(给技术最前线加星标,每天看技术热点)
转自:开源中国、solidot、cnBeta、腾讯科技、快科技等
【业界资讯】
0、12306:铁路候补购票服务扩大到全部旅客列车
据12306网站消息,5月22日起,该网站在前期试点的基础上,将铁路候补购票服务扩大到所有旅客列车。候补购票服务是指在通过12306网站和APP购票时,如遇所需车次、席别无票,可自愿按日期、车次、席别、预付款提交购票需求,售票系统自动排队候补,当对应的车次、席别有退票时,系统自动兑现车票,并将购票结果通知购票人。
候补购票服务具体流程,可通过铁路12306网站(www.12306.cn)查询。
12306网站的所有注册用户均可自愿申请获得该项服务。为了保证候补需求的真实性,在申请该项服务前,用户需进行人证一致性核验。目前已通过人证一致性核验的用户及激活的“铁路畅行”会员,可自动获得该项服务。用户可通过铁路12306 App个人中心的人证核验入口按引导完成验证。
1、又捅娄子!Epic 误将玩家信息随机发送给陌生人
今日(5月22日),一名ID为TurboToast3000的外国玩家在Reddit上发帖抱怨Epic,声称Epic商城“精准的将我的个人信息随机发送给了一个陌生玩家。这些信息本是我自己根据GDPR(《通用数据保护条例》)要求获得的。”
这名玩家还在回复中补充道:
“他们(Epic)将包括我的住址、姓名、购买记录和购买信息全部发送出去(给了陌生人),而对此,我只收到了一句sorry。并且在这一切发生之后,他们居然还有勇气问我对他们的服务是否满意。”
可以看到在Epic客服的回复中,他们表示对错发信息很遗憾,他们已经要求收到信息的玩家删除这些文件并且保证不会再有类似情况发生。
此前,Epic商城就曾因私自收集用户的信息(主要是Steam信息)而在国外遭到了口诛笔伐,这名用户显然考虑到了这一点,为Epic“辩解”了几句。
“我想要说Epic并没有大家伙说的‘那么糟糕’,起码这些数据都是我自己输入的(不是Epic私自收集的)”TurboToast3000说。
“但这实在是太过分了,我受够了Epic上的游戏。哦,我忘了,我的IP地址也被发送了。”
2、国家市场监管总局谈“浏览器主页劫持”:将会同相关部门治理
市场监管总局已于今年4月起在全国范围内部署开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动。下一步,将配合中央网信办等部门,从规范格式条款、APP安全认证、消费者个人信息保护等角度做好相关治理工作。同时,积极配合全国人大常委会推动个人信息保护法尽快出台。
中央网信办、工信部、公安部、市场监管总局已于2019年1月起在全国范围内组织开展为期一年的APP违法违规收集使用个人信息专项治理,主要从4个方面开展工作:一是针对APP隐私政策和个人信息收集使用情况进行评估;二是加大对违法违规行为的监管处罚力度;三是打击整治网络侵犯公民个人信息违法犯罪;四是建立实施APP安全认证制度。目前,各项工作正平稳有序推进。
这位负责人说,APP安全认证在今年3月13日由市场监管总局联合中央网信办共同向全社会推出,按照APP运营商自愿申请的原则,由具备资质的认证机构依据相关国家标准对APP收集、存储、传输、处理、使用个人信息等活动进行评价,符合要求后颁发安全认证证书并允许认证标识。通过鼓励搜索引擎和应用商店优先推荐获证APP等方式,引导消费者选用安全的APP产品。
【技术资讯】
0、谷歌发现 G Suite 漏洞:部分密码明文存储长达十四年
据美国科技媒体The Verge报道,谷歌在博客文章里披露,公司最近发现一个漏洞,导致部分G Suite用户的密码以明文方式存储。博文中称,该漏洞自2005年以来就存在,但谷歌未能找到任何证据表明,任何人的密码被非法访问过。公司正在重置可能受影响的密码,并已告知各G Suite管理员。
G Suite是Gmail和谷歌其它应用的企业版本。显然,G Suite中出现的这个漏洞源于专为企业涉及的功能。一开始,公司的G Suite应用管理员可以手动设置用户密码——例如,在新员工入职前——如果管理员这样操作了,管理控制台会以明文方式存储这些密码,而非哈希加密存储,之后,谷歌便删除了这个管理员功能。
