文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
ken:feigaobox@gmail.com
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。

Solidot 公告
投 票
热门评论
- 实际上,除了Trump那一条,其它的全对!!! (1 points, 一般) by devfsdvyui 在 2022年08月10日01时52分 星期三 评论到 Meta 的 AI 聊天机器人上线数天开始热衷阴谋论
- 无法使用收银台 (1 points, 一般) by Craynic 在 2022年08月09日18时24分 星期二 评论到 丹麦 711 连锁店因网络攻击全部关闭
- (1 points, 一般) by podleader 在 2022年08月08日15时52分 星期一 评论到 欧洲最大核电站再次发生爆炸
- 翻译的太糟糕了 (1 points, 一般) by VYSE 在 2022年08月07日23时18分 星期日 评论到 基于syzkaller实现的模糊测试技术分析:来自不是VaultFuzzer故事的部门
- BaD KeYbOaRd: Typo (1 points, 一般) by lot 在 2022年08月04日14时21分 星期四 评论到 儿时有富有朋友长大后更有可能高薪
- 微博那是拔网线吧 (1 points, 一般) by solidot1659456023 在 2022年08月03日00时00分 星期三 评论到 数十万人跟踪 SPAR19 飞行路线致使网站崩溃
- 低级捧杀言论。。 (1 points, 一般) by devfsdvyui 在 2022年08月01日21时33分 星期一 评论到 索尼认为没有游戏公司能开发出与《使命召唤》竞争的游戏
- 可以使用支付宝 (1 points, 一般) by Craynic 在 2022年08月01日13时48分 星期一 评论到 保释的澳大利亚气候活动人士被禁止使用加密应用
- 脸都不要了 (1 points, 一般) by sharkman 在 2022年07月29日13时41分 星期五 评论到 更干净的空气加剧了全球暖化
- 比特比不但不具有匿名性 (1 points, 一般) by Craynic 在 2022年07月25日20时41分 星期一 评论到 央行数字货币不会具有完全匿名性

Google开始对所有Blogspot域名默认启用HTTPS。在这之前,启用HTTPS是Blogspot设置中可选的功能。Google安全工程师Milanda Perera称,HTTPS是互联网安全的基础,能保护网站和用户浏览器之间所发送数据的完整性和保密性。他们从设置中移除了可选的启用HTTPS,默认对所有域名启用加密。启用HTTPS的好处包括:第三方将不知道你访问的内容;确保你通信的服务器属于域名的真正所有人;防止第三方纂改内容如插入广告。
微软安全团队宣布,从今年夏天释出Windows 10周年更新开始,Microsoft Edge和Internet Explorer浏览器将视SHA-1签名的数字证书为不安全的,HTTPS网站如果使用了SHA-1证书将会移除地址栏的锁标志,用户仍然可以访问网站,但连接将会被认为不安全。随着计算能力的提升,伪造使用SHA-1算法签名的证书所需的时间将会越来越少。主要浏览器开发商都制定了淘汰SHA-1的计划。微软将从2017年2月开始完全屏蔽SHA-1签名的数字证书,用户将不再能访问使用SHA-1证书的网站。
美国费城的一位前警官被怀疑持有儿童色情,他因为拒绝要求他解密加密硬盘的法庭命令而面临无限期拘禁。他还没有受到任何指控,辩护律师要求联邦上诉法院立即释放其客户。这位嫌疑人使用了苹果的FileVault软件加密了两个硬盘,政府再次成功的引用1789年的All Writs Act要求嫌疑人解密被认为包含儿童色情的加密硬盘。All Writs Act也曾被美国司法部用于强迫苹果帮助FBI开发后门固件解锁枪手的手机,这一诉讼最终在支付了超过100万美元后撤回。
