讯，据中国台湾地区iThome.com.tw报道，国际互联网工程任务组（Internet Engineering Task Force, IETF）将于近日商讨下一代HTTP底层协议，可能不再使用已经沿用多年的TCP协议，而有望改用以UDP协议发展出的QUIC技术，同时新一代HTTP将命名为HTTP/3。 目前，人们使用的HTTP (1.0、1.1及2)都是以TCP (Transmission Control Protocol)协议为基础实作出来。TCP作为一种传输控制协议，优点是安全、流量稳定、讲求封包的传输顺序，但缺点是效率低、连接耗时。为了提升数据在IP网络上的传输，Google提出了实验性网络层协议，称为QUIC。 QUIC并不使用TCP，而改用UDP (User Datagram Protocol)为底层，UDP虽然较不安全、可能有掉封包或封包后发先至的问题，但较简单、传输效率更高，能大幅减低延迟性。Google为QUIC提升安全性、并加入缓冲机制避免阻断服务攻击（DoS）。 虽然Google有意将QUIC提交到IETF，以便成为下一代网际网络规范，但IETF也提出了一个和Google QUIC分庭抗礼的QUIC。社区中称Google提出的QUIC为gQUIC，而IETF的为iQUIC。 另一方面，当IETF的QUIC工作小组将QUIC标准化时，它衍生出共两个协议，一个是网络传输协议，一个是HTTP层协议。网络传输层协议也可用于传输其他数据，不只为HTTP设定，但两者名称都使用了QUIC；而在iQUIC上传输的HTTP协议，长期以来就被称为HTTP-over-QUIC，或HTTP/QUIC。 为了解决种种混淆，让彼此之间更容易分别，IETF决定加以正名。HTTP工作小组暨QUIC工作小组主席Mark Nottingham倡议将HTTP-over-QUIC（HTTP/QUIC）重新命名为HTTP/3，并在上周举行的IETF HTTPBIS会议中提议，并且也广为接受。 Mozilla开发人员Daniel Stenberg日志列出了Nottigham在会中的简报，简报重申HTTP/3和之前协议之间的差异。HTTP/QUIC（HTTP/3）并非HTTP/1.1或HTTP/2的后代，也不是QUIC上的HTTP/2协议，因为它是在QUIC协议上新开发出的HTTP。下一代HTTP将是以QUIC为核心及网络传输协议的新协议。 Litespeed的工程师也宣布该公司和脸书已经完成HTTP/3实作的相容性测试。   稿源：，稿件以及封面源自网络；

在 7 月 24 号发布的 Chrome 68 中，Google 引入了一项重大的变化。当加载非 HTTPS 网站时，该浏览器的处理方式会更加审慎。据悉，只要遇到潜在不安全的站点，Chrome 都将开始抛出警告信息。虽然不会对日常使用造成太大的影响，但这确实是迄今为止发生的一个重大转变。 Chrome 正在改变加载 HTTP 时的处理方法，因为这项老旧的技术未对数据进行加密。   在之前版本的 Chrome 浏览器中，Google 还只是强调“当前访问的网站是否采访用了更加安全的 HTTPS 加密”，并在地址栏上凸显一个标记。 然而现在的情况是，Google 突然加快的步伐，彻底将那些缺失有效安全证书的非 HTTPS 网站划归到了“潜在不安全”的阵营，并抛出安全警示。 在官方支持页面上，Google 解释到： 过去几年中，我们一直主张站点采用 HTTPS，以提升其安全性。去年的时候，我们还通过将更大的 HTTP 页面标记为‘不安全’以帮助用户。 不过从 2018 年 7 月开始，随着 Chrome 68 的发布，浏览器会将所有 HTTP 网站标记为‘不安全’。 简而言之，从 Chrome 68 开始，这一变动将影响到 Web 和内网中‘潜在不安全’HTTP 网站的访问。   稿源：cnBeta，封面源自网络；

Let’s Encrypt 项目宣布，Automatic Certificate Management Environment （ACME）协议支持正在整合到 Apache HTTP Server （httpd）项目。ACME 是 Let’s Encrypt 使用的协议，整合到世界上最流行的 Web servers 意味着将能显著加快新网站和现有网站普及 HTTPS，部署 HTTPS 也将更容易。 Let’s Encrypt 希望未来其它 CA 也能支持 ACME。Apache httpd 的 ACME 模块被称为 mod_md，它的开发得到了 Mozilla 的资助.目前，位于 httpd 的开发分支计划向后移植到  httpd 2.4.x 稳定分支。 稿源：solidot奇客，封面源自网络；

据外媒 7 月 14 日报道，网络安全协会 SANS Institute 研究人员近期发现攻击者利用垃圾邮件通过 .zip 附带的恶意 JavaScript 文件感染 Windows 设备。一旦受害者点击邮件，系统将自动下载并安装勒索软件 NemucodAES 与 Kovter。 NemucodAES 是 Nemucod 木马下载器的新变种，早于 2016 年就已用其传播勒索软件 Locky 与 TeslaCrypt。Kovter 则是一款感染后难以检测与移除的恶意软件，攻击者不仅可用于实施欺诈，还可窃取用户个人信息、下载其他恶意软件或访问目标系统设备。 调查显示，垃圾邮件将恶意 .zip 存档伪装成联合包裹服务通知，以诱导受害者点击查看。目标系统在感染勒索软件 NemucodAES 后解压出恶意 JavaScript 文件并发出 HTTP 请求，从而通过 RSA-2048 与 AES-128 算法加密系统文件。一旦受害者系统文件被攻击者加密，将被要求缴纳约 1,500 美元赎金。不过，由于恶意 JavaScript 文件极易检测识别，因此用户系统的安全软件将会自动筛选过滤，以防系统下载勒索软件。 Kovter 感染目标系统后将会加密端口 80、443 与 8080 上的各种 IP 流量。至于 Kovter 攻击活动，似乎仅限于检查并输出命令与控制流量，与其他恶意软件相关的典型欺诈流量相比截然不同。目前，研究人员尚不清楚攻击者的真正意图。 原作者：Tom Spring，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接