【黑客】中国医疗公司AI监测新冠病毒技术被盗

近日发现,黑客正在出售慧影医疗技术的实验数据源代码,该技术依靠先进的AI技术辅助进行新型冠状病毒检测。据悉,目前已有数据泄露团队通知该公司的网安研究人员,并发现了一个名为“THE0TIME”的网络黑客,疑似是主要嫌疑犯。

但是,黑客对外的出售帖子声称已经获得了COVID-19检测技术代码,以及COVID-19实验数据。出售价格为4个比特币。出售的主要数据包括:

• 1.5 MB的用户数据,

• 1GB的技术内容,以及检测技术源代码,

• 150MB的新冠病毒的实验室成果内容。

据悉,慧影医疗科技位于中国北京中关村东升科技园,成立于2015年4月,已经开发了两个版本的云端影像软件系统,打造了影像存储云,常规影像阅片服务和疑难影像会诊三个分级产品,开启了为各级医院提供了全面的医学影像咨询服务的新模式。

据了解,此次被窃取的技术是慧影医疗技术公司开发了一种基于人工智能的检测系统,可以从CT胸部DICOM图像中检测出疑似肺炎的轮廓,并识别出新型冠状病毒感染的症状,目前该系统的正式售价为每月5万美元。

对于重要技术的研究成果而言,黑客的窃取和出售行动,造成的损失是非常大的。这主要原因是因为大多数企业对待黑客攻击完全是被动的防御。而且很重要的一点是,对于很多企业来说,更关心的是产品成本和利润,而非自己内部研究网络系统的整体安全性,但是只要重要研究成果一被窃取便会造成更大的损失。

【漏洞】黑客可通过iPhone的Mail应用获取你的数据

最近由于疫情,大家都在家,网络的使用量激增,促使黑客的活动频繁,在这场我们看不到的战争中,没有一个系统可以免疫!

不管是Windows系统、Android(安卓)系统(前一阵这两家系统问题频发),还是一向以安全著称的iOS系统,都不是绝对安全的系统。

即使iOS系统一直在修复中,但依然存在着各式各样的漏洞。

说实话,漏洞被披露是好事!

近日,又有一家安全公司发现了iOS系统上存在的一个漏洞,该漏洞可能导致超过5亿部的iPhone/iPad容易受黑客攻击。

据悉,该漏洞是由旧金山移动安全取证公司ZecOps CEO祖克·阿夫拉哈姆(Zuk Avraham)在2019年底对一名客户受到的复杂网络攻击进行调查时发现的。调查表明,至少有6次网络入侵都是利用这个漏洞来实现的。

该漏洞可以远程触发,而且已经被黑客用来攻击一些知名用户。案例中提到,黑客通过Mail应用向受害者发出一份空白电邮,导致后者的系统崩溃并重置,而系统崩溃令黑客得以窃取照片和联系人信息等其他数据。

阿夫拉哈姆还表示,即使在运行最新iOS系统版本的iPhone中,黑客也能利用这个漏洞远程窃取其数据。黑客可以利用这个漏洞获取邮件应用的所有访问权限,包括用户的私密信息。

阿夫拉哈姆强调称,邮件应用可能只是黑客利用这一漏洞的程序之一,其余的还没发现,利用这些程序,黑客可以远程获取iPhone/iPad的完全访问权限。

对此,苹果尚未置评。但苹果公司发言人已经承认,iPhone和iPad上的电子邮件软件(即Mail应用)确实存在漏洞,并表示该公司已经开发了一个修复程序,将在即将发布的软件更新中推出。

苹果前安全专家帕特里克·沃德尔表示,这个发现“证实了一直以来被严格保守的一个秘密:资源充足的黑客可以悄无声息地远程感染打好了所有补丁的iOS设备”。

由于苹果在近期才发现了这个漏洞。因此,在此之前,黑客们很有可能利用这个漏洞来给政府或者个人商家提供价格不菲的入侵服务。据悉,如果一个黑客可能对一部最新款iPhone发动攻击,且不会系统安全警告,入侵的价格可能会达到100万美元以上。

