英国备受争议的在线安全法案最终成为法律
英国的《在线安全法案》是一项内容广泛的立法,旨在使英国成为“世界上最安全的上网场所”,今天获得批准并正式成为法律。
该法案旨在解决的具体危害包括未成年人访问网络色情内容、“匿名恶意评论者”、诈骗广告、以及儿童性虐待材料和恐怖主义相关内容的传播。
不遵守该法案规定的公司可能会被处以最高 1800 万英镑的罚款,或其全球年营业额的 10% (以较高者为准),其老板甚至可能面临牢狱之灾。
《在线安全法案》一直是一项有争议的立法,反对者包括加密消息应用和维基媒体基金会。WhatsApp 和 Signal 等通讯应用反对该法案中的一项条款,该条款允许 Ofcom 要求科技公司识别儿童性虐待内容,“无论是公开还是私下交流”,这些公司表示,这严重削弱了他们提供端到端服务的能力加密。这些服务的提供商表示,他们宁愿离开英国也不愿遵守这些规则。
与此同时,维基媒体基金会表示,该法案保护儿童免受不当内容侵害的严格义务可能会给维基百科这样的服务带来问题,因为维基百科选择收集最少的用户数据,包括他们的年龄。
—— Theverge
Facebook 和 Instagram 因盗版问题“标记”IPTV 搜索
Meta 的 Facebook 和 Instagram 正试图通过向搜索 IPTV 等关键词的用户显示“弹出窗口”来普及有关盗版侵权的相关问题。
Facebook 和 Instagram 每天都会处理数以千计的版权投诉,但对版权持有者来说,仅仅回应删除通知是不够的。
为此 Meta 最近在其社交平台上添加了一种新的“干预”技术。为了减少盗版行为,Facebook 和 Instagram 现在都会向搜索有争议字词的用户显示弹出窗口。但 Facebook 和 Instagram 用户仍然可以根据需要访问搜索结果。
—— Torrentfreak
Twitter (X) 现在屏蔽 Bing 搜索引擎
马斯克的 Twitter (现在改名X) 现在阻止必应搜索引擎,具体来说是阻止 Bingbot 爬取和访问 Twitter[.]com 平台上发布的内容。Twitter 特别在其 robots.txt 文件中添加了一项指令,以禁止 Bingbot 爬取其平台上的内容。
事实上,现在在 Bing 搜索引擎上使用“ Site: ”命令仅显示 104,000 个 Twitter URL。但对于 Google 搜索引擎,使用该命令会显示 4.22 亿个 URL。
早在 7 月份,Twitter 就曾封锁过 Google,导致 Twitter 在 Google 搜索中的可见度大幅下降。几天后,Twitter 撤销了这一更改。
—— Seroundtable
谷歌浏览器新的“IP保护”将隐藏用户的IP地址
谷歌正准备测试 Chrome 浏览器的新“IP 保护”功能,该功能通过使用代理服务器隐藏用户的 IP 地址来增强用户的隐私。
Chrome 提出一项新提案:“IP 保护”,以保护用户免受通过 IP 地址进行跨站点跟踪的影响。该提案是一种隐私代理功能,可以对 IP 地址进行匿名化。
新的“IP 保护”将是一项可选功能,最初于美国上线。谷歌计划在 Chrome 119 和 Chrome 125 之间测试此功能。谷歌将采用 2 跳代理系统来进一步增强隐私性,谷歌运行第一个跳板,第二个代理将由外部 CDN 运行。
详细信息:Github 、谷歌网上论坛
FBI称朝鲜秘密为美国企业提供远程IT服务以赚取美元
联邦调查局和司法部官员表示,多年来,数千名与美国公司签约的IT从业人员秘密地将数百万美元的工资转移到朝鲜,用于其弹道导弹计划。
美国司法部周三表示,朝鲜派遣和签约的 IT 员工为圣路易斯和美国其他地方的公司进行远程工作,他们一直在使用虚假身份来获得工作。联邦调查局领导在圣路易斯举行的新闻发布会上表示,他们赚到的钱被用于朝鲜武器计划。
法庭文件称,朝鲜政府派遣了数千名技术熟练的 IT 从业者,主要居住在中国和俄罗斯,目的是欺骗美国和其他地方的企业雇用他们从事远程工作。负责圣路易斯联邦调查局办公室的特工杰伊·格林伯格说,这些工作人员使用各种技术让他们看起来像是在美国工作,包括付钱给美国人使用他们的家庭 Wi-Fi 连接。
—— 美联社
政府支持的黑客正在利用 WinRAR 中的已知漏洞
如果你正在使用压缩工具 WinRAR,那么建议是时候更新到最新版本了。