谷歌的帖子详细地解释了加密哈希的工作原理,似在为了分清楚与这一漏洞有关的细微差别。虽然密码是以明文方式存储,但它们至少是明文存储在谷歌的服务器上,因此比起存储在开放互联网上,这些明文密码还是比较难访问的。虽然谷歌并未明确说明,但谷歌似乎也在努力让人们相信,这次的漏洞与其他遭到泄露的明文密码问题不一样。
另外,谷歌并未说明具体有多少用户受到这一漏洞的影响,只是表示该漏洞影响了“我们部分的企业G Suite用户”——估计是2005年时使用G Suite的那些人。尽管谷歌也没有发现任何人恶意使用这一访问权限的证据,但我们也无法清楚地知道究竟谁访问过这些明文密码。
目前这个漏洞已经修复,同时谷歌在博文最后表达了歉意。
1、禁用超线程才能完全缓解 ZombieLoad,但性能下降高达 40%
上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。
攻击者可以访问存储缓冲区,加载端口并填充缓冲区的陈旧内容,这些缓冲区可能包含属于另一个进程的数据或源自不同安全上下文的数据。因此,在用户空间进程之间、内核与用户空间之间、虚拟机之间或虚拟机与主机环境之间可能都会发生意外的内存泄露。
ZombieLoad 与其它推测性执行边信道攻击不同,因为攻击者无法定位特定数据。攻击者可以定期对缓冲区中的内容进行采样,但是在采集样本时无法控制缓冲区中存在的数据。因此,需要额外的工作来将数据收集并重建为有意义的数据集。这也是 ZombieLoad 比较复杂的地方。
虽然 ZombieLoad 得到有价值数据的成本比较高,但是各大公司都十分重视这个漏洞,毕竟它影响了 2011 年以来几乎所有芯片,打击范围十分广泛。
Intel 自己已经发布了微代码,从架构上缓解该问题,其它科技公司如苹果、微软与谷歌也都相继发布了补丁。
但同时也有一些公司认为光有补丁并没有什么作用,比如 Red Hat 认为在云场景上 ZombieLoad 危险很大,因为你完全无法控制相邻虚拟机中的用户正在运行的内容,云安全公司 Twistlock 的首席技术官 John Morello 也指出:“这个漏洞可能对密集的、多租户的公有云提供商产生最大的影响。”
另一边,Ubuntu 目前也已经给出了补丁,但是其在安全公告中表示,如果用户系统中有不受信任或潜在的恶意代码,则建议其禁用超线程功能。
所以,如果想要完全缓解漏洞,你需要暂时放弃 CPU 的超线程能力。事实上,苹果和谷歌都已经警告 macOS 和 Chrome OS 用户禁用超线程可获得全面保护,并且谷歌现在默认从 Chrome OS 74 开始禁用超线程。
但是禁用超线程的性能代价实在有点高,结合对比一下 ZombieLoad 微代码与补丁对系统性能影响的数据:
Intel 发言人表示,大部分打过补丁的设备在最坏的情况下可能会受到 3% 的性能影响,而在数据中心环境中可能会是 9%。
另一边,PostgreSQL 基准测试发现,禁用超线程后,性能下降了近 40%;Ngnix 基准测试的性能下降了约 34%;Zombieload 的研究人员表示禁用超线程会使某些工作负载的性能下降 30% 至 40%。
安全还是性能,如何选择呢?
2、macOS Mojave 10.14.5 安全更新发布,性能最多下降 40%
在去年向Safari发布的安全更新中,修复了影响ARM架构和英特尔处理器的“幽灵”(Spectre)漏洞。苹果当时在更新日志中并未提及更新对于苹果设备性能的负面影响有多严重。不过近期发布的macOS Mojave 10.14.5安全更新中,再次修复了英特尔处理器中的新投机性执行漏洞。
虽然本次更新对于Safari在性能上并不会产生太大的影响,但是苹果公司官方明确体积Mac笔记本和桌面设备需要启用完整的缓解措施,才能防止恶意应用利用这些漏洞。而完整的缓解措施需要使用终端应用来启用额外的CPU指令,并禁用超线程处理(hyper-threading processing)技术。不过执行这项操作之后,那些重度依赖超线程技术的应用程序会受到影响,性能最多可以下降40%。
觉得这些资讯有帮助?请转发给更多人
关注 技术最前线 加星标,看 IT 要闻
最新业界资讯,我在看❤️
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