苹果iPhone是全球公认安全系数最高的手机品牌,因此iPhone所搭载的iOS系统也成为黑客的主要研究对象。

据此前苹果公司表示,在2019年里,活跃使用的iPhone约为9亿部。也就是说,任何一个iOS系统上的漏洞,都可能影响到数以百万计算的iPhone用户。

而苹果方面,为了鼓励开发者们发现更多系统漏洞,苹果公司在去年12月20日起就正式向所有iOS安全研究员开放了iOS漏洞赏金计划。任何在iOS,macOS,tvOS,watchOS或iCloud中发现错误的安全研究人员都可以通过向Apple披露漏洞来获得苹果公司高额的现金奖励。

据福布斯此前报道称,苹果向一名叫Ryan Pickren黑客支付了75000美元(约合人民币53万元)的奖励。原因是该黑客发现了该苹果相关系统中软件的多个零日漏洞。

目前,漏洞的【单项最高赏金】是100万美元。

P.S. 刚刚苹果官方发布了更新推送,大家及时更新全系列产品!切记!!!

【更新】微软安全更新解决113个漏洞

周二微软针对2020年4月发布的更新补丁解决了113个漏洞,包括3个野外的Windows漏洞,其中17个漏洞被评为严重,其余的被评为重要,这些漏洞在针对任意代码执行和权限升级攻击中被利用。

 

此次解决的漏洞影响了Windows,Edge,Internet Explorer,Office,Windows Defender,Dynamics,Android和Mac应用程序以及其他产品。同时,Microsoft还修复了Windows版OneDrive应用程序中一个公开披露的特权升级漏洞。根据总结,微软在2020年1月至2020年4月之间解决的CVE数量比去年同期增加了44%

首先,微软更新发布了3月22日临时安全公告的Windows Adobe PostScript字体(Type 1)解析时存在的远程代码执行漏洞补丁,该漏洞对应CVE编号CVE-2020-1020、CVE-2020-0938。微软公司表示,由于最新版本的操作系统包含安全机制,这些漏洞不太可能被用于Windows 10设备。根据公告,微软已经获悉利用这一0day漏洞的有针对性攻击(有高价值的目标),基于漏洞的严重性,此次对已经停服的Windows 7也提供了补丁,建议用户尽快安装安全更新补丁或采取临时缓解措施加固系统。

 

微软解决的另一个严重Windows漏洞称为CVE-2020-1027,该漏洞也是由Google报告。根据Microsoft的说法,该漏洞是Windows内核漏洞,而且在野外被黑客积极利用。同时,Google还因举报一个被积极利用的Windows内核漏洞CVE-2020-1027而受到微软的肯定。微软还表示,Windows内核处理内存中存在的这个特权提升漏洞非常危险,成功利用此漏洞的攻击者可以提高权限执行代码,运行特制应用程序。

 

同时,微软解决的另一个在野外攻击中被利用的漏洞是Internet Explorer中的远程代码问题,跟踪为CVE-2020-0968。该漏洞让攻击者可以通过在用户的系统中执行任意代码的方式来破坏内存,成功利用此漏洞的攻击者可以获得与用户相同的权限。而且,如果用户使用管理用户权限登录,攻击者则可以完全控制受影响的系统。

通过此次漏洞修补,微软已经获悉利用这一0day漏洞的有针对性攻击,目前漏洞细节和利用代码已经公开,建议及时测试安全更新补丁并应用安装,或采取临时缓解措施加固系统。

【新品】千呼万唤始出来iPhone SE(第二代)发布

很久很久以前有一部iPhone SE满足了大家的口味,但它一直没有更新,在很多很多人的催促下,Apple终于发布了以“SE”命名的新品,iPhone SE(第二代)。

同样的,同期销售机型中最便宜的手机,但它有什么不同呢?

我做了比较,这部iPhone SE(第二代)就是换了芯的iPhone 8。下面看看有什么不同,请看图吧:

你会选择它吗?

【知识】彻底理解cookie,session,token

发展史

1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档。

每次请求都是一个新的HTTP协议, 就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的。这段时间很嗨皮。

2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统,哪些人往自己的购物车中放商品。

也就是说我必须把每个人区分开,这就是一个不小的挑战,因为HTTP请求是无状态的,所以想出的办法就是给大家发一个会话标识(session id)。

说白了就是一个随机的字串,每个人收到的都不一样,每次大家向我发起HTTP请求的时候,把这个字符串给一并捎过来,这样我就能区分开谁是谁了。

3、这样大家很嗨皮了,可是服务器就不嗨皮了,每个人只需要保存自己的session id,而服务器要保存所有人的session id 。如果访问服务器多了,就得由成千上万,甚至几十万个。

