adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
隐私
lx1(25847)
发表于2019年04月20日 19时02分 星期六
来自
上周,Chrome、Safari、Opera 和 Microsoft Edge 的新版本被发现不再允许用户关闭“链接审计( hyperlink auditing)”的功能。链接审计是一项 HTML 标准,被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求,用户检查请求头文件就可以了解点击的源地址。目前只有 Brave 和 Firefox 这两个浏览器默认禁用链接审计。但本周 Mozilla 表示 Firefox 将默认启用点击跟踪。虽然部分用户认为这项功能对隐私构成的风险,但浏览器开发商认为它有助于改进性能。Mozilla 称它之所以没有启用链接审计是因为它的实现还没有完成。它认为禁用链接审计无助于改进隐私。Brave 则表示它会继续禁用链接审计。
Android
lx1(25847)
发表于2019年04月18日 12时58分 星期四
来自
BuzzFeed News 的调查发现,中国应用开发商 DU Group 开发的多款流行应用存在广告欺诈和滥用用户权限的问题。DU Group 自称其全球用户超过 10 亿,它去年从百度剥离出来成为独立公司。它的至少六个应用存在欺诈性广告点击的问题,这些应用在 Google Play 的下载量超过了 9 千万。此外它的应用还被发现索要过多的用户权限。这些问题不限于 DU Group,其它流行应用也被发现索取权限过多和其它安全隐私问题,比如一款中文儿童应用会向中国服务器发送未加密个人信息。Google 称它已经将被发现存在广告欺诈的 6 个 DU Group 应用列入黑名单。
隐私
lx1(25847)
发表于2019年04月15日 13时20分 星期一
来自
2018 年 3 月 14 日,亚利桑那州发生了一起随机谋杀案件,现场没有目击者,除了 Google。当仓库工人 Jorge Molina 遭到逮捕时,警方称他们跟踪到其手机到达了谋杀现场。他们申请了搜查令,要求 Google 提供谋杀现场周围所有的手机记录。但随着新的证据出现,警方释放了他,逮捕他母亲的前男友。这起案件令 Google 的手机跟踪数据库引发了关注,搜索巨人的用户手机数据库变成了执法部门的数字法网。在一个数据收集无处不在的时代,它是个人信息以一种人们没有想象到的方式使用的最新例子。
隐私
lx1(25847)
发表于2019年04月13日 22时49分 星期六
来自
亚马逊、苹果和 Google 都有员工,从智能助手和语音助手应用程序中收听客户语音录音,引发如何界定窃听和隐私的议论纷纷。彭博社在采访亚马逊“审听过”其智能语音助手 Alexa 录音的工作人员后,突出报道这一话题。上述三家公司都表示,偶尔会对语音录音进行审听,以提高语音识别能力。一些审听人员告诉彭博社记者,他们在内部聊天室里也会互相分享有趣的语音录音片段。他们也描述曾听到令人不安的片段,比如有可能发生的性攻击。亚马逊发布声明表示,它认真对待客户安全和隐私。审听客户录音样本有助于训练语音识别和自然语言理解系统,绝不允许滥用其制度。声明称,亚马逊的审听雇员也无法直接了解能确认客户身份的资料。
隐私
lx1(25847)
发表于2019年04月08日 11时24分 星期一
来自
Chrome、Safari、Opera 和 Microsoft Edge 的新版本将不再允许用户关闭“链接审计( hyperlink auditing)”的功能。链接审计是一项 HTML 标准,被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求,用户检查请求头文件就可以了解点击的源地址。Google Chrome 默认启用了该功能,但允许通过 chrome://flags 修改设置禁用链接审计,然而在 Chrome 74 Beta 和 Chrome 75 Canary 中,该 flag 被移除了,用户将没有办法再移除链接审计,Opera 和 Edge 的情况类似 。目前只有 Brave 和 Firefox 这两个浏览器默认禁用链接审计,以 Firefox 为例,用户可通过修改 about:config 设置中的 browser.send_pings 启用该功能。
隐私
WinterIsComing(31822)
发表于2019年04月02日 18时31分 星期二
来自
匿名 写道 "慎用京东快捷支付,用户同意其条款将授权京东获得过多的个人信息,如其中的第8条:

“8、您同意本公司有权留存您在本公司网站填写的相应信息,并授权本公司查询该银行卡信息,包括且不限于借记卡余额、信用卡账单等内容,以供后续向您持续性地提供相应服务(包括但不限于将本信息用于向您推广、提供其他更加优质的产品或服务)。”"

隐私
WinterIsComing(31822)
发表于2019年03月29日 15时17分 星期五
来自
安全研究员 Victor Gevers 又发现中国女性同志社交网络热拉的数据库没有密码保护,也就是任何人都可以访问。数据库信息包含了用户选择公开显示的暱称、生日、身高体重、民族、性取向和兴趣爱好。一些用户如果允许应用获取她们的精确地理位置,那么这条信息也记录在开放数据库里。除此之外,数据库还保存了超过 2000 万条用户发布的动态信息。热拉发表声明,声称问题已经修复,表示它没有泄露任何用户的实名信息和隐私信息,不涉及用户姓名、照片、身份证、手机号码、绑定的微信登录账号、支付方式等用户的隐私信息。
隐私
lx1(25847)
发表于2019年03月26日 13时36分 星期二
来自
南都的测试发现,微信平台能够通过机器智能识别文字聊天中的关键词来给你 “贴标签”,然后精准推送广告。另一项测试发现,今日头条的浏览历史能关联淘宝的广告推送,而好友的喜好也会影响广告和内容推荐。作者称,“还有很多我们不能一一演示的大数据与广告推送的逻辑,比如你的输入法、剪切板里的记录,也能构成你喜好的一部分,哪怕没有键入任何 App 中,只要你曾经在键盘上敲击过,也可能被收录;再比如根据你好友开放的通讯录权限,确定你与她通讯录中所有联系人的关系网,从此以后,他们和你的画像之间就有了微妙的联系,而这种联系隐秘而不易察觉...”
