别清楚，目前云托管、数据分析等技术都可以随时智能地、大规模找出网络安全问题，并得到一个可行的答案。 但事实并非如此，上述操作听起来似乎很简单，执行起来却困难重重。 首先是存在底层技术障碍，企业网络基础设施组件不可能来自同一个供应商，大多时候供应商数量十分庞大，且每个供应商都有自己的技术和标准，彼此之间无法互通。其次，企业内部各个系统之间数据无法自由流通，完整的业务链上孤岛效应十分明显。而这些问题导致那些“点”最终无法连成图案。 因此，安全团队迫切需要一个新的解决方案，可以有效规范、整合企业网络资产信息，并快速查询、发现这些信息，包括有哪些资产，具体是什么，谁可以访问它等等。此时，安全团队就可以像“连线画图”那样直接、简单地提出问题，解决问题。 事实上，能否清楚掌握企业内部网络资产是安全体系的重要基础，也是安全团队能否改变传统工作流程，并跟上快速变化的数字化转型的关键点。Erkang Zheng表认为，安全团队并不仅仅是企业的看门人，还必须是一名审计者和建议者，而CAASM也不仅仅是一个数据平台，还是一个分析平台，一个协作平台。 缩小攻击面是企业的当务之急 随着零日漏洞披露、利用的时间间隔越来越短，零日攻击正成为多数企业的灾难，通过内部协作快速消除已披露的零日漏洞，已经成为安全团队的必备能力之一。 未来，随着CAASM技术的广泛应用，将进一步缩短漏洞的修复时间。作为新安全架构的一部分，CAASM可为漏洞修复提供支撑能力，助力安全团队系统地发现和修复安全漏洞，甚至是主动寻找新的安全漏洞。 Erkang Zheng举了一个例子。 假设企业拥有一个内部资源，其本身并没有向公众开放，但是这里面有一个直接暴露在互联网上的工作负载，且具有为其提供 API 级别访问权限的身份验证策略，此时，这个内部资源毫无疑问已经暴露在互联网上。 这恰恰是安全团队极其容易忽略的点，从Amazon Web Services 租用的云资源在实际混合和匹配中产生了新的安全漏洞。此时，这个被忽视的新漏洞将会成为企业安全的严重威胁。类似的案例还有很多，这个例子也解释了为何数字化之后，企业暴露的攻击面如此之多。 因此，企业迫切需要一个全新的解决方法，可以大规模地、及时地找到企业内部隐藏的漏洞并进行修复。 CAASM或许可以解决这一问题。而快速消除暴露的攻击面也是企业安全团队目前的首要任务。毕竟，暴露的攻击面越少，企业就越安全。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335615.html 封面来源于网络，如有侵权请联系删除

美国国家情报局局长表示，网络空间对手和商业间谍软件公司的创新，是令美国情报界越来越难以有效管理数字安全的关键因素之一。 6月6日，在RSAC 2022上，美国国家情报局局长Avril Haines发表主题演讲时表示：“我认为网络安全越来越难了。” 这一悲观评估是在因俄乌战争而激增的在线攻击以及国家恶意行为者的数字盗版或攻击的持续威胁的背景下，美国联邦政府和私营部门需要保持高度警惕的情况下做出的。 Haines承认，美国 “还没有想出如何防止应对复杂网络入侵……我认为这是一个挑战，我们将与之共存，从情报界的角度来看，现实就是如此。” 她特别提到复杂攻击性工具的商业化程度增加，”使我们更难管理，也使其他行为者更容易获得工具，允许他们以各种方式进行非常复杂的攻击。” 除了朝鲜和伊朗等长期敌对国家构成的威胁外，美国情报界还观察到跨国犯罪组织扩大其行动，特别是勒索软件攻击。 Haines说，网络安全的另一个方面被证明更具挑战性，那就是情报收集与在线隐私、公民自由之间的关系越来越紧张。 新冠疫情大流行是一个“通过接触者追踪和其他医学发展获得更多日常生活数据的完美例子”，这些信息随后可以被数据经纪人使用。 这位间谍大师还说，情报界还没有掌握从莫斯科入侵乌克兰的网络安全方面获得的所谓 “经验教训”。 她告诉听众：“我们还不知道冲突是否还在继续。关于冲突是如何发展的，还有更多的章节需要揭示。” Haines表示，一个潜在的收获是，去年年底在现在长达数月时间里，信息共享得到了加强。 “她说：”起初我们在人们中间遇到了相当多的怀疑。 因此，拜登总统敦促情报官员，”走出去，尽可能多地分享，确保人们看到你们所看到的东西。” Haines说：”我们在这个领域与合作伙伴和盟友进行了大量共享。在这个过程中，我们从他们那里学到了很多。   转自 安全内参，原文链接：https://www.secrss.com/articles/43275 封面来源于网络，如有侵权请联系删除