这对服务器来说是一个巨大的开销 , 严重的限制了服务器扩展能力。

比如说我用两个机器组成了一个集群,小F通过机器A登录了系统,那session id会保存在机器A上,假设小F的下一次请求被转发到机器B怎么办?机器B可没有小F的 session id啊。

有时候会采用一点小伎俩:session sticky ,就是让小F的请求一直粘连在机器A上,但是这也不管用, 要是机器A挂掉了, 还得转到机器B去。

那只好做session 的复制了, 把session id  在两个机器之间搬来搬去, 快累死了。

后来有个叫Memcached的支了招:把session id 集中存储到一个地方,所有的机器都来访问这个地方的数据。

这样一来,就不用复制了,但是增加了单点失败的可能性,要是那个负责session 的机器挂了,所有人都得重新登录一遍,估计得被人骂死。

  

也尝试把这个单点的机器也搞出集群,增加可靠性,但不管如何,这小小的session 对我来说是一个沉重的负担。

 

4、于是有人就一直在思考,我为什么要保存这可恶的session呢,只让每个客户端去保存该多好?

 

可是如果不保存这些session id ,怎么验证客户端发给我的session id 的确是我生成的呢?

如果不去验证,我们都不知道他们是不是合法登录的用户,那些不怀好意的家伙们就可以伪造session id,为所欲为了。

 

嗯,对了,关键点就是验证 !

 

比如说,小F已经登录了系统,我给他发一个令牌(token),里边包含了小F的 user id,下一次小F 再次通过Http 请求访问我的时候,把这个token 通过Http header 带过来不就可以了。

 

不过这和session id没有本质区别啊,任何人都可以可以伪造,所以我得想点儿办法,让别人伪造不了。

 

那就对数据做一个签名吧,比如说我用HMAC-SHA256 算法,加上一个只有我才知道的密钥,对数据做一个签名,把这个签名和数据一起作为token,由于密钥别人不知道,就无法伪造token了。

这个token 我不保存,当小F把这个token 给我发过来的时候,我再用同样的HMAC-SHA256 算法和同样的密钥,对数据再计算一次签名,和token 中的签名做个比较,如果相同,我就知道小F已经登录过了,并且可以直接取到小F的user id,如果不相同,数据部分肯定被人篡改过,我就告诉发送者:对不起,没有认证。

Token 中的数据是明文保存的(虽然我会用Base64做下编码, 但那不是加密),还是可以被别人看到的,所以我不能在其中保存像密码这样的敏感信息。

 

当然,如果一个人的token 被别人偷走了,那我也没办法,我也会认为小偷就是合法用户,这其实和一个人的session id 被别人偷走是一样的。

 

这样一来,我就不保存session id 了,我只是生成token ,然后验证token ,我用我的CPU计算时间获取了我的session 存储空间 !

 

解除了session id这个负担,可以说是无事一身轻,我的机器集群现在可以轻松地做水平扩展,用户访问量增大,直接加机器就行。这种无状态的感觉实在是太好了!

Cookie

cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。

cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。

由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。

Session

session 从字面上讲,就是会话。这个就类似于你和一个人交谈,你怎么知道当前和你交谈的是张三而不是李四呢?对方肯定有某种特征(长相等)表明他就是张三。

session 也是类似的道理,服务器要知道当前发请求给自己的是谁。

为了做这种区分,服务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。

至于客户端怎么保存这个“身份标识”,可以有很多种方式,对于浏览器客户端,大家都默认采用 cookie 的方式。

服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。

这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。

Token

在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。

以下几点特性会让你在程序中使用基于Token的身份验证:

1 无状态、可扩展

2 支持移动设备

3 跨程序调用

4 安全

 

那些使用基于Token的身份验证的大佬们

大部分你见到过的API和Web应用都使用tokens。例如Facebook, Twitter, Google+, GitHub等。

 

Token的起源

在介绍基于Token的身份验证的原理与优势之前,不妨先看看之前的认证都是怎么做的。

基于服务器的验证

我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。

在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。

 

随着Web,应用程序,已经移动端的兴起,这种验证的方式逐渐暴露出了问题。尤其是在可扩展性方面。

 

