标签： 网络

Encrypted Client Hello – 隐私的最后一块拼图

今天，我们很高兴宣布为改善互联网上每个人的隐私做出了贡献。Encrypted Client Hello（ECH）是一个新的提议标准，可以防止网络窥探用户正在访问哪些网站，现在已经在所有 Cloudflare 计划中提供。

Encrypted Client Hello（ECH）是 ESNI 的继任者，它遮盖了用于协商 TLS 握手的服务器名称指示（SNI）。这意味着每当用户访问启用了 ECH 的 Cloudflare 上的网站时，除了用户、Cloudflare 和网站所有者之外，没有人能够确定访问了哪个网站。Cloudflare 是每个人隐私的大力支持者，并对将这项技术付诸实践感到兴奋。

Chrome 和 Firefox 等浏览器已经开始增加对 ECH 的支持。如果你有一个网站，并且关心用户以不允许任何中间人看到用户在做什么的方式访问你的网站，请立即在 Cloudflare 上启用 ECH。

我们已经为所有 Free zones 启用了 ECH。如果你是现有的付费客户，只需前往 Cloudflare 仪表板申请此功能。我们将在未来几周内为所有注册的用户启用此功能。

随着时间的推移，我们希望其他人会效仿我们，从而实现每个人更加私密的互联网。提供 ECH 的供应商越多，就越难以监听用户在互联网上的活动。甚至，我们可能会永久解决隐私问题。

—— Cloudflare博客 (摘抄部分)

胡锡进评论：程序员“翻墙”打工被罚没百万

中国是对外开放的国家，我们捍卫了本国互联网的独立自主，但这不意味着我们与国际互联网完全隔绝。随着全球化在互联网应用层面的不断推进，中国有大量人员需要借助国际互联网开展工作，所以一些国有公司和机构提供了互联网国际连接的渠道。然而由于那些渠道有限，很多人不了解它们，因此一些人还是通过各自方法 “翻墙”上外网开展工作。从互联网上透露出的有关承德处理这件事的信息看，它大致应该就属于这样的情况。

我们要捍卫政治和意识形态安全，同时又要保持中国社会对外开放的基础能力，满足这方面的需求，那么就应该区别对待相关事情，不搞简单的“一刀切”，不用“危害国家安全”的个别案例来衡量其他因工作需求而发生的“翻墙”行为。

从事技术、媒体、和国际交流的人员需要接入国际互联网的情况太多太多了，如果把他们的需求都给切断，那么中国民间将封闭起来，我们对外开放的整体能力将大幅萎缩，那已经不是别人搞我们，而是我们自己放弃互联网时代的种种机会和可能性。我个人认为，有关管理部门有必要对国内连接国际互联网的相关需求开展研究，多开辟一些相关的合法渠道，推动有序的开放。

承德将一个程序员的境外工作收入定性为“非法收入”，并且全部没收，这是迄今我们看到的对“翻墙”最重的经济处罚。如果被处罚者去外网仅仅是编写软件，不涉及政治和意识形态的问题，那么这个处罚就颇为值得商榷，它开的这个“先例”增加了社会的疑惑，不利于中国扩大对外开放。

—— 凤凰网（节选）

有微博博主称，翻墙在境外网站接单被没收百万收入

该博主为GitHub上开源框架的商业公司打工，签订了技术服务合同。 因平时工作需要梯子访问外部网络，被认定为擅自使用非法信道进行国际联网，罚款 200 元以外，没收违法所得 1,508,000 元。

—— V2EX （已被限制老用户阅读）

中国打击缅甸跨国犯罪集团的补充信息

饱受冲突蹂躏的缅甸至少有 12 万人，柬埔寨约有 10 万人“可能被关押在被迫进行网络诈骗的境地”。缅甸的网络诈骗中心位于克伦邦东南部与泰国接壤的城镇和果敢自治区，以及与中国接壤的掸邦勐拉市。

