Purism 与 KDE 合作开发真正的自由智能手机
Purism 宣布与 KDE 合作开发真正的自由智能手机,将 KDE 开发的 Plasma Mobile 移动图形环境引入到它的 Librem 5 智能手机上。Plasma Mobile 已在多种现有的设备上进行了测试,但这些设备包含了需要私有软件才能工作的硬件。Purism 的 Librem 5 则是一款尊重用户自由的开放智能手机,该公司正在发起众筹活动,支持者需要支付 599 美元才能获得一部 Librem 5,众筹目标是 150 万美元,目前筹集到约 33 万美元。
http://www.solidot.org/story?sid=53850
Purism 宣布与 KDE 合作开发真正的自由智能手机,将 KDE 开发的 Plasma Mobile 移动图形环境引入到它的 Librem 5 智能手机上。Plasma Mobile 已在多种现有的设备上进行了测试,但这些设备包含了需要私有软件才能工作的硬件。Purism 的 Librem 5 则是一款尊重用户自由的开放智能手机,该公司正在发起众筹活动,支持者需要支付 599 美元才能获得一部 Librem 5,众筹目标是 150 万美元,目前筹集到约 33 万美元。
http://www.solidot.org/story?sid=53850
男孩发送生殖器照片,变成儿童色情作者
美国华盛顿州的一名 17 岁男孩被认为既是儿童色情犯罪活动的受害者也是罪犯,他向一名 22 岁的女性发送了自己的生殖器照片。青少年之间的性爱屡见不鲜,然而在随处可见的智能手机的帮助下,他们随手拍摄的裸体照片可能会让他们终生带着性罪犯的标签。本案的被告 Eric Gray 已经是一名登记在案的性罪犯,并被诊断含有 Asperger 综合症。他的律师主张华盛顿州儿童色情法中的措辞会引起歧义,没有预计到此类情况,可能还违反了州和联邦的宪法。但华盛顿高等法院的法官不同意这一主张,法官表示他们理解法律未能适应不断变化的技术的担忧,但 Gray 的行动符合法律的一般意义,并不存在歧义。法官同时表示,不会让 Gray 受到监禁的惩罚而是通过治疗来帮助他。
http://www.solidot.org/story?sid=53851
美国华盛顿州的一名 17 岁男孩被认为既是儿童色情犯罪活动的受害者也是罪犯,他向一名 22 岁的女性发送了自己的生殖器照片。青少年之间的性爱屡见不鲜,然而在随处可见的智能手机的帮助下,他们随手拍摄的裸体照片可能会让他们终生带着性罪犯的标签。本案的被告 Eric Gray 已经是一名登记在案的性罪犯,并被诊断含有 Asperger 综合症。他的律师主张华盛顿州儿童色情法中的措辞会引起歧义,没有预计到此类情况,可能还违反了州和联邦的宪法。但华盛顿高等法院的法官不同意这一主张,法官表示他们理解法律未能适应不断变化的技术的担忧,但 Gray 的行动符合法律的一般意义,并不存在歧义。法官同时表示,不会让 Gray 受到监禁的惩罚而是通过治疗来帮助他。
http://www.solidot.org/story?sid=53851
Google Play 再次发现恶意应用
安全公司 Check Point 的研究人员在官方应用市场 Google Play 发现至少 50 个应用会在用户不知情下订阅欺骗性的付费短信服务和收取费用。研究人员将这个恶意应用家族称为 ExpensiveWall,这些应用通过打包隐藏恶意功能躲避 Google Play 的恶意程序扫描。一旦安装,它们会悄悄上传手机号码和硬件识别符等信息到攻击者控制的服务器,使用手机号码注册增值服务,发送假的增值短信。这些应用的下载量在 590 万到 2110 万之间。Google 在接到通知后移除了应用,但攻击者再次成功渗透到官方市场,在移除前又安装到了5000 多台设备上。
http://www.solidot.org/story?sid=53852
安全公司 Check Point 的研究人员在官方应用市场 Google Play 发现至少 50 个应用会在用户不知情下订阅欺骗性的付费短信服务和收取费用。研究人员将这个恶意应用家族称为 ExpensiveWall,这些应用通过打包隐藏恶意功能躲避 Google Play 的恶意程序扫描。一旦安装,它们会悄悄上传手机号码和硬件识别符等信息到攻击者控制的服务器,使用手机号码注册增值服务,发送假的增值短信。这些应用的下载量在 590 万到 2110 万之间。Google 在接到通知后移除了应用,但攻击者再次成功渗透到官方市场,在移除前又安装到了5000 多台设备上。
