TypeScript 是一种由微软开发的自由开源的编程语言。它是 JavaScript 的一个超集，而且实质上向这个语言添加了可选的静态类型和基于类的面向对象编程等等。

如果你使用 TypeScript 开发项目，那么现在有个新的软件可以帮助到你。

ALM 宣称它是“TypeScript 的下一代 IDE”，这款专为 TypeScript 设计的编辑器将会使得编程更快捷，JavaScript 开发者可以首先使用类似的 TypeScript 进行开发，然后再编译成浏览器所支持的 JavaScript 语言。

ALM 安装很简单

要运行 ALM 这个开发工具，开发者只需要做两件事：一个可以工作的 Node.js 5 及其以上版本，一个 Google Chrome 浏览器。不支持 Firefox、 Vivaldi 和 Edge 等等其它浏览器。

然后只需要如下命令即可：

npm install alm -g

然后在终端运行 alm 即可。

要在 ALM 中打开文件，只需要切换到你的项目文件夹，然后运行 alm . 或 alm -o . 即可。第一个命令会在浏览器中打开一个可以访问你的项目的索引文件的 URL，然后就可以编辑了。第二个命令会自动在你的默认浏览器（chrome）中打开该 URL。

有许多非常酷的功能

ALM 的开发者 Basarat Ali Syed 给这个 IDE 中打包了很多功能，包括为 TypeScript 定制的格式高亮方案，支持选项卡、多面板、go-to 跳转功能、查找替换功能、实时文件格式化和实时项目格式化。

将来， ALM IDE 也会与内建的 AST 查看器、依赖查看器、命令搜索功能、光标历史、多监视器支持、错误面板、支持 错误提示 （ errors on hover ） 、集成 Git、自动 TypeScript 构建和编译、实时预览 TypeScript 所输出的 JavaScript 。

你可以看看 Syed 放到文档站的动画 Gif：

你可以在 GitHub 上找到该项目，别忘记了 star 它！

网络安全公司 Sucuri 的安全专家说，他们在调查中发现有 68% 的被黑网站存在着隐藏的 后门 （ backdoor ） 脚本。这些后门脚本会给入侵者提供再次进入秘密通道，即便系统管理员改变了口令或应用了安全补丁，只要没有完全的清理整个系统，后门就会依旧存在。

从他们发布的网站被黑报告 2016 Q1 版中可以看到，全部取样的 11485 个网站中，有 4900 个网站发现了后门。

在这些被入侵的网站中，后门是最严重的问题，其次是恶意软件（通过浏览器端的代码进行 挂马攻击 （ drive-by download ） ），占比 60%。

第三名是 SEO 垃圾 （ SEO spam ） ，大约 32% 的网站存在该问题。SEO 垃圾通常会秘密嵌入到页面中，浏览者看不见，而对于搜索引擎的爬虫可见。

挂马攻击和 SEO 垃圾也很流行

SEO 垃圾可以帮助恶意攻击者提升其网站的搜索引擎排名，而对被感染的网站来说，则会受到搜索引擎的惩罚和排名下降。

这些受益的恶意攻击者通常会将 SEO 垃圾放到感染网站的源代码中、数据库中，或者通过 .htaccess 重定向实现。多数情况下，SEO 垃圾被用在药品方面，也有给成人内容或在线游戏提供的。

与去年相比，后门脚本比例略有降低，SEO 垃圾有小幅提升，而恶意软件感染则相较前些年增幅最大，从 2014 年的 41% 增加到了 2016 年的 60%！作为对比，后门脚本则从2014年的 59% 到 2015 年的 73%，现在回落到 68%；SEO 垃圾从 20% 到 28%，到了2016 年就增加到了 28%。

两位俄罗斯的安全研究人员刚刚在著名的图像处理库 ImageMagick 中发现了严重的安全漏洞。ImageMagick 用在大量的网站中，所以这个发现的零日漏洞一举将不计其数的网站暴露在安全攻击面前。

该漏洞被称之为“ImageTragick”，CVE 编号是 CVE-2016-3714。这个安全漏洞影响极其广泛，因为 ImageMagick 是除了 GD 之外使用最多的图像处理库，被广泛用于各种语言的图像处理，比如 PHP、Java、Python、Ruby 等等。许多开源软件，比如 WordPress、Drupal、Discuz 等都使用了它的图像处理功能。

