谷歌今日对旗下 Play Store 应用市场的开发者政策进行了更新，禁止了更多种类的应用发行上架，包括进行加密币挖矿、包含“破坏性”广告等应用，但通过远程控制其它设备进行挖矿的应用仍被允许上架。前段时间苹果更新开发者审核指南，明确禁止了挖矿应用。 此外政策更新还限制了重复模仿性的应用（Repetitive Apps），指那些模仿已有应用提供同样功能体验的 APP，这些 APP 完全重复其它应用的内容，不增加任何独特的或新的功能，还可以包括由自动生成工具、向导服务、或者基于模板的应用等。 此外，政策更新还限制了与武器或者武器配件相关的应用，为爆炸物、火器、弹药或者武器配件提供销售的应用将会被封禁；表面看上去面向儿童的应用，却提供成人主题的应用也在禁止名单中。     稿源：cnBeta.COM，封面源自网络；  

McAfee反病毒软件创始人约翰迈克菲最近在社交媒体上高调招募黑客攻击他公司新产品Bitfi数字钱包，他表示会给那些可以闯入Bitfi钱包的人提供10万美元奖金。约翰迈克菲表示，对于那些声称没有什么设备是不可破解的人来说，Bitfi钱包真的是世界上第一个不可攻击的设备，任何可以破解它的人都可获得10万美元的赏金。 Bitfi营销团队已经足够快速地制定了一些关于这场比赛的官方规则。这个团队表示：“我们坚信奖金的价值在于努力解决任何可能对Bitfi钱包安全性的担忧。这个赏金计划并不是为了帮助Bitfi识别安全漏洞，因为我们已经声称我们的钱包安全性是绝对的，并且钱包不会受到外部攻击的攻击或侵入。相反，这个活动旨在向任何声称或认为没有任何不可攻击或者他们可以侵入Bitfi钱包的人展示，这样的尝试是徒劳的，并且关于Bitfi钱包的广告声明是准确的。” 不过参与攻击Bitfi数字钱包攻击活动的黑客首先需要购买一个Bitfi钱包才能参与这次活动，并额外支付50美元才能将一些加密货币加载到设备上供参与者攻击和偷窃。申请赏金的规则很简单：“如果您成功提取硬币并清空钱包，这将被视为成功的黑客攻击，并且提供钱包清空的证据，然后你可以保留提取的数字货币，Bitfi说他们会向你支付10万美元。“ 约翰迈克菲还要求参与者公开任何攻击尝试，以便该过程可以帮助其他人进一步攻击Bitfi钱包。   稿源：cnBeta，封面源自网络；

备受欢迎的安全证书颁发机构 Let’s Encrypt 宣布，当前它已经为超过 1 亿个网站保驾护航，而且这个数字还在持续增长。仅在上个月，使用 HTTPS 保护的站点数量就增加了 2400 万。一天前，Google 刚刚宣布 —— 从 Chrome 68 开始，该浏览器将正式向所有不安全的 HTTP 站点开炮。 在谈到 Let’s Encrypt 和最近的消息时，项目负责人、前 Mozilla 雇员 Josh Aas 表示： 在 Let’s Encrypt 项目推出之前，让每个都启用 HTTPS 是不现实的，毕竟这对财务、技术、教育等方面提出了一定的要求。 我们着力于大规模的易用性工作，这就是近年来部署 HTTPS 的惊人增长的主要推动力。 今天，Let’s Encrypt 签发的加密证书已经覆盖了超过 1 亿个网站，且有望在 2018 年底前达到 1.5 亿+。 Let’s Encrypt 的增长，对业界来说是一个很好的标志性事件。因为它有助于保护人们在登录网站时不被黑客入侵，尤其是那些鱼龙混杂的公共网络。 结合 Google Chrome 突显 HTTP 不安全警告，我们预计可以大幅促进网络上 HTTPS 的增长。 遗憾的是，仍有许多大网站没有即时跟进部署 HTTPS，比如 WhyNoHttps.com 就指出： 中国仍有许多不安全的网站，此外 t.co、wikia.com、bbc.com、foxnews.com、dailymail.co.uk、roblox.com、sberbank.ru、speedtest.net、ladbible.com、ign.com、asos.com 等也不够安全。   稿源：cnBeta，封面源自网络；