http://www.solidot.org/story?sid=53852
Firefox 57 引入新的密码协商算法
Mozilla 安全博客宣布,它与 INRIA和 Project Everest 合作,在浏览器中整合 HACL* 加密算法库组件。双方合作的第一个成果是 Curve25519 密码协商算法实现。该实现已经加入到了 Firefox Nightly 中——预计将随 Firefox 57 正式提供给用户,Curve25519 被广泛用于 TLS 的密钥交换,而 HACL* 的 Curve25519 实现比目前 Firefox 浏览器使用的实现快 20%。Mozilla 称这同时改进了安全和性能。
http://www.solidot.org/story?sid=53853
Mozilla 安全博客宣布,它与 INRIA和 Project Everest 合作,在浏览器中整合 HACL* 加密算法库组件。双方合作的第一个成果是 Curve25519 密码协商算法实现。该实现已经加入到了 Firefox Nightly 中——预计将随 Firefox 57 正式提供给用户,Curve25519 被广泛用于 TLS 的密钥交换,而 HACL* 的 Curve25519 实现比目前 Firefox 浏览器使用的实现快 20%。Mozilla 称这同时改进了安全和性能。
http://www.solidot.org/story?sid=53853
Chrome 将把 FTP 网站标记为不安全
Chrome 不久之后将把 FTP 网站标记为不安全。Chrome 安全团队称 Mike West 在安全开发者邮件列表上称,他们原计划并没有考虑将 FTP 服务标记为不安全,但因为 FTP 的安全性比 HTTP 还差,虽然 FTP 的全球流量只有 0.0026%,考虑到它对用户的风险,将它标记为不安全似无不妥。今年早些时候,Linux 内核官网 kernel.org 和 Debian 分布宣布关闭 FTP 服务器,但主要原因不是安全,而是因为 FTP 低效。
http://www.solidot.org/story?sid=53854
Chrome 不久之后将把 FTP 网站标记为不安全。Chrome 安全团队称 Mike West 在安全开发者邮件列表上称,他们原计划并没有考虑将 FTP 服务标记为不安全,但因为 FTP 的安全性比 HTTP 还差,虽然 FTP 的全球流量只有 0.0026%,考虑到它对用户的风险,将它标记为不安全似无不妥。今年早些时候,Linux 内核官网 kernel.org 和 Debian 分布宣布关闭 FTP 服务器,但主要原因不是安全,而是因为 FTP 低效。
http://www.solidot.org/story?sid=53854
研究称久坐和死亡率存在强相关性
根据发表在《内科医学年鉴》上的一项研究,科学家发现,久坐和死亡率之间有很强的统计学相关性。每天坐着时间最长的男性和女性死亡风险最高,特别是如果每次持续坐着的时间经常超过 30 分钟。该风险不受年龄、种族、性别或体重影响。就算定期锻炼,这一风险也几乎没有降低。但如果坐着的时间经常被打断,早死的风险确实会出现下降。和持续坐着的时间通常不超过 30 分钟的人相比,久坐时间更长的人死亡率更高,即便每天坐着的总时间相同。研究结果表明,如果你每天必须花费大部分时间坐在椅子上,那么每隔 30 分钟左右活动一下,就有可能减轻一切可能的长期有害影响。这只是一项相关性研究,不能证明久坐会损害健康,只能证明二者之间存在关系。
http://www.solidot.org/story?sid=53855