基于服务器验证方式暴露的一些问题

1. Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。

2. 可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。

3. CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源,就可以会出现禁止请求的情况。

4. CSRF(跨站请求伪造):用户在访问银行网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站。

在这些问题中,可扩展行是最突出的。因此我们有必要去寻求一种更有行之有效的方法。

 

基于Token的验证原理

基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。

这种概念解决了在服务端存储信息时的许多问题。

NoSession意味着你的程序可以根据需要去增减机器,而不用去担心用户是否登录。

基于Token的身份验证的过程如下:

1 用户通过用户名和密码发送请求。

2 程序验证。

3 程序返回一个签名的token 给客户端。

4 客户端储存token,并且每次用于每次发送请求。

5 服务端验证token并返回数据。

每一次请求都需要token。token应该在HTTP的头部发送从而保证了Http请求无状态。

我们同样通过设置服务器属性Access-Control-Allow-Origin:* ,让服务器能接受到来自所有域的请求。

需要注意的是,在ACAO头部标明(designating)*时,不得带有像HTTP认证,客户端SSL证书和cookies的证书。

实现思路:

1. 用户登录校验,校验成功后就返回Token给客户端。

2. 客户端收到数据后保存在客户端

3. 客户端每次访问API是携带Token到服务器端。

4. 服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码。

 

当我们在程序中认证了信息并取得token之后,我们便能通过这个Token做许多的事情。

我们甚至能基于创建一个基于权限的token传给第三方应用程序,这些第三方程序能够获取到我们的数据(当然只有在我们允许的特定的token)。

 

Tokens的优势

无状态、可扩展

在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。

如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成一些拥堵。

但是不要着急。使用tokens之后这些问题都迎刃而解,因为tokens自己hold住了用户的验证信息。

安全性

请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。

即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。 

token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。

可扩展性

Tokens能够创建与其它程序共享权限的程序。

例如,能将一个随便的社交帐号和自己的大号(Fackbook或是Twitter)联系起来。

当通过服务登录Twitter(我们将这个过程Buffer)时,我们可以将这些Buffer附到Twitter的数据流上(we are allowing Buffer to post to our Twitter stream)。

使用tokens时,可以提供可选的权限给第三方应用程序。当用户想让另一个应用程序访问它们的数据,我们可以通过建立自己的API,得出特殊权限的tokens。

多平台跨域

我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。

Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.

只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到。

基于标准创建token的时候,你可以设定一些选项。我们在后续的文章中会进行更加详尽的描述,但是标准的用法会在JSON Web Tokens体现。

最近的程序和文档是供给JSON Web Tokens的。它支持众多的语言。这意味在未来的使用中你可以真正的转换你的认证机制。

作者:墨颜丶

博客园: cnblogs.com/moyand/p/9047978.html

【硬件】iPad pro的A12Z和A12X是同一款芯片

权威机构 TechInsights 今天证实,2020 年 iPad Pro 机型配备的 A12Z 处理器与 2018 年 iPad Pro 机型中的 A12X 处理器相同,但前者启用了额外的 GPU 内核。

在新的 iPad Pro 推出后不久就有消息开始猜测苹果使用了相同的芯片,而跑分测试也显示新款 iPad Pro 对性能的改进并不大。苹果并没有强调 CPU 性能的变化,但是有一个区别:A12Z 具有 8 核 GPU,而 A12X 只有 7 核 GPU。

TechInsights 在三月份提供的信息表明,A12X 只是一个禁用了一个 GPU 内核的 8 核 GPU 芯片,这表明 A12Z 是重新启用了该潜在 GPU 内核的 A12X。也就是说,两者是同一款芯片。

当时 TechInsights 表示,它计划进行平面布置图分析,以确定 A12X 和 A12Z 之间是否存在差异以及 GPU 芯片是否相同。

外媒指出,当芯片不能满足良率要求时,芯片制造商通常会禁用处理器的一个内核,这也许就是 A12X 的情况。现在,芯片的制造已经得到了足够的改进,以至良率得到了提高,并且所有 8 个内核都可以正常工作,从而“诞生”了 A12Z 芯片。

Zoom泄露门:可以任意观看会议视频

由于COVID-19新冠状病毒的大流行,越来越多的用户将工作和社交生活转移到线上,会议应用程序Zoom的用户数量在成倍增长。但是,随着这种线上工作热潮,安全和隐私研究人员也对该应用进行了越来越多的审查,事实证明Zoom不断被发现许多问题。近日据外媒报道,成千上万的Zoom云记录视频在网络上曝光,这也揭露了软件本身的隐私安全性问题。