美国国家情报总监 James Clapper称,Snowden的曝光加速了先进加密技术的推广,在情报界看来这不是好事。他表示加密技术的普及比NSA预计的快了7年。Clapper还声称,伊斯兰国是至今互联网上最老练的用户,该组织购买了软件确保通信的端对端加密,但他没说明购买了什么软件。媒体曾报道说伊斯兰国使用过Telegram、 WhatsApp和TrueCrypt,但这些都是免费软件不需要付费。
执法机构想要弱加密或内置后门的加密,而军方则想要没人能破解的强加密。美国国防部高级研究计划署(DARPA)公布了一个研究项目,旨在寻找一个加密消息和事务平台,使用现有消息应用WhatsApp、Signal或Ricochet等相同的加密功能,但同时还使用类似比特币块链技术的去中心化架构,能更有弹性的对抗监视和网络攻击。用安全研究人员的话说,DARPA想要的是一个任何人都能监视和发布信息的公共墙,但只有正确的人能解密信息。该项目将分成三个阶段开发,在前两个阶段DARPA将为参与者提供资金,第一阶段提供的资金为一年不超过15万美元,第二阶段为最高两年100万美元,第三阶段是企业可以商业化他们的应用,让任何人都可以使用,但不会再得到联邦的资助。
在WhatsApp宣布完整支持端对端加密之后,另一款流行的网络电话及即时通讯软件Viber也宣布在最新更新中加入了端对端加密支持。类似WhatsApp,在聊天界面的UI上用户会看到加密锁的图标。最新更新的另一项功能是隐藏聊天,用户可以选择隐藏特定的聊天记录,没有人知道它们存在过。Viber在全世界有超过7亿用户,支持iOS和Android,以及三大桌面操作系统。这些功能对中国用户可能意义不大,因为它在2014年就被屏蔽了。
美国参议员Richard Burr和Dianne Feinstein正式公布了受争议的反加密法案《Compliance with Court Orders Act of 2016》。该法案要求科技公司遵守法庭命令解密客户的数据。这一法案在科技界和立法界招致了批评,美国总统奥巴马已在上周表示不会支持该法案。美国的科技公司开始越来越多的采用端对端加密,也就是除非有加密的后门否则企业本身也无法解密客户的加密数据。这项立法事实上是要求提供通信服务的企业植入加密后门,以提供”情报信息或数据“,或提供恰当的技术援助去获得此类的信息或数据。Dianne Feinstein参议员在声明中以恐怖分子和犯罪分子使用加密阻止执法调查为由为法案辩护,“我们需要强加密去保护个人数据,但我们也需要知道恐怖分子策划阴谋在什么时候去杀死美国人。”
提前三周大肆宣传的漏洞Badlock终于公布了细节,虽然它的做法遭到了批评,但它所披露的威胁是真实的。Badlock漏洞存在于每个Windows和Linux操作系统的一个名叫 Distributed Computing Environment/Remote Procedure Call (DCE/RPC)的安全组件中。在Windows网络中,它被管理员用于访问最有价值的资产 Active Directory。监视网络流量的攻击者可以利用该漏洞悄悄发动中间人攻击,拦截DCE/RPC 流量,访问Samba共享中的文件或访问 Active Directory管理工具。Red Hat、Debian和微软都已经发布或释出了更新。Red Hat将该漏洞归类为高危级。
旨在让每个网站都能使用HTTPS加密的Let’s Encrypt项目从去年12月起开放beta测试,至今已经签发了超过100万个证书。它现在宣布从即日起脱离beta状态,称获得了更多赞助商的支持,其中包括惠普、Gemalto和Fastly等金级和银级赞助商。Let’s Encrypt称,从去年9月开始beta测试以来,它至今已经为超过380万家网站签发了170多万个证书。
