在面向开发者和公测用户的iOS 13.3版本更新中，允许Safari浏览器支持NFC、USB和Lightning FIDO2兼容的安全密钥。该功能事实上在iOS 13.3的首个开发者Beta版本中已经启用，不过在今天发布的Beta 2提供了更详细的信息。 在iOS 13.3更新中，Safari将支持物理安全密钥，例如配备了Lightning的YubiKey，可用于更安全的两因素身份验证。Yubico早在8月份就宣布了YubiKey 5Ci，但在发布之时，它的功能有限，因为它虽然不能与Safari，Chrome或其他主要浏览器一起使用，...

本周，第 19 届 CanSecWest 安全会议正在加拿大温哥华举行，同时我们迎来了一年一度的 Pwn2Own 黑客竞赛。周三开始的竞赛中，安全研究人员 Amat Cama 与 Richard Zhu 携手，率先曝光了两个与 Mac 版 Safari 浏览器有关的零日漏洞。 当天晚些时候，又有三位黑客（Niklas Baumstark、Luca Todesco、以及 Bruno Keith）成功地借助内核提权，攻破了 Safari 浏览器。 尽管他们展示了一套完整的访问，但只能算是部分胜利，因为据说苹果已经知晓了演示的其中一个漏洞。不过最终，他们还是拿到了 4.5 万美元的奖金。...

讯 北京时间9月17日上午消息，苹果为Safari浏览器中推出一系列新隐私功能，包括控制cookies，这将使Facebook等公司更难跟踪用户。 一直以来，各大公司习惯使用cookies来记录用户过去的访问内容。这有助于保存登录信息和偏好设置。但如今，这些cookies也被用来绘制用户画像，以便根据用户的喜好精准推送广告。...

讯 北京时间9月12日早间消息，据美国科技媒体The Register报道，安全研究人员发现Edge和Safari浏览器存在漏洞，恶意者可以利用漏洞发起攻击，在不改变地址的情况下改变网页内容。 安全研究人员拉菲·巴罗奇（Rafay Baloch）指出，微软已经用补丁修复漏洞，不过苹果行动迟缓，所以目前Safari仍然不安全。 通过漏洞，攻击者可以加载合法页面，让网页地址在地址栏显示，然后快速将页面内的代码转换为恶意代码，地址栏中的URL地址无需改变。这样一来，攻击者可以创建虚假登录屏幕或者其它表格，收集用户名、密码及其它数据，用户很难区分真假，他们会认为自己登录的页面是真实的。...

苹果公司为 WebKit 框架添加了新的保护措施，以防止可能滥用 HTTP 严格传输安全（HSTS）安全标准来跟踪用户。HSTS 提供了一种机制，通过这种机制，网站只能通过安全连接和直接浏览器访问安全版本所在的位置来声明自己。 基本上，当用户尝试连接到网站的不安全版本时， 由于 HSTS 告诉网络浏览器在被重定向到安全位置时记住并且将来自动去那里，可以创建一个“超级 cookie”，并且它可以被跨站点跟踪器读取。攻击者可以利用用户的  HSTS 缓存在设备上存储一位信息。 通过注册大量域并强制从受控子域中加载资源，...

安全大会组织者Vangelis在推特上宣布，在2016年PWNFEST黑客大会上，盘古团队和JH Hackers联合破解了macOS Sierra系统下的Safari浏览器，并获得了Root权限。这次成功破解Safari也让团队获得了高达10万美元的赏金。盘古是一支来自中国的iOS越狱团队。 目前，如何破解Safari浏览器的细节还没有公布，不过团队成功的拿到了基本（8万美元）和额外（2万美元）奖励。目前，运行iOS10的iPhone7 Plus还没有被破解，如果能成功破解，可以获得18万美元赏金。...