根据发表在《内科医学年鉴》上的一项研究,科学家发现,久坐和死亡率之间有很强的统计学相关性。每天坐着时间最长的男性和女性死亡风险最高,特别是如果每次持续坐着的时间经常超过 30 分钟。该风险不受年龄、种族、性别或体重影响。就算定期锻炼,这一风险也几乎没有降低。但如果坐着的时间经常被打断,早死的风险确实会出现下降。和持续坐着的时间通常不超过 30 分钟的人相比,久坐时间更长的人死亡率更高,即便每天坐着的总时间相同。研究结果表明,如果你每天必须花费大部分时间坐在椅子上,那么每隔 30 分钟左右活动一下,就有可能减轻一切可能的长期有害影响。这只是一项相关性研究,不能证明久坐会损害健康,只能证明二者之间存在关系。
http://www.solidot.org/story?sid=53855
中国政府要求比特币交易所制定关停方案
在比特币中国宣布将于 9 月 30 日停止交易之后,中国政府要求其它比特币交易所制定 9 月底关停方案。官媒财新网报道,9 月 15 日,北京市互联网金融风险专项整治工作小组办公室约谈了各北京地区虚拟货币平台负责人,要求各交易平台最晚应于 9 月 15 日 24 点前发布公告,明确停止所有虚拟货币交易的最终时间,并宣布立即停止新用户注册。上海、深圳等地主要虚拟货币平台负责人都受到了监管部门的约谈。中国三大比特币交易所中的另外两家 OKCoin 和火币网总部都在北京,OKCoin 和火币网是约谈对象之一,目前它们尚未发布关停公告。比特币币值已经跌至了 3000 美元。
http://www.solidot.org/story?sid=53856
在比特币中国宣布将于 9 月 30 日停止交易之后,中国政府要求其它比特币交易所制定 9 月底关停方案。官媒财新网报道,9 月 15 日,北京市互联网金融风险专项整治工作小组办公室约谈了各北京地区虚拟货币平台负责人,要求各交易平台最晚应于 9 月 15 日 24 点前发布公告,明确停止所有虚拟货币交易的最终时间,并宣布立即停止新用户注册。上海、深圳等地主要虚拟货币平台负责人都受到了监管部门的约谈。中国三大比特币交易所中的另外两家 OKCoin 和火币网总部都在北京,OKCoin 和火币网是约谈对象之一,目前它们尚未发布关停公告。比特币币值已经跌至了 3000 美元。
http://www.solidot.org/story?sid=53856
广告行业组织抱怨苹果 Safari 浏览器屏蔽 Cookies
苹果计划在下一个版本的 Safari 浏览器中整合 Cookies 屏蔽技术,广告行业组织集体抱怨苹果此举将会破坏互联网的经济模式。六家行业组织 Interactive Advertising Bureau、American Advertising Federation、 Association of National Advertisers 等对苹果的计划表达了“严重关切”。苹果计划在浏览器中用一组苹果控制的标准去覆盖和替代用户 Cookies 偏好。这项功能被称为 Intelligent Tracking Prevention,在定向广告上限制了广告商和网站对用户的跟踪。行业组织声称这会导致广告变得不具有针对性,从而伤害了“用户体验”。
http://www.solidot.org/story?sid=53857
苹果计划在下一个版本的 Safari 浏览器中整合 Cookies 屏蔽技术,广告行业组织集体抱怨苹果此举将会破坏互联网的经济模式。六家行业组织 Interactive Advertising Bureau、American Advertising Federation、 Association of National Advertisers 等对苹果的计划表达了“严重关切”。苹果计划在浏览器中用一组苹果控制的标准去覆盖和替代用户 Cookies 偏好。这项功能被称为 Intelligent Tracking Prevention,在定向广告上限制了广告商和网站对用户的跟踪。行业组织声称这会导致广告变得不具有针对性,从而伤害了“用户体验”。
http://www.solidot.org/story?sid=53857
Google 停止反对美国对海外服务器上数据的搜查
Google 悄悄的停止反对美国法官对海外服务器上数据的大部分搜查要求。微软第一个站出来就美国对海外服务器上所储存数据的搜索要求发起了挑战,去年联邦第二巡回上诉法院做出了有利于微软的裁决,此后 Google 等服务商也开始挑战美国对海外数据的搜索令,但其它法庭并没有站在它们这边,今年 2 月哥伦比亚特区联邦法官命令 Google 提供储存在境外的客户邮件。美国司法部在一份给最高法院的文件(PDF)中指出,Google 如今已经改变了原先的立场,愿意遵守对海外数据的搜查要求。