WhatsApp宣布对所有形式的通信和所有用户默认启用端对端加密,拨打电话、发送短消息,共享照片和视频等功能都会变得更安全。用户将能在聊天窗口的设置界面看到加密状态。WhatsApp是从2014年起与 Open Whisper Systems展开合作,在其产品中整合Signal协议,这一整合在本周最终完成,用户如果使用最新版本的WhatsApp将默认启用端对端加密。当客户端识别出联系人的客户端完整支持端对端加密,它将不再允许传输明文,即使联系人降级到一个不完整支持端对端加密的旧版本。此举旨在防止加密降级攻击。
美国司法部向法庭递交文件(PDF),称FBI已经破解了San Bernardino枪击案枪手Syed Rizwan Farook的iPhone 5C手机,请求撤销强制要求苹果帮助解锁手机的法庭诉讼。撤销诉讼暂时化解了科技公司与美国政府之间有关加密后门的冲突,但也引发了政府在掌握了加密漏洞之后是否通知苹果公司的疑问,如果苹果没有堵上安全漏洞那么会有更多的普通用户受到影响。美国政府曾公布了一份漏洞披露政策Vulnerabilities Equities Process (VEP) 。法庭文件没有披露FBI使用什么方法破解手机,但有人推测可能与iPhone 5C使用的A6处理器有关,A6组合使用了密码和唯一设备ID生成256比特位密钥,它存在漏洞允许拷贝闪存记忆器内的数据,然后进行暴力破解(4位到6位密码的组成次数十分有限)。但苹果在较新手机中使用的A7处理器基本上堵上了这个漏洞,它使用了一个硬件级的安全区域secure enclave去防止镜像数据和暴力破解密码。
澳大利亚研究人员担心即将于4月生效的国防贸易管控法将限制他们的学术自由。新的法律要求从事军民两用类研究的学者在与外国的同行交流前需要先获得澳大利亚国防部的许可。被归类为军民两用类的研究涵盖了从电子到微生物的广泛领域,其中涉及到加密和人工智能。这些领域的学者都担心新立法的影响。美国和英国有类似的法律,但涉及基础和应用研究的学术研究被排除在外。澳大利亚的例外只包含基础研究,而不包含应用研究。
约翰霍普金斯大学的研究人员发现了苹果的一个加密弱点,但这对于想要解锁手机的FBI可能没有什么帮助。苹果表示今天发布的iOS 9.3将修复这个漏洞,它感谢了研究人员的帮助,称安全需要不断的努力。Matthew D. Green教授领导的团队在iMessage中发现了一个加密漏洞,允许攻击者解密通过iMessage发送的照片和视频。他和他的研究生开发了一个软件去模拟苹果的服务器,拦截加密传输,他们拦截的内容是一个储存在 iCloud服务器上的照片链接和解密照片的64位数字密钥。他们发现可以通过一个重复数千次的过程去猜测出正确的密钥。
《华尔街日报》援引知情人士的消息报道,苹果拒绝了开发特定固件解锁枪手Syed Rizwan Farook手机的要求,但移交了该手机在iCloud服务上的备份数据。以后可能就不会那么简单了。苹果正在采取措施加强加密保护,这样就无法破解存储在iCloud上的用户信息了。但苹果高管在如何不给用户带来不便的情况下加强iCloud加密方面拿不定注意。例如,如果用户忘记密码,苹果也无法解锁,那么用户可能就无法获取照片和其他重要数据。这个问题在现实世界也是一样:加强安全保护意味着更多障碍,例如增加门锁或者是家庭报警系统的密码等都会带来不便。苹果的方法推测是端对端加密。
移动通信服务商和互联网巨头如Google、Facebook、WhatsApp和Snapchat都计划强化或扩大加密功能保护用户数据隐私。Facebook将增加其Messenger服务的私密性,WhatsApp将强加密扩大到语音呼叫,Snapchat正在开发一个安全消息系统,Google探索扩大使用加密。WhatsApp在2014年开始向用户提供端对端加密功能,它的创始人 Jan Koum出生于苏联时期的乌克兰,对FBI要求苹果开发后门固件所包含的意义有着清晰的认识,他认为人类的自由正面临危险。WhatsApp计划未来几周将加密功能扩大到语音呼叫和群消息功能。这将使得WhatsApp更难被监视。此前WhatsApp的一位南美高管因为无法向巴西提供解密信息而短暂遭到逮捕。