即将发布的Firefox 32将支持防止中间人攻击的Public Key Pinning机制。Public Key Pinning允许网站详细说明网站的有效证书是哪一家CA发行的,不再随便接受Firefox证书管理器内的数百家Root CA之一发行的证书。
这一机制可以抵御中间人攻击和恶意CA。如果证书不匹配,Firefox将会显示出错信息,拒绝连接。
Firefox 32将会默认启用Pinning,用户如果需要可在配置中将属性 security.cert_pinning.enforcement_level设为0后关闭这项功能。
BitTorrent公司上周发布了去中心化聊天服务BitTorrent Bleep的一个早期版本。BitTorrent博客解释说,传统聊天服务的方法是发送者将输入的文字或语音信息发送到中心服务器,服务器中继信息到接收者。服务器会记录聊天内容和相关的元数据。这些数据都是政府和黑客想要的。
Bleep的开发早在Edward Snowden公开NSA大规模监视活动前就开始了,BitTorrent CEO Eric Klinker称,Bleep的使命是致力于扭转中心化服务的趋势,推动分布式服务的发展。
Bleep没有使用传统的登录名,而是向用户分配一对数学生成的密钥,一个公钥作为用户的公共面孔,另一个私有用于加密Bleep上发送的信息。为了在Bleep上聊天,用户需要交换公钥。聊天信息使用分布式哈希表(DHT)传递,没有中心服务器记录。为了发起聊天,Bleep需要Ping一下P2P网络中运行Bleep服务的计算机,寻找想要聊天的对象。
Twitter首席执行官科斯特罗(Dick Costolo)接受采访时表示,Twitter希望进入中国,因为中国显示出对“迷你博客”服务存在巨大需求。科斯特罗称,“我很乐观”。
Twitter正在增加负责与各国政府交涉的人员。通过增加与监管部门的对话机会,以扩大在包括中国在内的新兴经济体的业务。要想在中国开展服务,需要同意接受有关部门审查。科斯特罗表示“不打算改变此前的立场”,显示出不会轻易妥协的态度。
今后,如何在中国政府的限制和Twitter所重视的“表达的自由”之间寻找平衡点,或将成为焦点。
IPv6技术的演进对互联网技术发展具有重要意义,自从2011年6月6日,国际互联网协会(ISOC)联合Facebook、Google、Yahoo、Akamai、LimeLight五家顶级互联网公司发起了IPv6日活动后,全世界有大量的网站从IPv4过渡到IPv6环境,并在2012年、2013年同日也开展了类似的活动。随着IPv4地址的枯竭,IPv6技术协议的下一代互联网被作为解决这一问题的战略选择。
2014年6月6日,搜狐公司宣布在“世界IPv6日”正式启动搜狐网(http://www.sohu.com)的IPv6访问服务,为推动IPv6产业链的持续健康发展做出表率。此前,搜狐公司Tech-No网络运营部率先在2008年奥运会搭建IPv6网络并顺利运营至今,成为搜狐网推动IPv6网络发展的重要里程碑。同时,该部门在2012年承担和实施的国家发改委项目《搜狐网IPv6升级改造项目》将于6月底结项,实现了Web业务的IPv6接入访问。
搜狐公司技术负责人表示,在仍以IPv4为主的今天,从产业惯性和投资保护角度看,搜狐网将实现IPv4与IPv6双协议栈的访问,并为今后大规模IPv6应用探索提供成熟的架构模型和开发平台。
此前,多家部委联合发布的《下一代互联网”十二五”发展建设的指导意见》中表明,2014年到2015年IPv6将进入全面商用部署阶段。随着国家对下一代互联网的政策推动,接入用户数将快速提升,越来越多的IPv6用户访问IPv6网站资源。最新数据显示,目前全球IPv6覆盖率已经达到18.4% Continue reading »
电子邮件加密将是大势所趋。雅虎周四表示,将加入竞争对手谷歌的行列明年推出基于PGP加密的安全邮件系统,有了这个安全邮件系统,黑客和政府官员基本上无从得知用户发送的信息内容。即便是邮件服务提供商自身也无法破译用户发送的信息内容。
如果这两家公司能顺利完成这一任务,则标志着他们在采用先进隐私技术保护这一广为使用的用户服务方面迈出了第一步。
雅虎和谷歌表示,加密工具将设置为可选功能,用户可以自己选择启动或者关闭。两家公司员工均表示,双方的工程师频繁互相谈起这个项目。这一加密工具将依赖于PGP。PGP对普通用户来说使用起来困难而繁琐,但雅虎和谷歌正努力使PGP对于普通用户来说更加简便可用。
Yahoo Mail to support end-to-end PGP encryption by 2015
Ian Paul @ianpaul Aug 8, 2014 6:59 AM
Yahoo is following in the footsteps of Google and plans to implement end-to-end encryption into Yahoo Mail by 2015. Like Google, Yahoo plans to use the OpenPGP encryption standard to encrypt messages. OpenPGP, which is the gold standard for email encryption, uses a public-private keypair scheme to protect user messages.