http://www.solidot.org/story?sid=53858
Google 悄悄的停止反对美国法官对海外服务器上数据的大部分搜查要求。微软第一个站出来就美国对海外服务器上所储存数据的搜索要求发起了挑战,去年联邦第二巡回上诉法院做出了有利于微软的裁决,此后 Google 等服务商也开始挑战美国对海外数据的搜索令,但其它法庭并没有站在它们这边,今年 2 月哥伦比亚特区联邦法官命令 Google 提供储存在境外的客户邮件。美国司法部在一份给最高法院的文件(PDF)中指出,Google 如今已经改变了原先的立场,愿意遵守对海外数据的搜查要求。
http://www.solidot.org/story?sid=53858
2017 年 Ig 诺贝尔奖宣布
猫是液体还是固体或兼而有之?Marc-Antoine Fardin 等人在注意到猫能适应任意形状的容器后产生了这一疑问,他们的研究论文(PDF)赢得了今年的 Ig 诺贝尔物理学奖。Improbable Research 公布了 2017 年度 Ig 诺贝尔奖获奖名单。其它奖项包括:Matthew Rockloff 和 Nancy Greer 研究活鳄鱼如何影响你的赌博倾向而赢得经济学奖; Jean-Pierre Royet 等人利用大脑成像技术研究为什么有部分人厌恶奶酪而赢得医学奖;Marisa López-Teijón 等人因为发现在母亲阴道而不是母亲肚皮上播放音乐对发育中的胎儿产生更强烈的反应而赢得产科奖。
http://www.solidot.org/story?sid=53859
猫是液体还是固体或兼而有之?Marc-Antoine Fardin 等人在注意到猫能适应任意形状的容器后产生了这一疑问,他们的研究论文(PDF)赢得了今年的 Ig 诺贝尔物理学奖。Improbable Research 公布了 2017 年度 Ig 诺贝尔奖获奖名单。其它奖项包括:Matthew Rockloff 和 Nancy Greer 研究活鳄鱼如何影响你的赌博倾向而赢得经济学奖; Jean-Pierre Royet 等人利用大脑成像技术研究为什么有部分人厌恶奶酪而赢得医学奖;Marisa López-Teijón 等人因为发现在母亲阴道而不是母亲肚皮上播放音乐对发育中的胎儿产生更强烈的反应而赢得产科奖。
http://www.solidot.org/story?sid=53859
在声称比特币是欺诈之后JPMorgan旗下公司大举购入比特币
匿名读者 写道 "J.P. Morgan CEO Jamie Dimon 声称比特币是场骗局,之后因为中国计划关停比特币交易所导致市场恐慌,主要加密货币价格跳水。 Morgan 旗下公司 J.P. Morgan Securities LLC 被发现大举购入比特币, 稍早前公司 top quant strategist 附和 CEO 称比特币是金字塔骗局 "。 中国三大比特币交易平台的另外两家 OKCoin 和火币网分别宣布关闭虚拟货币交易业务。
http://www.solidot.org/story?sid=53860
匿名读者 写道 "J.P. Morgan CEO Jamie Dimon 声称比特币是场骗局,之后因为中国计划关停比特币交易所导致市场恐慌,主要加密货币价格跳水。 Morgan 旗下公司 J.P. Morgan Securities LLC 被发现大举购入比特币, 稍早前公司 top quant strategist 附和 CEO 称比特币是金字塔骗局 "。 中国三大比特币交易平台的另外两家 OKCoin 和火币网分别宣布关闭虚拟货币交易业务。
http://www.solidot.org/story?sid=53860
Google Chrome 将从明年 1 月起不再自动播放有声内容
