微闻

标签: 安全性

  • Cloudflare 将弃用DigiCert作为所有SSL证书的证书颁发机构

    Cloudflare弃用DigiCert作为所有SSL证书的证书颁发机构

    从 2023 年下半年开始,Cloudflare 将开始弃用 DigiCert 作为所有 SSL 证书产品(通用证书、高级证书、SSL for SaaS)的证书颁发机构。

    这一变化不会影响 Cloudflare 目前正在使用的 DigiCert 颁发的现有证书,但会影响新的证书订单和续订。

    在 DigiCert 停用后,证书将开始使用 Let’s Encrypt 或 Google Trust Services 作为颁发 CA。如果你有 CA 偏好,建议在停用日期之前采取行动,以指定首选 CA 。

    —— Cloudflare 文档 、Cloudflare 社区

  • 使用Telegram拨打电话可能会暴露你的IP地址

    安全隐患:接听Telegram拨打来的电话会暴露你的IP地址

    这可能泄露您的位置。有专门工具可用来提取通话人IP。

    比如 Wireshark 。通过Telegram拨打电话。只要用户接听电话,就会立即开始显示数据,其中就有被呼叫用户的IP地址。

    此外 tshark 也是同类的工具。

    —— iyouport

  • QQ邮箱登录界面存在盲水印

    QQ邮箱登录界面存在盲水印

    有用户发现QQ邮箱的登录界面存在盲水印。这个水印处于登录框中,标记ID则直接写在HTML中,样式使得用户无法直接在页面选中该部分。它处于id为tcaptcha_transform_dy的层下方。

    不了解QQ设置该水印的目的是什么。盲水印是一种肉眼不可见的水印方式,但通过特殊技术手段可以看到,近年来被广泛用于追踪截图用户。

  • Elon Musk: 为机器人账户加强验证

    马斯克称,从4月15日开始,只有经过验证的帐户才能出现在“为您推荐”信息流中。

    马斯克说,这是解决高级 AI 机器人群接管问题的唯一现实方法。 否则,这将是一场无望的失败之战。

    出于同样的原因,投票将需要验证。

    与此同时,他还说:如果机器人账户遵循服务条款且不冒充人类,那么拥有经过验证的机器人账户是可以的。

    编注:介于马斯克此前宣称要停止免费认证,因此这里他所说的认证可能是需要订阅Blue会员。

  • Telegram第三方客户端短信登录将被禁用

    Telegram 第三方客户端将不能使用短信登录与注册

    Telegram 通知开发者,从 18.02.2023 开始,登录第三方应用程序的用户将只能通过 Telegram 接收登录代码。 第三方客户端将不能请求短信来登录应用程序。

    该版本将在世界标准时间 2023 年 2 月 18 日 13:00 上线。

    Telegram 认为这一变化不会对用户产生重大影响,因为根据研究,绝大多数第三方应用程序用户也使用官方 Telegram 应用程序。

    使用第三方客户端的设备必须通过 SafetyNet 或 Play Integrity 认证进行登录。

  • 腾讯云云函数保护机制

    据腾讯云客服消息,云函数功能对五月未使用用户有保护机制,不会自动扣费。五月使用过的用户可在今日尝试使用新上线的关闭按钮关闭云函数。

    腾讯云客服表示目前关闭按钮未上线,可在今日 18 点后观察测试。

  • 阿里小号重新上线

    阿里小号昨天晚间恢复新购号码,20元/年,暂已售空等补。可以先下载一个阿里小号APP蹲一下。

  • 使用 VMESS 和 V2Ray 的安全配置方法

    V2Ray 可视化用户管理工具 V2board 的群组管理员声称:VMESS 已经被精准识别,无论是使用 TCP 还是 WS 传输方式,请务必开启 TLS。

  • Telegram vs WhatsApp:安全性和用户信任

    TG创始人杜洛夫发帖,似乎是在回应Signal创办人此前的一篇文章。之前Signal的开发者曾声称Telegram不能算是一种加密的聊天软件。

    杜洛夫发帖译文:

    最近的一份报告证明,Telegram坚持其对用户数据保密的承诺,而像WhatsApp这样的应用程序则将实时用户数据交给第三方,尽管他们多次声称 “E2E加密”,但也可以披露信息内容。

    该报告已经证实,Telegram是为数不多的不违背用户信任的消息应用程序之一。

    我并不感到惊讶。其他大多数应用程序即使想保证用户的隐私,也无法做到。因为他们的工程师居住在美国,当美国政府命令他们时,他们不得不秘密地在其应用程序中实施后门。如果工程师公开谈论此事,那么就会因违反禁言令而入狱。

    在大多数情况下,这些机构甚至不需要法院命令就能从WhatsApp等消息应用程序中提取私人信息,而在其他情况下,法院文件则被掩盖在保密之中。一些所谓的安全应用程序从一开始就得到了政府机构的资助(如Anom、Signal)。

    多年来,国家安全局(NSA)一直在确保国际加密标准符合NSA能够破译的内容,而所有其他的加密方法都被贴上 “非标准 “或 “自制 “的标签。通过他们在加密行业的代理人(比如这个),NSA将有缺陷的标准强加给世界其他国家使用的加密方式,告诫其他所有人不要 “推出自己的加密方式”。

    难怪WhatsApp等基于美国的应用程序受到后门的困扰–政府(和其他任何人)可以利用这些故意植入的安全漏洞来入侵智能手机,并从人们身上提取私人数据。

    我听说我们在美国的竞争对手很沮丧,因为他们无法与Telegram的增长相提并论,尽管大量投资于市场营销(Telegram从未投资过)。但为了与我们的增长相匹配,他们必须首先确保他们的行动与他们的营销主张相匹配。在此之前,不幸的是,他们应用中的数据泄露和安全问题仍将不可避免。

  • Android权限管理将有重大变化:闲置应用无法获取任何隐私信息

    Android权限管理将有重大变化:闲置应用无法获取任何隐私信息

    在下个月的更新中后,所有Android 6以上系统的设备在隐私权限管理上都将获得一项新的选择:应用程序权限自动重置。

    在开启该功能后,当一款App长期闲置时,系统将自动清除为该App授予的所有权限,这能够防止一些App在用户不知情的情况下长期在后台获取个人信息。

    而当用户再次使用被清除权限的App时,系统将弹出提示用户,询问是否为App恢复权限。

    —— cnBeta