To get the encryption done, Yahoo will use a modified version of Google’s alpha stage End-to-End Chrome extension. But Yahoo’s version will be designed to work with the Yahoo Mail interface instead of Gmail.
Yahoo also plans on making encryption a native part of the Yahoo Mail mobile apps, according to a tweet by Alex Stamos, Yahoo’s chief information security officer. Stamos announced Yahoo’s email encryption plans during Black Hat USA, a security conference that ended on Thursday.
As part of the encryption effort, Yahoo will create a new privacy engineering team to work on the project. The team’s first hire was Yan Zhu, a staff technologist for the Electronic Frontier Foundation who worked on projects such as the HTTPS Everywhere and Privacy Badger add-ons. Zhu was also the person who recently discovered a security flaw in WordPress login cookies.
Easing encryption
The news that yet another major webmail service wants to build encryption tools into its product is encouraging. But it’s not clear how many people will actually want to use the new option.
While encryption and privacy are top of mind for many as the revelations from Edward Snowden and other whistleblowers continue to roll out. The problem is both Google and Yahoo must make encryption dead simple to use.
On top of that is the issue of key management. How will Yahoo help users with managing their keys while at the same time preventing the company from having access to them? Continue reading »
8月1日晚上,不明身份的网络黑客劫持了温州有线电视机顶盒。黑客攻击持续了几十分钟,节目之后被切断。温州的一名居民向法新社表示,黑客展示的画面和标语持续了近四个小时,“我对此反感… …不应该为声张自己的观点而牺牲别人的利益。”大部分媒体的相关报道已经被删除。
广电专家解释道,此次温州广电机顶盒之所以能被入侵,是因为国内不少机顶盒厂商使用的是国外(欧洲)CA标准,其安全性不如国内的好。
国内机顶盒的CA标准混乱给了黑客可乘之机。黑客入侵改写了EPG(Electronic Program Guide,即电子节目菜单)的广告系统,此次敏感内容是图片而不是流媒体播放,因此它可能写入缓存,即便是关闭播发服务器,也不能立即停止转播,令人防不胜防。
据路透社报道,出于安全因素考虑,中国政府已将美国反病毒软件供应商赛门铁克、俄罗斯的卡巴斯基实验室排除在安全软件供应商之外。周日(2014年8月3日)早些时候,《人民日报》在其英文Twitter账号上发布消息,称政府采购单位“已经将赛门铁克与卡巴斯基”从安全软件供应商名单中剔除出去。该 Twitter账号发布的第二条消息称,政府采购办公室批准使用的五个杀毒软件品牌分别为:奇虎360、启明星辰、北京江民、冠群金辰和瑞星。 Continue reading »
路透社7月10日报道,在封锁一个多月后Google及其在线服务在中国解禁。但今天一觉醒来,生活还是和以前一样。路透社引用中国用户的话称,Google Maps和 Google.com都能正常访问。但今天看来这显然只是防火墙偶然松一下绑。Google中国流量报告显示,在短暂的解禁期间,中国流量短时间出现了大幅增长,但今天已经恢复了常态。