从明年一月开始,Google Chrome 将不再自动播放有声内容,Chrome 将只会自动播放没有声音的媒体或用户明显表达兴趣的内容。上个月,Chrome 团队透露了一项新功能,让用户永久性给个别网站静音,浏览器会记住你上一次选择静音的网站,你再次访问时静音会自动启用。这项功能将在 Chrome 63 中引入,而 Chrome 64 将把这项控制提升到新的高度:浏览器将只会自动播放用户想要播放的媒体内容。网站静音功能将于今年 9 月引入到 Chrome 63 beta 中,10 月份随正式版提供给所有用户,新的自动播放策略将于 12 月引入到 Chrome 64 beta,明年 1 月提供给所有用户。
http://www.solidot.org/story?sid=53861
从明年一月开始,Google Chrome 将不再自动播放有声内容,Chrome 将只会自动播放没有声音的媒体或用户明显表达兴趣的内容。上个月,Chrome 团队透露了一项新功能,让用户永久性给个别网站静音,浏览器会记住你上一次选择静音的网站,你再次访问时静音会自动启用。这项功能将在 Chrome 63 中引入,而 Chrome 64 将把这项控制提升到新的高度:浏览器将只会自动播放用户想要播放的媒体内容。网站静音功能将于今年 9 月引入到 Chrome 63 beta 中,10 月份随正式版提供给所有用户,新的自动播放策略将于 12 月引入到 Chrome 64 beta,明年 1 月提供给所有用户。
http://www.solidot.org/story?sid=53861
工程师因提供翻墙服务被拘留三天
东莞男子因提供 SS 服务被判 9 个月,现在南京的一名软件工程师因提供类似服务被拘留三天,惩罚比较轻可能是因为情节不那么严重。官媒《法制日报》报道,一名大学毕业后在南京网络企业从事软件开发工作的男子称他为了看外国资料而租用服务器翻墙,为了分摊服务器租赁费用而向其他人出售翻墙服务,在被抓捕前他的收益仅为一千多元,他被处以行政拘留 3 天,没收销售收入。相比之下东莞的邓杰威共获得收入 34157.57 元,被认为“社会危害性较大”。报道没有详细介绍他是如何被发现的,只是说南京浦口警方收到线索,“称辖区内有人租用境外服务器非法架设网络翻墙工具”。工信部今年 1 月公布了一项规定,“未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络 VPN)等其他信道开展跨境经营活动。”
http://www.solidot.org/story?sid=53862
东莞男子因提供 SS 服务被判 9 个月,现在南京的一名软件工程师因提供类似服务被拘留三天,惩罚比较轻可能是因为情节不那么严重。官媒《法制日报》报道,一名大学毕业后在南京网络企业从事软件开发工作的男子称他为了看外国资料而租用服务器翻墙,为了分摊服务器租赁费用而向其他人出售翻墙服务,在被抓捕前他的收益仅为一千多元,他被处以行政拘留 3 天,没收销售收入。相比之下东莞的邓杰威共获得收入 34157.57 元,被认为“社会危害性较大”。报道没有详细介绍他是如何被发现的,只是说南京浦口警方收到线索,“称辖区内有人租用境外服务器非法架设网络翻墙工具”。工信部今年 1 月公布了一项规定,“未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络 VPN)等其他信道开展跨境经营活动。”
http://www.solidot.org/story?sid=53862
Google 将 Fuchsia 系统的内核重命名为 Zircon
Google 正在开发一个新开源操作系统 Fuchsia,新系统不再使用 Linux 内核而是使用一个新的微内核。这个核心平台最初被命名为 Magenta,但本周它被重命名为 Zircon。Zircon 包含了内核,以及系统启动所需要的一组用户空间服务、驱动和库。Fuchsia 使用了多种语言,包括 C++、Rust 和 Dart,以及 Go。其中 Go 语言被用于开发了 Fuchsia 的部分核心服务如网络协议栈。
http://www.solidot.org/story?sid=53863
Google 正在开发一个新开源操作系统 Fuchsia,新系统不再使用 Linux 内核而是使用一个新的微内核。这个核心平台最初被命名为 Magenta,但本周它被重命名为 Zircon。Zircon 包含了内核,以及系统启动所需要的一组用户空间服务、驱动和库。Fuchsia 使用了多种语言,包括 C++、Rust 和 Dart,以及 Go。其中 Go 语言被用于开发了 Fuchsia 的部分核心服务如网络协议栈。