作为全球网络安全行业一年一度的盛宴，RSA Conference 2022于6月6-9日正在美国旧金山召开，RSAC大会不仅被誉为安全界的“奥林匹克”，更是网络安全的重要风向标之一。自1991年举办首届大会以来，RSAC大会就吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。思科作为全球领先的网络解决方案供应商也出席了此次会议。 安全领导者需重新考虑企业安全策略 在今年RSAC开幕主题演讲里，思科执行副总裁兼安全与协作总经理 Jeetu Patel发表了关于安全战略的讲话，在会议上，patel表示企业安全负责人可能需要重新考虑他们的安全策略，包括内部以及与客户、供应商、合作伙伴甚至竞争对手的关系。 Patel表示随着攻击者在不断利用新的漏洞，我们需要做的是确保采取一种更加基于风险的方法来管理漏洞。安全团队必须学会解决漏洞，不是基于它们发生的时间，而是基于它们构成的风险的大小。这种风险应该从所有类型的业务关系的角度进行评估，因为当出现问题时，它们都会受到影响。 安全策略应考虑整个业务生态系统 Patel说:“企业是作为一个整体的生态系统在竞争，而不是作为单独的组织在竞争。这意味着，根据生态系统中其他成员的情况，你自己的生产线、供应链和需求周期的运作方式可能会受到重大影响。而业务关系的相互联系现在要求更加关注访问和身份管理。你不再只有员工了。你有员工和承包商，但你有供应商、客户和合作伙伴。可以影响您的安全态势的人数越来越多。” 破坏性恶意软件的使用正变得异常普遍 除了业务生态系统带来的安全威胁，破坏性恶意软件的使用也变得越来越普遍，这种现象在未来一段时间里可能会变为常态。这是思科的外联负责人Nick Biasini和事件响应高级经理 Pierre Cadieux在会议中发表的观点，他们详细介绍了当前的威胁形势，并为企业自卫提供了可行的步骤。其中的关键要点包括保护凭证的重要性以及供应链威胁、破坏性攻击和零日漏洞利用的增加。 随着漏洞武器化的市场也越来越普遍，很少有企业能够及时的修复漏洞，这就导致通过部署破坏性恶意软件实时破坏性攻击的黑客数量在逐步增加，对此，Cadieux也表示出了担忧。 并且通过购买某些黑客软件，任何人无须挖掘某些系统漏洞就可以发动非常复杂的网络攻击，Biasini说，对手的广度在增加，这也导致了软件供应链风险也在增加。他说技术供应链更像是一个网络，正成为一个越来越大的问题，对手可以利用包括开源库和供应商交换数据在内的一系列途径。Biasini引用CCleaner作为一个主要的案例，这是一个在2017年被威胁行为者破坏的实用程序。攻击者将恶意代码注入到CCleaner中，这些代码最终被安装在数百万个系统上。 威胁行为者的变化 随着工作环境的变化，攻击者开发了新的方法来获取访问权限，例如设计恶意软件来破坏家庭路由器。Cyclops Blink是最近的一个例子，它归因于俄罗斯并感染了超过 500,000 台设备。Biasini说，家庭路由器为攻击者部署各种攻击提供了立足点，而家庭网络的检测能力有限，这增加了问题。而目前还没有很好的办法来区分家庭用户合法登录和黑客通过路由器登录。对他而言，你家的网络和你在当地咖啡馆连接的网络甚至没有区别。 另一个对威胁行为者有吸引力的目标是安全断言标记语言(SAML) 令牌，这是 SolarWinds 供应链攻击期间存在的向量。它们允许访问本地和云环境，而且它们还能绕过多因素身份验证 (MFA)，虽然它告诉你MFA有效，Biasini 在会议期间说。“MFA也确实减缓了他们入侵的脚步，然后我们就会看到他们试图滥用信任来获取资源。” 零日漏洞利用也造成了更广泛的损害。例如，在Kaseya供应链攻击中，REvil 勒索软件攻击者使用供应商的软件访问托管服务提供商 (MSP)，然后感染他们的客户，这些客户是资源有限的小型企业。Biasni 将其描述为基于服务的供应链攻击，“如果你在15年前告诉我，一个犯罪组织会使用多个零日对 MSP 客户发起供应链攻击，我可能不信，然而，我们现在遇到的黑客组织多数都是受资助的组织。” 尽管 MFA 已成为攻击者的目标，但思科还是建议为所有帐户实施MFA，包括限制Windows工具的可信帐户，网络分割，集中日志和保持最新的补丁。