据悉,由于Zoom对其会议记录的命名方式存在问题,大量的Zoom会议视频被会议发起者上传到了不同的视频网站和视频云。目前,许多视频都被发布在未受保护的亚马逊云计算平台上,使得通过在线搜索找到它们成为可能。而且这些泄露的视频,被其他用户扫描后上传到了YouTube、Google、Vimeo等各大视频门户网站上。人们通过这些泄露的视频可以看到治疗会议、商务会议、小学上课等记录。事件发生后,Zoom已经被告知这个问题,但不清楚该公司是否会改变其视频的命名方式,或者是否会保护亚马逊托管的视频。

对此,安全研究员肯恩·怀特表示, 此次事件表明Zoom从未具有最核心的安全和私有服务,而且Zoom的系统中肯定存在一些关键漏洞。但是在许多情况下,为了线上会议,大多数公司和个人没有很多其他选择。

根据研究,即使在COVID-19新冠状病毒大流行发生之前,Zoom应用的开发团队也是优先考虑易用性而不是安全性和隐私性问题的。早在去年夏天,一位研究人员就发现了Zoom的一个漏洞,该漏洞主要关于Zoom如何无缝地将用户加入呼叫链接并共享其相机内容,对此Zoom无需进行任何初步检查就可以让用户启动该功能。这是非常不安全的,因为这意味着攻击者可以通过精心设计该功能链接,从而使他们可以一键立即访问用户的相机。

对于Zoom此次的隐私安全问题,Zoom创始人兼首席执行官Eric Yuan在公开声明中写道,公司正在暂停功能开发,以便其工程师专注于安全性和隐私保护方面的技术改进。Yuan表示,在接下来的90天之内,Zoom还将进行第三方安全审核和渗透测试,扩大其大赏金计划,并在公司层面预计从政府和执法机构等组织收到一份透明报告。

此次事件提醒我们每一个开发者,在任何软件的设计之初都要考虑两方面问题,一是功能,二是安全;作为消费者更是要了解一个软件的安全情况后再使用这个软件,不要因为免费好用就肆无忌惮的使用!

记得在刚刚工作期间,项目方只知道要求进度实现功能,从不关心软件的安全测试工作,随着网络时代的来临,那些未经过严格安全测试的软件终将造成不可挽回的损失!

而这些损失又要由谁来负责呢?

你的数据安全吗?

随着网络时代的来临,我们的数据遭受着史无前例的泄漏!

有人会问数据泄漏会带来什么风险?

近年来,国内外数据泄露事件频发。2018年,Facebook遭遇多次的数据泄露事件,涉及近5000万个账户,甚至包括数据分析机构、国家机密等隐私信息;Google因软件漏洞导致5200万用户和企业账户数据泄露,涉及信息包括姓名、电子邮件、性别和年龄等。2017年,Uber承认在2016年底被盗取5700万用户资料,这其中包含用户地址、司机信息等隐私信息,严重危害用户安全;同年国内趣店学生用户数据外泄,其中包含姓名、电话、还款额、滞纳金、逾期天数、学校、宿舍、毕业时间等详细信息。2016年8月21日,徐某某因个人信息泄露,被诈骗电话骗走学费9900元,导致心脏骤停,不幸离世。

这些只是冰山一角!

Ponemon研究所发布的《2019年全球数据泄露成本研究报告》显示,单次数据泄露事件的平均成本为392万美元,平均规模为25575条数据记录,数据泄露平均发现周期为279天,数据泄露成本最大的国家是美国,平均成本高到819万美元,损失最严重的行业为医疗行业,平均成本达到645万美元,而失去客户信任、企业形象损毁等无形资产的损失更为致命且难以估量。

以上数据均来自网络

提示:

数据泄露的发生通常由混乱的数据资产管理,不当的数据资产保护措施造成。数据安全分级分类按照数据敏感度、重要级别等对数据资产进行严格的分级分类,并采取对应级别的保护措施,能够显著的保护数据,有效规避数据泄露风险,是防止数据泄露的重要环节。

微软收购史上最危险域名之一“corp.com” 为对抗Windows黑客攻击

请大家注意:下文提到的漏洞并没有得到修正!