隐私
lx1(25847)
发表于2019年03月23日 23时01分 星期六
来自
匿名读者 写道 "V2EX 用户 Quaintjade 声称其找到了接口来源,一网贷平台,信息可能由用户(借款人)主动授权,这是可信的,南方都市报曾报道过类似的情况。"
隐私
WinterIsComing(31822)
发表于2019年03月22日 12时33分 星期五
来自
诺基亚手机的非中国用户发现,手机会向中国电信服务器发送未加密的数据包,手机制造商 HMD Global 正因此在芬兰面临调查。 这家获得诺基亚商标独家所有权的芬兰公司回应称是固件中的代码错误导致其向中国服务器发送数据。它表示只有单个批次的 Nokia 7 Plus 设备受到影响,包含了向中国电信服务器发送数据的软件包。该软件包会在手机启用、解锁、从休眠恢复时候收集用户数据将其发送到中国服务器。 HMD Global 称它已经更新固件移除了相关软件包。
隐私
lx1(25847)
发表于2019年03月21日 19时08分 星期四
来自
诺基亚手机的非中国用户发现,手机会向域名 http://zzhc.vnet.cn 发送未加密的数据包。数据包含了地理位置、IMEI、SIM 卡号和 MACID。vnet.cn 域名的注册人是 CNNIC,但 CNNIC 表示它实际上属于中国电信。搜索发现, 2014 年的一段代码符合诺基亚的数据发送模式,这段代码来自高通,它所在的子文件夹名字就叫中国电信。看起来代码是专门提供给中国市场的,但中国市场之外销售的诺基亚手机没有删除这些代码。生产诺基亚手机的 HMD 据称已经释出了更新修复了问题。
隐私
lx1(25847)
发表于2019年03月19日 18时07分 星期二
来自
Cookiebot 扫描了(PDF) 184,683 个欧盟政府网站网页,发现 82% 的欧盟政府网站使用了来自 Google 的广告跟踪器,只有西班牙、德国和荷兰的政府网站没有嵌入商业跟踪器。五个使用率最高的跟踪器中,三家来自搜索巨人:YouTube、DoubleClick 和 Google。报告作者对此表达了担忧,因为 Google 可以将第三方网站的跟踪器与它的第一方服务的跟踪器互相参照。研究还评估了公共健康服务网站的跟踪器,发现测试的 52% 的网页有商业跟踪器,五个使用率最高的跟踪器中 Google 占两家,另外三家是 Adobe 的 eversttech.net、AppNexus  的 adnxs.com 和 Mediamath 的 Mathtag.com。
隐私
lx1(25847)
发表于2019年03月12日 15时24分 星期二
来自
俄罗斯联邦安全局下令 ISP 屏蔽了加密邮件服务 ProtonMail 的 IP 地址,原因是恐吓者利用 ProtonMail 的服务寄出了炸弹恐吓信,这些发给警方的匿名恐吓信迫使多所学校和政府大楼疏散。俄罗斯屏蔽了 26 个 IP 地址,包括多个 Tor 出口节点服务器。ISP 被要求使用 BGP blackholing 的技术立即实施屏蔽。这种技术不是将流量发送到目的地而是将其丢弃。
隐私
lx1(25847)
发表于2019年03月11日 15时08分 星期一
来自
安全研究员 David Balaban 对比了五个匿名操作系统:Tails OS,Whonix,Kodachi,Qubes 和 Subgraph,分析了各个系统的优缺点。Qubes 和 Subgraph 都是隔离应用来实现安全,它们其实不是为匿名设计的。Tails OS 基于 Debian,所有流量都经过 Tor,设计作为 Live CD 或 Live USB 使用,不在主系统留下痕迹,会话结束之后所有痕迹就抹掉了,它不适合作为一个永久性的操作系统使用。Whonix 也是基于 Debian,通过 VirtualBox 和 Tor 实现匿名,内置了大量应用,但不具有可携性,硬件需要也比较高。Kodachi 基于 Debian,通过 VPN 和 Tor 实现匿名,硬件需求不高,作者认为它是目前最好的匿名操作系统。
隐私
lx1(25847)
发表于2019年03月08日 16时44分 星期五
来自
