在以往的网购指南中，往往推荐用户访问带有“安全锁”（Chrome 68开始默认不显示，所有HTTP网页标记不安全）的电商网站，可以极大地免受网络钓鱼攻击或者恶意软件陷阱。然而不幸的是，这条推荐的意义已经不大了。最新研究结果表明， 根据反网络钓鱼公司PhishLabs的最新数据，2018年第3季度中有49%的网络钓鱼站点在浏览器地址栏上都显示“安全锁”图标。而去年同期占比为25%，2018年第2季度占比为35%。这组数字的增长令人担忧，因为PhishLabs在去年的调查中发现，...

由于使用了旧的安全证书，互联网上的数千个网站将会在谷歌发布 Chrome 70 后受到影响 —— 访问这些网站的用户将会收到浏览器提示的安全警告。这是因为 Google 已放弃对赛门铁克在2016年6月之前发布的 HTTPS 安全证书的信任。 一年多前，当谷歌发现赛门铁克不正当地颁发安全证书时，谷歌方面就警告说它将放弃对来自赛门铁克受影响的批量证书的支持。简单来说，赛门铁克在2016年6月之前发布的安全证书都将不会受到 Chrome 70 的信任。因为谷歌早已在一年前就已公布时间表，所以 Web 开发者有一年多的时间来准备此更改。...

在周三于拉斯维加斯举行的黑帽网络安全会议上，“谷歌安全公主”Parisa Tabriz 发表了主题演讲，期间讨论了与网络安装状况有关的问题。其主旨是，在线安全不应该是用户关注的重点所在，所以科技巨头们需要作出更多的努力。人们在日常生活中，一直被网络攻击的阴霾所笼罩， 她在周二接受采访时称：所谓安全，应该是技术巨头们可以在网络上轻松保护每个人。 其为谷歌设立的终极目标是 —— 让安全成为第二天性，而不是你必须积极考虑实现的目标 —— 显然，这取决于互联网的“建筑师”们。
这趟旅程的重点是保障人们在 Web 上创建内容，但在默认设置下，他们中的绝大多数甚至根本不需要考虑这个问题。...

备受欢迎的安全证书颁发机构 Let's Encrypt 宣布，当前它已经为超过 1 亿个网站保驾护航，而且这个数字还在持续增长。仅在上个月，使用 HTTPS 保护的站点数量就增加了 2400 万。一天前，Google 刚刚宣布 —— 从 Chrome 68 开始， 在谈到 Let's Encrypt 和最近的消息时，项目负责人、前 Mozilla 雇员 Josh Aas 表示：
在 Let's Encrypt 项目推出之前，让每个都启用 HTTPS 是不现实的，毕竟这对财务、技术、教育等方面提出了一定的要求。...

据外媒 bleepingcomputer 5月17日报道，谷歌正计划停止在地址栏中标记 HTTPS 页面为“安全”站点，换句话说，在没有发现异常的情况下，所有 HTTPS 的站点都会默认为安全，此举将于今年9月份发布的Chrome 69生效。 Chrome安全产品经理Emily Schechter表示，该公司现在可以通过HTTPS实现这一举措，因为Chrome的大部分流量都是通过HTTPS实现的，因此无需再将用户的注意力吸引到“安全”指标。...

苹果公司为 WebKit 框架添加了新的保护措施，以防止可能滥用 HTTP 严格传输安全（HSTS）安全标准来跟踪用户。HSTS 提供了一种机制，通过这种机制，网站只能通过安全连接和直接浏览器访问安全版本所在的位置来声明自己。 基本上，当用户尝试连接到网站的不安全版本时， 由于 HSTS 告诉网络浏览器在被重定向到安全位置时记住并且将来自动去那里，可以创建一个“超级 cookie”，并且它可以被跨站点跟踪器读取。攻击者可以利用用户的  HSTS 缓存在设备上存储一位信息。 通过注册大量域并强制从受控子域中加载资源，...

虽然 HTTPS 的使用有助于保障互联网用户在浏览器和网站之间的数据安全，但越来越多的网络钓鱼方案正在利用人们对绿色小挂锁的无知。网络钓鱼防范公司 PhishLabs 近期发布了一个新的报告，显示在 HTTPS 页面上托管钓鱼网站的速度明显快于整个 HTTPS 的采用速度。 根据发布超过 1 亿个加密证书的 Let's Encrypt 表示，上个月 FireFox 加载的网页中有 65% 使用 HTTPS，2016 年底这个数字是 45%。与此同时，24% 的钓鱼网站使用网络加密。就在一年前，这些网站中只有不到 3% 使用了 HTTPS，...

Chrome 和 Firefox 主要浏览器开发商正致力推动 Web 的 HTTPS，逐渐采取措施对 HTTP 网页显示不安全警告。
据悉，Chrome 从 4 月开始对输入密码或信用卡号码的 HTTP 网页显示不安全警告。从今年 10 月开始， 稿源：solidot奇客，封面源自网络；...

据外媒 6 月 19 日报道，McAfee Labs 安全研究人员发现一款新型银行恶意软件 Pinkslipbot（又名：QakBot / QBot）可使用复杂多级代理通过 “HTTPS 控制服务器”通信。
Pinkslipbot 最初于 2009 年被赛门铁克检测曝光， 据悉，该恶意软件只能使用美国 IP 地址利用 Comcast Internet 测速仪检测目标设备是否连接。如果目标通过速度测试，恶意软件将点击 UPnP 端口检查可用服务。目前，研究人员尚未分析清楚攻击者如何判定“受感染设备有资格成为控制服务器代理”的确切程序。
研究人员认为，...