http://www.solidot.org/story?sid=53863
流言称中国将切断比特币网络访问
中国社交网络流传了一份叫《“关于部署‘阻断比特币海外交易行为’技术预案的通知”》的文件截图,似乎是出自安管中心, 要求在 9 月 30 日前完成全面阻断比特币海外交易行为的技术方案部署,主要内容包括 1)在主要出口路由器上,阻断包括 coinbase、bitfines、localbitcoins 等海外比特币与中国境内的访问通信,包括 web 访问,app 访问及 API 访问接口等。2)在主要出口路由器上,阻断对比特币种子寻址节点的访问。3)在主干防火墙上,通过 DPI 识别,丢弃经特币账本 (区块) 同步数据。为防止利用 VPN 或 Tor 绕过屏蔽,文件还要求“加强对于使用 Tor、VPN 等桥接方式进行比特币网络通信的监控,发现高频、异常通信情况及时通报”。如果这一技术真的部署,那意味着中国将全面屏蔽主要比特币交易平台,切断比特币区块链网络同步,而中国是最大的比特币生产国,切断区块链同步意味着中国将从全球比特币网络中消失,挖出的比特币将不会视为有效,这可能将影响价值数亿的比特币矿场和矿机业务。目前比特币币值尚未受到多大影响,其币值已从 3000 美元的低点攀升到了 3500 美元。
http://www.solidot.org/story?sid=53864
中国社交网络流传了一份叫《“关于部署‘阻断比特币海外交易行为’技术预案的通知”》的文件截图,似乎是出自安管中心, 要求在 9 月 30 日前完成全面阻断比特币海外交易行为的技术方案部署,主要内容包括 1)在主要出口路由器上,阻断包括 coinbase、bitfines、localbitcoins 等海外比特币与中国境内的访问通信,包括 web 访问,app 访问及 API 访问接口等。2)在主要出口路由器上,阻断对比特币种子寻址节点的访问。3)在主干防火墙上,通过 DPI 识别,丢弃经特币账本 (区块) 同步数据。为防止利用 VPN 或 Tor 绕过屏蔽,文件还要求“加强对于使用 Tor、VPN 等桥接方式进行比特币网络通信的监控,发现高频、异常通信情况及时通报”。如果这一技术真的部署,那意味着中国将全面屏蔽主要比特币交易平台,切断比特币区块链网络同步,而中国是最大的比特币生产国,切断区块链同步意味着中国将从全球比特币网络中消失,挖出的比特币将不会视为有效,这可能将影响价值数亿的比特币矿场和矿机业务。目前比特币币值尚未受到多大影响,其币值已从 3000 美元的低点攀升到了 3500 美元。
http://www.solidot.org/story?sid=53864
海盗湾测试用 JS 挖矿替代广告
昨天访问海盗湾网站的用户在短时间内体验到了 CPU 占用率过高风扇狂转的情况,原因是他们浏览的页面嵌入了挖矿程序,不是挖比特币,而是挖一种替代数字货币门罗币(Monero)。比特币用 CPU 或 GPU 挖已经完全不合算了,但门罗币仍然可以。海盗湾是在测试用 JS 挖矿程序来代替广告,它没有在整个网站启用,而只是选择了特定页面。一些人对此做法表示赞同,但另一些人认为这么做是不道德的。
http://www.solidot.org/story?sid=53865
昨天访问海盗湾网站的用户在短时间内体验到了 CPU 占用率过高风扇狂转的情况,原因是他们浏览的页面嵌入了挖矿程序,不是挖比特币,而是挖一种替代数字货币门罗币(Monero)。比特币用 CPU 或 GPU 挖已经完全不合算了,但门罗币仍然可以。海盗湾是在测试用 JS 挖矿程序来代替广告,它没有在整个网站启用,而只是选择了特定页面。一些人对此做法表示赞同,但另一些人认为这么做是不道德的。
http://www.solidot.org/story?sid=53865
安全研究员提议 Security.txt 标准