佤邦联络官 Nyi Rang 表示，在佤联军及其政治部门佤邦联合党管理的地区不允许进行网络欺诈活动，之前也曾进行过类似的逮捕行动。

佤联军网络媒体WSTV周五在其Facebook账户上表示，佤邦警方因网络诈骗被捕的1,207名中国公民已移交给中国警方。中国官方新华社援引北京公安部的消息报道了周三移交的相同数字，并称其中包括 41 名逃犯。

佤邦联合军是缅甸主要少数民族中规模最大、实力最强的民族武装组织，约有3万名士兵，装备精良，重型火炮、直升机等先进武器装备来自中国，与中国保持着密切关系。

佤族在掸邦东北部和南部的两个独立飞地管理自己的领土，不受缅甸中央政府的干涉，前者与中国接壤，后者与泰国接壤。

中国还与缅甸军事统治者保持着良好关系，缅甸军事统治者在军队于 2021 年 2 月推翻民选政府昂山素季后上台。

7月，中国驻缅甸大使陈海在首都内比都会见缅甸外长丹瑞时，敦促缅甸外长丹瑞与周边国家共同打击和铲除缅边境地区的网络赌博诈骗中心，营救被困中国公民。

6月至8月期间，陈至少3次访问内比都，讨论中缅边境安全问题。

联合国关于东南亚网络犯罪的报告称，网络诈骗团伙在与泰国接壤的克伦邦东南部也很活跃。

Shwe Kokko（编注：即所谓的KK园区） 是克伦邦妙瓦迪镇北部的一个小镇，因赌场综合体而臭名昭著，据称这些赌场举办重大有组织犯罪活动，包括网上诈骗、赌博和人口贩运。这些项目是由中国投资者与当地边防部队合作开发的，边防部队是缅甸军队下属的民兵组织。

—— 美联社

公安机关成功打掉缅北电信网络诈骗窝点11个 抓获犯罪嫌疑人269名

人民网北京9月5日电 （记者郝萍、梁秋坪）记者今日从公安部获悉，9月3日，在公安部和云南省公安厅的组织部署下，西双版纳公安机关依托边境警务执法合作机制，与缅甸相关地方执法部门开展联合打击行动，一举打掉盘踞在缅北的电信网络诈骗窝点11个，抓获电信网络诈骗犯罪嫌疑人269名。其中，中国籍186名、缅甸籍66名、越南籍15名、马来西亚籍2名，幕后“金主”、组织头目和骨干21名，网上在逃人员13名，包括1名潜逃19年的命案在逃人员。现场查获电脑、手机、手机卡、银行卡和诈骗话术脚本等一大批作案工具。目前，中国籍犯罪嫌疑人已移交我方，公安机关将彻查其违法犯罪事实，依法予以严惩。

—— 人民网

浏览器的安全设计及网站漏洞，让浏览器扩展可存取用户密码等机密资料

来自美国威斯康辛大学麦迪逊分校（University of Wisconsin–Madison）的3名研究人员上周发表了一篇研究报告，指出坊间主要浏览器的粗粒度权限模型（Coarse-Grained Permission Model）违反两项安全设计准则，再加上网站上的输入栏位含有安全漏洞，将足以让骇客藉由浏览器扩充程式取得使用者所输入的机密资料，包括密码与信用卡资讯。

研究人员所调查的浏览器涵盖Google Chrome、Mozilla Firefox与苹果Safari，并宣称它们在处理文字输入栏位的权限时，并未遵循最低权限及完全仲裁（Complete Mediation）原则，前者指的是系统应该仅具备最低限度的必要存取权限，后者则是每次的存取都应检查权限。

研究人员分析了Chrome Web Store中的17,300款扩充程式，发现当中有12.5%具备汲取所有网页上机密资讯的必要权限，包括拥有超过1,000万名使用者的AdBlockPlus及优惠券程式Honey。此外，还有190款扩充程式可以直接存取密码栏位。

—— iThome