Cadieux强调访问日志的良好计划至关重要。他说，当涉及到被泄露的凭据和针对Active Directory (AD) 环境的目标时，唯一可以提供帮助的是密码重置。然而，这不是一蹴而就的事情。如果你没有在大型环境中完成它，你应该考虑如何做到这一点以及如何测试它。此外，企业需要了解他们的备份基础设施是如何工作的，如果发生勒索软件攻击，这一点至关重要。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335600.html 封面来源于网络，如有侵权请联系删除

图片来源：美国海军Flickr账号/CC BY 2.0 医疗设备基础设施复杂性和对传统技术的严重依赖，使得设备安全状态不断变化，很难找到解决方案； 高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备； 美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用。 业界正普遍达成共识，设备制造商、供应商及监管机构等角色正朝着正确方向推进改善医疗设备的安全性，但系统性挑战阻碍了这一进程。 在RSAC 2022现场，安全厂商Tenable运营技术安全副总裁Marty Edwards、医疗保险公司Humana业务信息安全官Ankit Patel以及健康信息共享与分析中心（Health-ISAC）首席安全官Errol Weiss，共同就医疗设备的安全现状和阻碍医疗保健行业安全提升的因素展开深入讨论。 Edwards表示，总体来看，医疗设备安全的延伸与教育工作仍有发展和改进的空间，但整个行业已经在为设备构建更多安全功能方面也取得了长足进步。 制造业社区的安全文化愈发向好。以往，研究人员在发现安全漏洞后，往往只能跟制造商的法律部门联系。Edwards提到，“过去制造商很少在官网上提供安全联络信息，只能通过法律部门回应相关漏洞披露。但现在，大多数制造商已经越来越成熟，开始朝着正确的方向靠拢。” 许多企业增设了首席产品安全官，专门负责管理产品安全问题。他补充道，虽然也有一些制造商做得还很不够，但“总体趋势正朝着积极的方向发展”。 Patel表示，“对于复杂的医疗设备或者物联网装置，我们部署的安全控制机制可能还不够全面……但至少过去五年来，行业已经取得了比以往多得多的进步。” 尽管在新设备保护方面表现积极，包括引入改进的身份验证机制等措施，但医疗设备基础设施的复杂性和对于传统技术的严重依赖，仍使得设备安全状态不断变化，很难找到解决方案。 医疗保健行业面临的最大安全问题：遗留技术 在Patel看来，真正的问题集中在遗留技术身上。例如，磁共振成像（MRI）设备和超声波设备的单台成本超过100万美元，高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备。 新设备当然更加安全，但那些无处不在的传统设备和Windows XP系统也非常顽强。很多用户毫不犹豫地把这些设备接入网络，甚至认为“这有什么关系？哪来那么多人对医疗设备有想法？” Weiss称，“在医疗保健行业中，我们发现有大量磁共振成像系统在互联网上直接开放。网络上的每一台设备，都可能成为恶意黑客的突破口和恶意软件的传播起点。” 他强调，“这就是问题就在，最大的挑战就在这里。” Weiss还提到，过去几年来，医疗设备底层软件包也暴露出多个严重漏洞，如无线连接模块漏洞直接影响到数百万台设备。“漏洞似乎无穷无尽，总是不断涌现。” 而就在医疗保健努力解决这些长期遗留问题的同时，物联网趋势也在一刻不停地向前发展。 Patel表示，“家庭健康正在成为主流，许多卫生系统投入了大量技术资金，希望能持续监测患者体征。”另外，关于机器人远程手术的话题也得到广泛关注，“行业的创新成果和技术应用可谓进展迅速。” 降低医疗器械风险，监管与沟通将发挥重要作用 美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用，同时也将在过程中持续助力各家供应商。目前，针对制造商、软件物料清单（SOMB）以及医疗保健行业多年来的种种安全诉求，已经有多项立法提案正积极酝酿。 从立法角度来看，Patel认为医疗设备安全已经有了不错的基础要素。