安全研究员 Ed Foudil 向互联网工程任务组(IETF)递交了一个 Security.txt 草案,寻找标准化网站的安全政策,这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。举例来说,如果一名安全研究人员发现了一个网站的漏洞,他可以访问该网站的 security.txt 文件,获取如何联络公司和递交安全漏洞报告。security.txt 文件包含了如下信息: #This is a comment Contact: security@example.com Contact: +1-201-555-0123 Contact: https://example.com/security Encryption: https://example.com/pgp-key.txt Acknowledgement: https://example.com/acknowledgements.html Disclosure: Full 但就像一些爬虫会无视 robots.txt 去抓取网站内容,security.txt 看起来也容易被滥用,比如被垃圾信息发送者滥用。
http://www.solidot.org/story?sid=53866
安全研究员 Ed Foudil 向互联网工程任务组(IETF)递交了一个 Security.txt 草案,寻找标准化网站的安全政策,这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。举例来说,如果一名安全研究人员发现了一个网站的漏洞,他可以访问该网站的 security.txt 文件,获取如何联络公司和递交安全漏洞报告。security.txt 文件包含了如下信息: #This is a comment Contact: security@example.com Contact: +1-201-555-0123 Contact: https://example.com/security Encryption: https://example.com/pgp-key.txt Acknowledgement: https://example.com/acknowledgements.html Disclosure: Full 但就像一些爬虫会无视 robots.txt 去抓取网站内容,security.txt 看起来也容易被滥用,比如被垃圾信息发送者滥用。
http://www.solidot.org/story?sid=53866
PyPI 官方库被发现混入了名字相似的恶意模块
在 Node.js 项目的包管理器 NPM 发现利用名字相似性传播的恶意程序后,Python 官方的第三方软件库 PyPI(Python Package Index)也被发现遭到了类似的攻击。攻击者上传了名字相似的恶意模块,这些恶意的软件包包含了正确的代码,但修改了安装脚本。假软件包上传的时间从 6 月一直持续的 9 月。安全研究人员有意上传了 20 多个恶意库,结果在两天时间内被下载了 7000 多次。研究人员建议 Python 和 PyPI 开发者寻找方法阻止此类的攻击。
http://www.solidot.org/story?sid=53867
在 Node.js 项目的包管理器 NPM 发现利用名字相似性传播的恶意程序后,Python 官方的第三方软件库 PyPI(Python Package Index)也被发现遭到了类似的攻击。攻击者上传了名字相似的恶意模块,这些恶意的软件包包含了正确的代码,但修改了安装脚本。假软件包上传的时间从 6 月一直持续的 9 月。安全研究人员有意上传了 20 多个恶意库,结果在两天时间内被下载了 7000 多次。研究人员建议 Python 和 PyPI 开发者寻找方法阻止此类的攻击。
http://www.solidot.org/story?sid=53867
报道称比特币平台负责人被限制离京
《新京报》援引知情人士的消息报道,北京地区的比特币平台负责人被限制离京。中国三大比特币交易所中的火币网和 OKCoin 总部都在北京,上周五它们都宣布将于 9 月 30 日停止人民币交易业务。报道称,知情人士透露,目前各比特币交易平台负责人、高管等都不得离开北京,要配合调查。按照监管要求,各交易平台股东、实际控制人、高管、财务负责人等在清理退出期间要在京全力配合相关工作。在监管叫停以平台为中介的场内交易的同时,“一手交钱、一手打币” 的场外交易再次升温。据 coin dance 网站统计,中国近一周的场外交易量已经达到了 3000 万元人民币。所谓场外交易是指,即一方通过支付宝、微信或银行转账将资金打给另一方,另一方将比特币打到付款人的钱包里。