安全研究员 Bob Diachenko 和 Vinny Troia 上周发现了一个没有密码保护的 MongoDB 数据库,包含了 150GB 数据,其中包括 7.63 亿唯一电邮地址,部分数据还包含个人身份信息。该数据库的所有者是电邮验证公司 Verifications.io,它在收到报告之后便把数据库下线了。该数据库被由于电邮营销,从事电邮营销的公司需要验证电子邮件是否有效,但如果亲自验证的话可能会被识别为垃圾邮件,因此这些企业将验证工作外包给 Verifications.io 这样的公司,以避免被反垃圾邮件过滤器加入到黑名单,而 Verifications 验证邮件本质上也是发送 Spam,但它并不担心被屏蔽。Verifications 的数据库包含了 8.09 亿条记录,主要是名字、电邮地址、电话号码、住址。但还有部分记录包含了更详细的个人身份信息如性别、出生日期、贷款金额、利息、相关 Facebook、LinkedIn 和 Instagram 账号。
隐私
lx1(25847)
发表于2019年03月07日 12时17分 星期四
来自
计划在五月释出的 Firefox 67 将加入 Tor Browser 的反指纹技术 letterboxing。当用户调整浏览器窗口的大小时,letterboxing 会向网页的边缘加入“灰色空间”,在调整大小操作完成之后逐步移除。广告网络被发现会利用浏览器功能如窗口大小来创建用户指纹和跟踪用户。letterboxing 的想法就是保持窗口的高度和宽度为 200px 和 100px 的倍数来掩盖真实的窗口大小。letterboxing 不是唯一一个源自 Tor Browser 的反指纹技术。Mozilla 于 2016 年 7 月启动了 Tor Uplift 项目,利用 Tor Browser 浏览器的隐私保护机制改进 Firefox 的隐私保护功能。
隐私
WinterIsComing(31822)
发表于2019年03月05日 12时43分 星期二
来自
安全研究员 Victor Gevers 披露了山东恒邦网络技术有限公司开发的网吧监视数据库对外网公开访问。数据显示该监视系统监视了六种常用消息应用,包括 IS 语音、QQ 群聊、QQ 私聊、阿里旺旺、微信和 YY 语音。腾讯旗下的微信曾经反复声称,它不留存任何用户的聊天记录,聊天内容只存储在用户的手机、电脑等终端设备上。如果微信严格遵守《微信隐私保护指引》,使用技术手段(如 SSL)保护用户信息在传输到微信服务器期间不被第三方获取,那么理论上只有在网吧终端伪造证书,使用中间人攻击的方法才可以获得微信聊天的具体内容。目前还不清楚微信的信息是如何被收集的。
隐私
lx1(25847)
发表于2019年03月05日 09时35分 星期二
来自
落落 写道 "继京东金融 App 被曝光收集用户银行 App 截图后,又有用户指责支付宝(Alipay)的 Android 应用会收集用户私人目录下的图片文件。该用户使用 SD Maid 的重复文件清理功能扫描了自己的手机存储空间,意外发现支付宝的文件目录下存有自己大量私人图片的副本。Android 系统原本为应用的存储需求规划了互不干扰的专属空间,但中国公司编写的 Android 应用大多倾向直接存取用户的私人空间,这样设计的考量主要在于方便在不同应用间追踪用户,但也带来了泄露用户隐私信息的问题。 "
隐私
WinterIsComing(31822)
发表于2019年03月01日 20时48分 星期五
来自
NYT 的驻华记者分享了使用手机的经验:用 iPhone 是因为苹果比安卓更安全;对于 Signal 这样的安全应用程序,我会启用注册锁,这样如果他们想镜像我的手机,我的账户还有一层保护;在中国的一些地方,警察会要求检查你的手机,通常是删照片。用两部手机的话,有助于解决这个问题——为了更具欺骗性,我两部手机用的是同样的外壳。但还要有其他方法来保护你的数据。我使用了一些应用程序,它们伪装成无关紧要的东西,但实际上是隐藏和保护数据。还有一个很方便的东西,就是可以插到手机上的 U 盘,它可以用来快速地保存东西...
隐私
ai(3896)
发表于2019年02月28日 15时30分 星期四
来自
在几乎没有任何监督的情况下,加拿大警方、社会服务和卫生保健工作者使用一个共享数据库去跟踪弱势群体的行为。这个数据库被称为 Risk-driven Tracking Database,包含了一个人是否使用毒品,是否是攻击受害者,是否生活在“负面社区”等信息。被认为有风险成为犯罪分子或成为受害者的人的信息会在民间机构和警方之间共享,一个人如果经过快速干预以降低其风险水平的评估后也会加入到数据库。而快速干预的手段从敲门和聊天到强迫住院或逮捕。数据库中的数据被用于识别趋势以制定更高效的分配部署资源的计划,而所谓的趋势可能包括某个地区毒品使用突然增加。