最近几周,谷歌的威胁分析小组 (TAG) 观察到多个政府支持的黑客组织正在利用 WinRAR 中的已知漏洞 CVE-2023-38831。
2023 年 8 月,RARLabs 发布了 WinRAR 的更新版本(版本 6.23),修复了多个与安全相关的错误,其中一个错误是 CVE-2023-38831 逻辑漏洞。
虽然补丁已经发布,但许多用户并没有更新,所以仍然容易受到攻击。
WinRAR 版本 6.24 和 6.23 都包含安全漏洞的修复程序,但该应用没有自动更新功能,因此你必须手动下载并安装补丁。
—— 谷歌威胁分析小组
Cloudflare 谷歌等企业发现 HTTP/2 的一个零日漏洞可以放大DDoS攻击,每秒可达数亿次
互联网巨头表示,新发现的 HTTP/2 漏洞已被用来发起 DDoS 攻击,其规模远远超出了之前记录的任何一次。
Cloudflare、谷歌、微软和亚马逊均表示,他们成功缓解了其中两家公司在 8 月和 9 月记录的最大 DDoS 第 7 层攻击,但没有透露这些攻击是针对谁的。这些公司表示,这些攻击之所以可能发生,是因为 HTTP/2 协议中存在一个零日漏洞,他们将其命名为“HTTP/2 快速重置”。
HTTP/2 允许通过单个连接同时向网站发出多个请求,从而加快页面加载速度。Cloudflare 写道,这些攻击显然涉及到一个自动循环,即向使用 HTTP/2 的网站发送并立即取消“数十万个”请求,导致服务器不堪重负并使其脱机。
谷歌记录的最严重的攻击每秒超过 3.98 亿次请求,据称这是其之前记录的任何此类攻击的七倍多。Cloudflare 在峰值时每秒处理了 2.01 亿个请求,它也称其为破纪录,而亚马逊记录的请求最少,达到了极限。每秒 1.55 亿次。微软没有透露自己的数据。
—— TheVerge
谷歌将开始在登录帐户时提示用户创建通行密钥(Passkeys)
在 5 月份首次推出后,Google 很快将积极鼓励用户为其帐户设置通行密钥(Passkeys)。
使用通行密钥,登录 Google 帐户只需输入用户名,然后使用你的手机或计算机的现有密码(PIN码、指纹、面部识别等)来确认登录尝试。
谷歌将在用户“下次登录谷歌帐户时”显示创建通行密钥的提示。你必须为每部手机、平板电脑、笔记本电脑和台式机创建一个 Google 帐户通行密钥,而通行密钥则无需 Google 的两步验证。
用户仍然可以通过关闭“尽可能跳过密码输入步骤”选项来仅使用密码而不是通行密钥。如果设备丢失,你可以在设置中撤销 Google 帐户通行密钥。
—— 9to5google
尽管被 FBI 取缔,Qakbot 幕后黑客仍在向新受害者发送钓鱼邮件
研究人员表示,最近被美国联邦调查局摧毁的全球恶意软件网络背后的黑客仍然活跃,并继续瞄准新的受害者。
美国 FBI 在 8 月宣布,已成功“破坏和拆除”长期运行的 Qakbot 恶意软件的基础设施。但根据思科 Talos 的最新研究,尽管做出了这些努力,但该恶意软件背后的黑客仍在继续向新受害者发送钓鱼邮件。
研究人员表示,他们观察到黑客自 8 月初以来一直在传播 Ransom Knight 勒索软件和 Remcos 远程访问木马,该木马为攻击者提供了通过发送网络钓鱼电子邮件来入侵受害者的计算机。
幕后黑客可能会继续构成重大威胁,因为开发人员没有被捕,攻击者可能会选择重建 Qakbot 基础设施,使他们能够完全恢复之前的活动。联邦调查局发言人拒绝发表评论。
—— Techcrunch
Gmail 通过要求“一键取消”批量发件人的订阅来瞄准垃圾邮件
为了减少 Gmail 用户收到的垃圾邮件,谷歌明年将针对批量邮件发送者制定新的要求,例如直接取消订阅。
批量邮件者被归类为“一天内向 Gmail 地址发送超过 5,000 封邮件”的发件人。这些商业电子邮件必须在邮件正文中提供清晰可见的一键退订链接,并在两天内处理退订请求。
Gmail 还实施了“明确的垃圾邮件率阈值,发件人必须保持在该阈值以下,以确保 Gmail 的收件人不会被大量不想要的邮件轰炸。”具体而言,这指的是 Gmail 的垃圾邮件报告率低于 0.3%,谷歌称这一政策举措是“行业首创”。
谷歌正在与雅虎等合作伙伴合作,使这些措施成为行业标准,这些新要求将在 2024 年 2 月之前实施,批量发件人需要落实这些措施并通过严格的身份验证,需要设置 SPF 与 DKIM ,否则可能会被 Gmail 的垃圾邮件过滤器标记或从收件箱中屏蔽。
—— 9to5google