近日据外媒报道,微软已同意以未公开的价格从私人所有者那里购买域名corp.com。根据新闻记者布莱恩·克雷布斯运营的博客KrebsOnSecurity所说,今年2月,corp.com的拥有者迈克·奥康纳决定以170万美元的起价公开拍卖该域名,随后微软已从该域名的所有者手中购买了该域名,具体的成交价格微软并没有透露。据了解,迈克早在26年前收购了corp.com域名,并希望微软有一天会购买它,因为数十万个混淆的Windows PC一直试图与corp.com共享敏感数据。 

据悉,corp.com域名也被认为是史上最危险的域名之一,因为犯罪分子可以由于所谓的“命名空间冲突”原因而滥用该域名。经过多年测试表明,控制该域名的任何人都可以从世界各地数十万台Windows PC中访问无尽的密码,电子邮件和其他敏感数据流。

更具体的说,这个问题来自于管理员在Windows早期版本中设置Active Directory时接受了“corp”作为内部域名,使用了不属于公司的域名是一个非常危险的做法。因为,一旦员工让“corp”作为一个活动目录路径,机密数据就可能发送到它不应该去的地方,比如“corp.com”。

收购成功后,微软在书面声明中对此事进行确认,表示收购corp.com是为了保护其客户的安全性,并表示为了帮助保护系统安全,微软鼓励客户在计划内部域和网络名称时遵循安全习惯。微软称:“因为我们在2009年6月发布了安全公告,并发布了有助于确保客户安全的安全更新,因此在对客户安全的持续承诺中,我们还收购了Corp.com域。”

 

其实,多年来微软公司已发布了多个软件更新,以减少名称空间冲突的可能性,但是这些冲突依旧会对依赖于Active Directory域的公司造成安全问题。但是,长期以来微软一直不鼓励用户使用微软公司并不拥有的域名,但任何负责维护旧版本的Active Directory设置人员都可以证明,清理几十年前留下的烂摊子并不是一件容易的事情。许多管理员可能已经预测到了,为了处理这个问题而关闭整个Active Directory所涉及的挑战可能会是他们难以应对的,因此在之前该问题并没有很好的解决。

 

如今,既然微软已经购买了该域,那么在“ corp”或“ corp.com”之上构建Active Directory基础结构的公司将会受到保护。此次,微软确保corp.com不落入不法之徒之手的举措是明智的,这为公司当前的安全研究员争取了更多的时间来研究这个问题。

合作之苹果谷歌的合作,推出疫情追踪系统

人类的合作,显著推进了社会的进步?🤔

苹果和谷歌今天共同宣布,他们将使用蓝牙技术来帮助政府和卫生机构减少新冠病毒在全球范围内的传播。

苹果表示,用户隐私和安全性将是该项目设计的核心。参与将是自愿的,隐私,透明和同意是“这项工作中最重要的”。

由于 COVID-19 可以通过近距离传播给受影响的个体,因此公共卫生官员已将接触者追踪确定为有助于遏制其传播的宝贵工具。世界各地许多领先的公共卫生当局,大学和非政府组织都在开展重要工作,以选择加入接触者追踪技术。为了进一步解决这个问题,苹果和谷歌将推出一个全面的解决方案,其中包括应用程序编程接口(API)和操作系统级技术,以帮助实现联系人跟踪。鉴于紧急需求,计划将分两步实施此解决方案,同时围绕用户隐私实行强大的保护。

苹果和谷歌采取了一些防止隐私泄露的措施。比如,通过蓝牙定期发送信息时,会广播一个匿名密钥,这些密钥每 15 分钟循环一次以保护隐私。即使有人分享自己被感染的信息,该应用程序也只会分享他们具有传染性的特定时期的密钥。

从 5 月开始,苹果和谷歌将发布 API,使用公共卫生部门的应用来实现 Android 和 iOS 设备之间的互操作性。这些应用可供用户从 iOS App Store 和 Google Play 下载。

在未来的几个月中,谷歌和苹果将通过将其功能构建到其基础平台中,致力于建立更广泛的基于蓝牙的联系人跟踪平台。苹果公司表示,该解决方案比 API 更为强大,如果他们选择加入,则将允许更多的人参与,并且可以与更广泛的应用生态系统和政府卫生部门进行交互。

或许有限的披露隐私合理化的管理隐私,有助于人类社会的进步?😷