http://www.solidot.org/story?sid=53868
《新京报》援引知情人士的消息报道,北京地区的比特币平台负责人被限制离京。中国三大比特币交易所中的火币网和 OKCoin 总部都在北京,上周五它们都宣布将于 9 月 30 日停止人民币交易业务。报道称,知情人士透露,目前各比特币交易平台负责人、高管等都不得离开北京,要配合调查。按照监管要求,各交易平台股东、实际控制人、高管、财务负责人等在清理退出期间要在京全力配合相关工作。在监管叫停以平台为中介的场内交易的同时,“一手交钱、一手打币” 的场外交易再次升温。据 coin dance 网站统计,中国近一周的场外交易量已经达到了 3000 万元人民币。所谓场外交易是指,即一方通过支付宝、微信或银行转账将资金打给另一方,另一方将比特币打到付款人的钱包里。
http://www.solidot.org/story?sid=53868
Linux 基金会执行董事在开源峰会上被发现使用 MacOS 做演示
Linux 基金会执行董事 Jim Zemlin 在洛杉矶举行的开源峰会 Open Source Summit 2017 上宣布 2017 年是 Linux 桌面年,然而他的 PPT 演讲稿被发现运行在苹果的 MacOS 电脑上。Linux 基金会的掌门人宣布 Linux 桌面年的同时却用 MacOS 做演示,这似乎有些违和。这不是第一次 Zemlin 被发现使用 MacOS, Google 安全开发者 Matthew Garret 过去四年两次发现 Zemlin 使用 MacOS。这件事有点像是可口可乐的 CEO 被发现喝百事可乐。
http://www.solidot.org/story?sid=53869
Linux 基金会执行董事 Jim Zemlin 在洛杉矶举行的开源峰会 Open Source Summit 2017 上宣布 2017 年是 Linux 桌面年,然而他的 PPT 演讲稿被发现运行在苹果的 MacOS 电脑上。Linux 基金会的掌门人宣布 Linux 桌面年的同时却用 MacOS 做演示,这似乎有些违和。这不是第一次 Zemlin 被发现使用 MacOS, Google 安全开发者 Matthew Garret 过去四年两次发现 Zemlin 使用 MacOS。这件事有点像是可口可乐的 CEO 被发现喝百事可乐。
http://www.solidot.org/story?sid=53869
因 Facebook 的专利条款 WordPress 放弃 ReactJS
Facebook 前不久在它的 ReactJS JS 开源库的授权中加入了专利条款,如果 ReactJS 用户如果起诉 Facebook 侵犯专利,那么这位用户的 ReactJS 授权将被撤销。这一条款引发了争议,这意味着只要你使用的产品包含 ReactJS,你就无法起诉 Facebook 侵犯专利,即使你有正当理由。著名开源内容管理系统 WordPress 原计划引入 ReactJS,但因为这一覆盖面过于宽泛的专利条款它正式宣布放弃 ReactJS。WordPress 联合创始人 Matt Mullenweg 通过其博客称他改变了注意。
http://www.solidot.org/story?sid=53870
Facebook 前不久在它的 ReactJS JS 开源库的授权中加入了专利条款,如果 ReactJS 用户如果起诉 Facebook 侵犯专利,那么这位用户的 ReactJS 授权将被撤销。这一条款引发了争议,这意味着只要你使用的产品包含 ReactJS,你就无法起诉 Facebook 侵犯专利,即使你有正当理由。著名开源内容管理系统 WordPress 原计划引入 ReactJS,但因为这一覆盖面过于宽泛的专利条款它正式宣布放弃 ReactJS。WordPress 联合创始人 Matt Mullenweg 通过其博客称他改变了注意。
http://www.solidot.org/story?sid=53870