但在制造商社区中，供应商和安全领导者需要开展更多对话，以就切实观点进行合作，并“确定更具体的实用性解决方案”。 在Weiss看来，如果能够改善医疗设备制造商和供应商间的沟通效果，那么设备的实用性乃至后续安全性的持续升级都将更有保证。 Patel说，目前看来，医疗保健行业自身也很清楚问题的存在。“但我们需要找到一种更加可行的解决方案设计思路，用分析解决问题，摒弃过去那些「人家供应商社区就是这么做的」、「操作人员根本不知道自己在干什么」之类既没意义、又没逻辑的托词。” Patel最后总结道，“制造商也面临着自己的挑战，但我们都在努力发现并解决问题。只要我们永远心系安全，并将安全视为流程中的固定组成部分，就一定能朝着正确的方向继续前进。”   转自 安全内参，原文链接：https://www.secrss.com/articles/43274 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，2021 年，苹果 App Store 应用审核团队封杀了超过 34.3 万个违反隐私规定的 iOS应用程序，另外还有 15.7 万个应用程序因试图误导或向 iOS 用户发送垃圾邮件而被拒绝。 值得一提的是，苹果公司表示，有 34500 个应用程序因使用了未记录或隐藏功能，从而禁止在 App Store上获得索引。不仅如此，苹果还删除了 15.5 万个采用诱导性策略的应用程序。 整个 2021 年，应用程序审查团队“下架了”超过 160 多万个有风险或有漏洞的应用程序。 苹果公司在一份欺诈预防分析报告中宣称，前年，App Review 团队拒绝或删除了近 100 万个有问题的新应用程序和近 100 万个应用更新。 苹果公司表示，公司的目标是致力于使 App Store 成为值得用户信赖的地方，其保护客户免受欺诈的努力需要多个团队的监测和警惕，这些团队集中在应用审查，发现欺诈等几个领域。 去年，Avast 的研究人员发现，被称为 fleeceware 的欺诈性应用程序仍然是 iOS 应用商店的一个大问题。这类应用程序往往以免费试用为借口，引诱客户，之后就会要求用户每年支付数千美元的订阅费用。 Avast 表示，在苹果和谷歌的应用商店中，大约有 200 个这样的软件应用程序，预计产生了超过 4 亿美元的利益。 一年前，Sophos 的研究人员同样发现了几十个 fleeceware 应用程序， iOS 用户大约下载了 368 万次，使其成功跻身 App Store 最畅销应用程序之列。 阻止了 15 亿美元的潜在欺诈性交易 苹果公司表示，整个 2021 年，它保护其客户免受约 15 亿美元的潜在欺诈性交易。另外，还阻止了 330 多万张被盗卡在苹果在线商店平台上的使用，并禁止了近 60 万个账户在其平台上进行交易。 苹果公司强调，没有什么数据比用户的财务信息更敏感，这就是为什么 Apple 投入巨资，创建类似 Apple Pay 和 StoreKit 等更安全的支付技术。 据统计，超过 905000 个应用程序使用了这些技术在 App Store 上销售商品和服务。使用 Apple Pay，用户的信用卡号码永远不会与商家共享，这很好的消除了支付交易过程中产生的风险因素。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335320.html 封面来源于网络，如有侵权请联系删除

苹果公司表示，其App Store安全机制阻止了近15亿美元的潜在欺诈交易，并使160万个”问题应用程序”远离客户。周三发布的这份报告是该公司在2021年发布的前一次预防欺诈分析报告的后续报告。根据这两份报告，苹果在2020年和2021年阻止了相同数额的欺诈交易–15亿美元。 与此同时，苹果还成功地打击了各类有问题的应用程序，它在2020年和2021年分别阻止了100万和160万个。 在整个2021年，苹果公司说它发现并阻止了超过9400万条虚假评论和1.7亿个评级，因为”没有达到审核标准”。它还删除了另外61万条通过客户报告或人工评估发现的无效评论。 苹果还因欺诈活动终止了80.2万个开发者账户，因类似理由拒绝了15.3万个账户。它还阻止了63500个涉嫌盗版侵权的非法应用程序。 “苹果公司为防止和减少App Store上的欺诈行为所做的努力需要多个团队的持续监测和警惕，”苹果公司写道。”从应用审查到发现欺诈，苹果公司不断致力于保护用户免受欺诈性应用活动的影响，这再次证明了为什么独立的、受人尊敬的安全专家说App Store是寻找和下载应用最安全的地方。” 除了最新的数字，报告还再次强调了苹果用来保护App Store客户的那种保护措施。这包括应用商店审查、支付和信用卡保护以及反账户欺诈机制。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1276213.htm 封面来源于网络，如有侵权请联系删除