通过 ImageMagick 的漏洞可以黑掉网站

据两位研究人员称，ImageMagick 中有多个安全缺陷，但是这个漏洞会导致那些允许用户上传图片（比如会员头像）的网站受到恶意制作的图片的攻击。

目前这个零日漏洞已经被 ImageMagick 项目所证实，但是尚未有修复版本发布，需要等到这个周末才能释出。不过，该项目提供了一些可以缓解该风险的方法。更多的缓解措施，可以参考 ImageTragick 网站 上的相关说明。

目前已经出现了验证该漏洞的 PoC，比如这个和另一个。

攻击者只需要找到能够上传图片的网站就行了

ImageMagick 是很多图像处理库和模块的基础，大量的编程语言都使用它来处理图像，比如 PHP、 Java、 Ruby、 JavaScript/Node.js 等等，而只要是用这些语言开发的网站就处于安全风险之中。

而唯一的条件就是网站允许用户上传图片（比如用户头像）并使用 ImageMagick 相关的库来处理它。

研究人员建议，要对上传的图片文件进行文件格式检查，比如通过 Magic Byte 来判断文件类型。Magic Byte 是一种通过文件头部的特定字节来判断文件类型的机制。

通过该漏洞，攻击者只需要构造一个特殊的文件，伪造成图片上传到服务器，服务器就会执行其中的任意代码，这相当于将整个网站的权限都交给了攻击者。

请在相应的补丁出来请先做防御性的缓解策略，并在更新版本出来后尽快更新。

据 Daily Dot 报道， 马修·艾德曼 （ Matthew Edman ） 以前是一位 Tor 项目的核心开发人员，但是在他离开了这个非盈利组织之后，帮助 FBI 开发了一个软件来跟踪 Tor 网络上的用户。

艾德曼于 2008 年加入了 Tor 项目，那时他还是 贝勒大学 （ Baylor University ） 的一名大学生。他被分配到一个现已解散的项目 Vidalia 上，该项目用于开发一个简易的用户界面，可以让用户在计算机上设置和管理 Tor 连接。

Tor 的领导层于 2013 年终止了 Vidalia 项目，不过在那时，艾德曼已经在 米特雷 （ Mitre ） 公司担任高级网络安全工程师了。也许很多人都没听说过米特雷公司，不过大家所熟知的 常见漏洞与缺陷 （ Common Vulnerabilities and Exposures ） CVE 数据库就是由该公司维护管理的。该公司也是一家成熟的网络安全和国防方面的承包商，年收入近15亿美金，主要的合同来自政府部门。

艾德曼开发了 Torsploit 软件

在米特雷公司期间， 艾德曼和几个 FBI 特工一起开发了 Torsploit 软件（也叫做 玉米剥皮者 （ Cornhusker ） ）。FBI 将这个软件用在了其 Operation Torpedo 钓鱼行动中，也将其部署到了暗网的儿童色情门户网站上。FBI 特工将艾德曼的软件打包到一个 Flash 文件中，并将其放到网站上，如果用户使用 Tor 浏览器访问带有该 Flash 的站点时，这个恶意软件就会将访问者的真实 IP 地址和时间戳发送到 FBI 服务器。FBI 使用这些信息定位了25个嫌疑人，并已经起诉了其中19人。此外，FBI 还在使用其他的恶意软件，很多人怀疑 FBI 偷偷利用了 Tor 浏览器的漏洞，甚至还会利用 Firefox 浏览器的零日漏洞。

FBI “弄丢”了 Torsploit 的源代码

一位暗网的嫌疑人想要他的律师和技术专家们调查一下 Torsploit ，以便了解它是如何工作的，以及精度如何。而 FBI 的回答就像是四年级学生说‘他的家庭作业被狗吃了’一样可笑，FBI 官员说他们丢失了该软件的源代码。

艾德曼和 FBI 的合作仍在继续，有消息称他协助 Bureau 关闭了丝路地下市场，据闻他在其中扮演了关键角色，特别是在跟踪罗斯布利的暗网和比特币交易方面。

在前几年，艾德曼先后加入了彭博社、FTI 咨询，现在是伯克利研究小组的关键执行人员，在那里他同三位前 FBI 特工和一位前联邦检察官共同负责丝路这件案件。

US-CERT 披露，在 ntpd 中最近发现了大量安全缺陷。ntpd 是 网络时间协议 NTP 的服务进程，绝大多数的服务器和各种设备都采用它来处理时间相关的任务。