微软今天开始推出One Week Hackathon，这是全球最大的私人黑客竞赛，参赛的微软员工将尝试寻找解决世界上一些最具挑战性问题的新想法。参与者将获得一本新书“能力黑客”，其中回顾了两个黑客团队如何创建新技术以赋予残疾人新的能力。 早在2014年，Ability EyeGaze黑客团队就接到史蒂夫格里森的电子邮件，史蒂夫格里森是一名前NFL球员，患有神经肌肉疾病，称为肌萎缩侧索硬化症（ALS）。格里森想挑战微软员工找到一种方法让他用眼睛控制自己的轮椅。经过漫长而艰难的旅程，Ability EyeGaze Hack团队取得了成功，可访问性项目最终在去年进入了Windows 10。 该书还记录了学习工具黑客团队的可访问性项目，该团队最初旨在帮助阅读障碍的学生学习如何阅读它。该项目很快改变了范围，以帮助患有dysgraphia，ADHD，英语学习者和新兴读者的人，并且学习工具已经集成到Office和Microsoft Edge中。 微软首席可访问官Jenny Lay-Flurrie说：“早在2014年，我们有10个能力黑客项目，去年我们有150个项目和850个参赛者，今年我们希望这本书以及这些团队所经历的旅程能够引发关于技术变革力量的对话，并鼓励工程师和人员构建下一波包容性技术。”   稿源：cnBeta，封面源自网络；

据外媒CNET报道，事实证明，谷歌员工避免网络钓鱼的关键是一个真正的密钥。 Krebs on Security上周报道称，该公司于2017年初开始使用基于物理USB的安全密钥，从那时起，其85000多名员工中没有一人在使用他们的工作账户时遭遇网络钓鱼。 密钥可用作双因素身份验证的替代方法，用户首先使用密码登录，然后输入通常通过文本或应用程序发送到手机的其他一次性密码。 一位谷歌代表告诉Krebs，安全密钥用于该公司的所有帐户访问。 “自从在谷歌使用安全密钥以来，我们没有报告或确认帐户接管，”这名代表表示。“用户可能会被要求使用他们的安全密钥对许多不同的应用程序/原因进行身份验证。这完全取决于应用程序的敏感性以及用户在该时间点的风险。” 谷歌没有立即发表评论。 根据Krebs on Security的数据，在2017年之前，谷歌员工使用Google Authenticator应用生成的一次性密码  。但是一个零售价低至20美元的安全密钥使用了一种称为通用第二因子（U2F）的多因素身份验证。U2F允许用户通过插入USB设备并按下上面的按钮来登录。设备链接到某个站点后，用户不再需要输入密码。 据Krebs on Security称，更多网站正在采用U2F身份验证，但目前只有少数网站支持它，例如Dropbox，Facebook和Github。它受到Chrome，Firefox和Opera等浏览器的支持。据报道，微软将在今年晚些时候更新其Edge浏览器以支持U2F。   稿源：cnBeta，封面源自网络；

在 7 月 24 号发布的 Chrome 68 中，Google 引入了一项重大的变化。当加载非 HTTPS 网站时，该浏览器的处理方式会更加审慎。据悉，只要遇到潜在不安全的站点，Chrome 都将开始抛出警告信息。虽然不会对日常使用造成太大的影响，但这确实是迄今为止发生的一个重大转变。 Chrome 正在改变加载 HTTP 时的处理方法，因为这项老旧的技术未对数据进行加密。   在之前版本的 Chrome 浏览器中，Google 还只是强调“当前访问的网站是否采访用了更加安全的 HTTPS 加密”，并在地址栏上凸显一个标记。 然而现在的情况是，Google 突然加快的步伐，彻底将那些缺失有效安全证书的非 HTTPS 网站划归到了“潜在不安全”的阵营，并抛出安全警示。 在官方支持页面上，Google 解释到： 过去几年中，我们一直主张站点采用 HTTPS，以提升其安全性。去年的时候，我们还通过将更大的 HTTP 页面标记为‘不安全’以帮助用户。 不过从 2018 年 7 月开始，随着 Chrome 68 的发布，浏览器会将所有 HTTP 网站标记为‘不安全’。 简而言之，从 Chrome 68 开始，这一变动将影响到 Web 和内网中‘潜在不安全’HTTP 网站的访问。   稿源：cnBeta，封面源自网络；

Chipzilla近期公布了英特尔管理引擎（Intel ME）的更多安全更新。根据发布的多个公告，共计修复了四个漏洞。Positive Technologies详细介绍了这些BUG，其中编号为CVE-2018-3628的“HTTP handler的缓冲区溢出”问题最为严重。 身处相同网络子网上的攻击者可以在Active Management Technology (AMT）环境中执行任意代码，不需要管理员权限就能访问AMT账号。这使得恶意攻击者能够完全远程控制计算机。 CVE-2018-3629是另一个缓冲区溢出漏洞，CVE-2018-3632是一个内存损坏错误，只有管理员权限的本地攻击者才能利用。CVE-2018-3627同样需要管理员权限，这是Intel Converged Security Management Engine 11.x中存在的逻辑错误，可以运行任意恶意代码。   稿源：cnBeta，封面源自网络；