英国通讯管理局今天公布了对全国网络习惯的新研究，称其发现英国女性网民对其网络安全的信心低于男性，而且受到歧视性、仇恨性和嘲弄性内容的影响更大。 这项研究涉及监管机构对约6000名英国人进行调查，以了解他们的在线经验和习惯，研究还表明，与男性同行相比，女性觉得在网络上的发言权和分享意见的能力较差，但是研究也发现，女性往往是互联网和主要社交媒体服务的更热心用户。 监管机构正在敦促科技公司听取其调查结果，并立即采取行动，使其平台对妇女和女孩更加友好和安全。虽然监管机构还没有正式的权力来迫使平台改变他们的运作方式，但根据目前提交给议会的在线安全法案，该法案将引入平台的注意义务，以保护用户免受一系列非法和其他类型的伤害，它将能够对违反规则者处以最高达其全球年营业额10%的罚款。 因此，通信管理局的言论可以被视为对Facebook和Instagram所有者Meta等社交媒体巨头的警告，一旦法律通过并生效，它们将面临监管机构的密切运营审查。英国通讯管理局敦促科技公司认真对待女性的在线安全问题，并将人们的安全置于其服务的核心。这包括在设计服务和提供内容的算法时，听取用户的反馈。 这项研究表明，在每一个方面，女性对上网的感觉不如男性积极。她们只是觉得不太安全，而且她们受仇恨言论和嘲弄的影响更深。因此，老实说，有一种寒蝉效应，让女性觉得不太能够在网上分享她们的意见，不太能够让人听到她们的声音。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1276187.htm 封面来源于网络，如有侵权请联系删除

有消息显示，Google已于近日悄悄禁止了其在 Colaboratory（Colab）服务上的深度伪造（Deepfake）项目，这代表以Deepfake为目的大规模利用平台资源的时代或已画上句号。 众所周知，Colab是一个在线计算资源平台，允许研究人员直接通过浏览器运行Python代码，同时使用包括GPU在内的免费计算资源来支持自己的项目。正由于GPU的多核特性，Colab是类似Deepfake模型机器学习项目或执行数据分析理想选择。 经过一定训练，人们将Deepfake技术用于在视频片段中交换面孔，并添加真实的面部表情，几乎能够以假乱真。然而，这项技术时常被用于传播假新闻，制作复仇色情片，抑或用于娱乐目的。在实际运用中缺乏伦理限制一直是这项技术存在争议的根源。 Deepfake遭禁 根据互联网资料馆网站archive.org的历史数据，这项禁令出台于本月的早些时候，Google Research部门悄悄将Deepfake列入了禁止项目的名单中。 正如DFL软件开发者“chervonij”在Discord社区平台上所指出的那样，那些现在仍尝试在 Colab平台上训练deepfake的用户会收到这样一条错误报告： “您可能正在执行不被允许的代码，这可能会限制你未来使用Colab的权限。关于更多禁止行为的信息，请留意我们的常见问题解答（FAQ）文档。” 分析人士预计，这一项新限制措施将在Deepfake世界中产生非常深远的影响，因为目前有许多用户都在运用Colab的预训练模型来启动他们的高分辨率项目。即使对于那些没有编码背景的人来说，Colab也可以让项目过程变得很平滑，这也就是为何那么多教程都建议用户运用Google的“免费资源”平台来启动自己的Deepfake项目。 资源的滥用 目前尚不清楚Google执行这项禁令是出于道德考虑还是由于项目所使用的免费计算资源被滥用。 Colab成立的初衷是对那些为了实现科学目标需要成千上万资源的研究人员提供帮助，这在当下这个GPU短缺的年代是尤为重要的。 然而却事与愿违，有报道显示，一些用户正在利用平台的免费资源大规模创建Deepfake模型，这在很长一段时间内都占用了Colab的大量可用资源。 