虽然有多种 NTP 的服务进程，但是我们一般说的都是指 NTP.org 的 ntpd 服务进程，它也是大部分服务器和设备所用的版本。在今年的一月和四月它分别修复了两大批安全漏洞。

据 Cisco 说，一些漏洞会导致 DoS 攻击或者甚至跳过认证过程。Cisco 是负责推动对 NTP 进行安全评估的 Linux 基金会核心基础架构计划 （ Linux Foundation Core Infrastructure Initiative ） 的成员。

由于各种智能设备都需要时间相关的功能，所以很多的设备都采用了 NTP 协议及 NTP.org 的服务进程，以确保系统时钟同步一致。

在这个协议中发现的安全问题是非常严重的，因为这会让攻击者非常容易地造成破坏。

NTP ——通向各个网络

在两周前，两位安全研究人员发现了 NTP 服务进程中的安全缺陷，他们已经开发了一个通过网络进行攻击的漏洞验证程序，并使用它来模仿 NTP 通讯，从而可以利用臭名昭著的 1970 漏洞让 iOS 设备变砖！

除了这个漏洞缺陷之外，Web 安全厂商也都知道， NTP 协议也是最常见的发起 DDoS 攻击的方式之一。

US-CERT 提请网站管理员和系统管理员们对此引起重视，并打上最新的补丁。该组织已经列出了受到 NTP.org 的 ntpd 服务进程中安全漏洞影响的厂商名称，多达 75 家，这里包括苹果、思科、谷歌和 VMWare 等等著名厂商。

管理员们应该尽快升级其设备固件和服务器软件到最新的版本（4.2.8p7）。

昨天我们报道过 Opera 浏览器内置了 VPN 服务，用户打开它可以防止他们的在线活动被窥视。不过一位捷克的开发者对此发表了不同意见，认为 Opera 提供的根本不是 VPN，而只是一个代理服务器罢了。

Michal Špacek 是一位 PHP 开发者，他注意到 Opera 的 VPN 设置下方的一行小字：

Secure proxy provided by SurfEasy Inc., an Opera company based in Canada.

由于对这里提到 proxy 感到好奇，他使用自己的开发工具分析了一下 Opera 的 VPN 是如何工作的，然后将他的发现写到了 Github 上。

“Opera 所谓的‘VPN’其实只是一个预配置的 HTTP/S 代理，它可以保护 Opera 浏览器和代理服务器之间的流量，别的什么都不干。根本不是 VPN！” Špacek 写到，“在 Opera 的设置中，他们居然叫它 安全代理 （ Secure proxy ） （甚至叫做 VPN）。”

安全代理和 VPN 之间的区别是，安全代理可以保护浏览器和代理服务器之间的 Web 流量的安全，而 VPN 则会保护所有的流量，无论是哪种网络协议。

Opera 也许弄错了 proxy 和 VPN

有些人也许据此认为 Opera 说谎了，但是 Opera 只是个浏览器，只能处理 Web 流量，所以，理论上说，这样的一个安全代理，对于你的 Web 浏览已经足够了。

Opera 也许错误的将这个功能称之为 VPN，但是不管叫什么，它是可以安全使用的，至少对于 HTTP 和 HTTPS 访问来说。如果你要保护其它的网络活动，也许你应该找个真正的 VPN 服务。

正如 Mr. Špacek 在 Twitter 上说的，这件事实际上要看用户是怎么理解的。“最大的风险是用户以为他处于保护之下。我们一般告诉人们 VPN 会加密所有流量信息，而 Opera 号称 VPN 却实际上并没有做 VPN 的事情。”

另外，据国内一些用户反馈，Opera 的 “VPN” 服务很不好用。我们估计，他们部署在加拿大、德国等地的代理服务器有可能被某些网关列入了黑名单，或者是其采用的协议是受到阻拦的。我们认为，Opera 推出的这个“VPN”服务主要目的还是为了让国外用户可以避开国外情报机构的监视，而并不是针对其它的管制。所以，这并没有什么可奇怪的。