讯 北京时间7月23日上午消息，为了各平台之间用户易于传输数据，四大科技巨头——Facebook、谷歌、微软以及Twitter——联合推出了一项名叫数据传输项目（DTP）的源代码倡议。 该项目能让用户在参与DTP的服务供应商之间自由传输数据，目前仍处于实施早期阶段，但有望促进尽可能多的供应商加入其中。 Facebook隐私和公共政策负责人Steve Satterfield在一次声明中表示，“今年，我们已经在隐私设置中进行了调整，用户可以更方便地找到并管理自己的数据。但是当你登录一项服务时，你要想使用另一款服务的数据还是不太方便。” “举个例子，你也许会使用一个公开分享图片的应用、和朋友分享近况的社交应用还有一个记录健身情况的应用。人们希望能传输不同服务上的数据，但是也希望这些公司能够帮助他们保护好数据安全。” 他指出，DTP项目将解决这些问题。 DTP会减少服务供应商以及用户两者身上的基础设施负担，从而提供更多的便捷服务。项目会利用服务已有的应用程序接口以及授权机制来获取数据，之后利用服务特定的适配接口来将数据转化为一种常见的格式，再发送到新服务的应用程序接口。 这一共有的框架能够将任意两个在线服务供应商连接在一起，实现平台之间数据无缝、直接且便捷的传输。   稿源：，稿件以及封面源自网络；

近日，在 Facebook 的网站上，该公司的 Daniel Xu 宣布在 GPLv2 许可证下开源 oomd。oomd 是用户空间内存溢出杀手(OOM Killer)，它在最近关于块 I/O 延迟控制器的文章中有被提及到。当内存不足时，内存溢出杀手会杀掉一些进程，它的主要任务是保护内核，因此应用程序可能会受到影响。相比传统的 Linux 内存溢出杀手，oomd 会全面监视系统，评估系统是否处于不可恢复的工作负荷下。在系统的 OOM Killer 作用前，oomd 会在用户空间采取纠正措施。 Facebook 表示，它们的基础设施已经发展到包含新闻信息流、Messenger、Instagram、WhatsApp、Oculus以及其他一系列产品。这些产品和它们背后的系统运行于分布在多个地理分布式数据中心的数百万台服务器上。随着基础设施规模不断扩大，Facebook 的机器和网络越来越多地跨越多代，这种多代生产环境的一个副作用是新的软件版本或配置更改可能导致系统在一台计算机上运行正常但在另一台计算机上遇到内存溢出(OOM)问题。传统的 Linux 内存溢出杀手在某些情况下运行良好，但在其他情况下，它启动得太晚，导致系统进入不确定时期的活锁。 因此 Facebook 开发了oomd，一种更快、更可靠的解决方案，用于常见的内存溢出(OOM)情况，它可以在用户空间而不是内核空间中运行。Facebook 设计的 oomd 包含两个关键特性：pre-OOM钩子(pre-OOM hooks)和自定义插件系统。在工作负载受到威胁之前，pre-OOM钩子提供了对 OOM 的可见性。由于 OOM 检测标准可能因工作负载而异，因此插件系统支持对检测和进程终止策略进行自定义。 与用于内核空间内存溢出杀手的一些对比 结论 oomd 是新型的用户空间内存溢出杀手(OOM Killer)，允许应用程序开发者在工作负载消耗所有可用系统内存时自定义响应。Facebook 表示，他们的测试表明 oomd 是默认 Linux 内核内存溢出杀手的可靠而有效的替代品。他们已经在 Facebook 开发并部署了 oomd，发现它使自家的公司能够减少从构建服务器到机架交换机到共享计算资源的工作负载频率。   稿源：开源中国，封面源自网络；

讯 北京时间7月20日早间消息，据彭博社报道，谷歌正在悄然开发的手机和平板电脑操作系统Fuchsia可能会在5年内取代Android和Chrome OS。 但据CNBC了解，实际上谷歌并未制定什么5年计划。报道称，谷歌CEO桑达尔·皮查伊（Sundar Pichai）以及Android和Chrome业务负责人希罗什·洛克海姆（Hiroshi Lockiheimer）尚未批准任何“路线图”。谷歌发表简短声明称，Fuchsia只是该公司的“诸多实验性开源项目之一”，但拒绝进一步置评。 彭博社从消息人士处获悉，Fuchsia团队自己的工程师认为他们可以从小目标开始，先让Fuchsia系统在3年内登陆Google Home智能音箱等智能家居设备，随后再进军笔记本，最后才是手机。但谷歌并未证实这种技术可能在何时问世。 这可能是谷歌为手机、平板电脑和PC打造单一操作系统的一种方法，该公司在过去多年时间里一直都想要做到这一点；同时也可借此避免在未来遭到起诉，这是因为Fuchsia的基础代码与Android不同。另外，谷歌还可通过这种方法来解决Android系统的碎片化问题（也就是用户不能指望Android手机能拥有相同的功能），这个问题困扰谷歌已有多年。 但对谷歌来说，抛弃Android并非易事。据一位消息人士向彭博社透露，谷歌对这个想法可能没那么认真。该消息人士称，这是一个为了“留住高级工程师的项目”，旨在让谷歌的人才有事可做，这样一来就不会离职转投谷歌竞争对手的公司了。   稿源：，稿件以及封面源自网络；