以下是不被允许项目的完整列表： 与Colab交互式计算无关的文件托管、媒体服务或其他Web服务产品 下载种子或进行点对点文件共享 使用远程桌面或 SSH服务 连接到远程代理 加密货币挖矿 运行拒绝服务攻击 密码破解 使用多个帐户解决访问或资源使用限制 创建Deepfakes 不难看出，所有这些被禁止的项目都远没有资格进行常规科学研究。尽管有些项目属于合理使用的范畴，但Google发现被滥用的情况要远远多于合理使用的情况。   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/334951.html 封面来源于网络，如有侵权请联系删除

消费者监察公司 Which? 近日表示，Chrome 浏览器无法识别绝大多数的钓鱼网站。而对于这项研究的有效性和使用方法，Google 提出了质疑。 根据 Which? 公司对新近发现的前 800 个钓鱼网站进行的研究，Windows 端 Chrome 浏览器只阻止了其中的 28%，而 macOS 端只阻止了 25%。这些数字与表现最好的浏览器 Firefox 形成鲜明对比，Firefox 在 Windows 中能将用户从这些网站中的 85% 重定向，在 Mac 上为 78%。   在发送给英国新闻媒体 The Independent 的声明中，Google 对 Which? 的调查结果持怀疑态度： 这项研究的方法和结果需要仔细审查。10 多年来，Google 一直帮助其他浏览器制定反钓鱼标准–并免费提供基础技术。Google 和 Mozilla 经常合作以提高网络的安全性，Firefox 浏览器主要依靠 Google 的 Safe Browsing API 来阻止网络钓鱼–但研究人员表示，Firefox 浏览器提供的网络钓鱼保护明显多于Chrome。使用相同技术检测网络钓鱼的浏览器在其提供的保护水平上存在有意义的差异是非常不可能的，因此我们对这份报告的发现仍然持怀疑态度。 网络钓鱼骗局几乎和互联网一样久远。它们通常采取电子邮件或短信的形式，其中有伪装成任何数量的合法公司的官方登录页面的欺诈性网站链接。Chrome、Firefox和其他浏览器试图过滤掉这些可疑的网站。 网络钓鱼骗局在用户层面最容易得到缓解。消费者应该对要求提供信息或要求他们登录某个网站的未经请求的电子邮件持怀疑态度，无论该电子邮件或网站看起来多么正式。糟糕的语法或拼写以及不寻常的URL是其他明显的迹象，表明电子邮件并非真正来自银行或其他用户经常访问的网站。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1274521.htm 封面来源于网络，如有侵权请联系删除

Facebook、WhatsApp和Instagram的母公司Meta宣布，其隐私政策将有一系列新变化。据Meta公司称，这些变化旨在更清楚地向用户传达该公司如何使用其收集的信息。 Meta公司强调，更新后的隐私政策并没有为该公司带来任何收集、使用或分享用户数据的新方式。相反，它只是简化了措辞，并对政策和其他数据做法提供了更详细和更清晰的解释。新的隐私政策以前被称为数据政策，将于7月26日生效。这项政策涵盖Facebook、Messenger、Instagram和其他Meta产品。然而，WhatsApp、Workplace、Free Basics和Messenger Kids并不包括在内。该公司也已经开始向用户发送关于新政策的通知。用户可以点击通知，查看变化并阅读更多细节。 更新的Meta隐私政策是为了让人们更容易理解。Meta已经重写和重新设计了隐私政策，使其更容易理解，更清楚地让用户了解如何使用相关信息。Meta还加入了更多Meta与之共享和接收信息的第三方细节，并解释了用户信息如何以及为什么在Meta产品中共享，以及其他变化。 此外，Meta也在更新其服务条款。在某些国家，用户将可以选择不接受新的隐私政策和服务条款。在印度，用户可以接受或不接受更新的隐私政策和服务条款，对用户访问Meta产品没有任何影响。Meta还推出了一个新的隐私设置，允许用户控制谁可以默认看到他们在Facebook上的帖子。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1274499.htm 封面来源于网络，如有侵权请联系删除