根据上个月公布的 Research Grants 2019H1，Mozilla 正寻求资助开发在 Firefox 中更有效的整合 Tor 的方法。目前 Tor 能工作在 Firefox 浏览器上，Tor 浏览器就是证据，但这种整合方法拖慢了浏览器的速度。Mozilla 认为，要让更多的用户使用 Tor 匿名网络需要解决目前 Tor 存在的效率低下的问题。学术界正在研究替代的协议架构和路线选择协议，如 Tor-over-QUIC、DTLS 和 Walking Onions。但替代的协议架构和路线选择协议是否能带来可接受的 Tor 性能增强，是否能保留 Tor 的特性，是否能大规模部署 Tor，如何全面整合 Tor 和 Firefox？Mozilla 愿意在这些方面提供研究资金。

来源：solidot.org

更多资讯

杠上美国反病毒公司：俄罗斯黑客要卖它们的源代码

5月12日，Ars technica称，Fxmsp是一个破坏私人企业和政府信息的俄罗斯组织，自3月份以来，Fxmsp在网络犯罪论坛上声称持有了从美国三家主要防病毒公司软件开发相关的独家源代码。

来源： 雷锋网

详情： http://t.cn/EK215J0

错误更新导致荷兰数百名嫌犯佩戴的监控踝带短暂失联

一个有缺陷的 Windows 更新或许会令人烦恼，但还不足以引起人们的恐慌，但是如果是数百名被警方监控的嫌犯或者有前科的罪犯突然失控呢？本周四佩戴在嫌犯腿部的踝关节监视器在更新中出现问题，导致设备和警察之间的通信被中断。

来源： cnBeta.COM

详情： http://t.cn/EK21Vcx

为了挖掘加密货币 两个黑客组织争夺 Linux 服务器

Rocke 和 Pascha 两个从事门罗币挖掘业务的黑客组织正在努力控制尽可能多的 Linux 云环境，以便挖掘加密货币。去年年底，自新黑客组织 Pacha 崛起以来，这场争夺战就一直秘密进行。这两个组织都进行了大规模扫描来寻找开放或未打补丁的云服务和服务器，然后用基于 Linux 的多功能恶意软件感染它们。

来源： 雷锋网
详情： http://t.cn/EK21Mwm

5 月全球 Web 服务器报告 微软减少 1.12 亿站点

Netcraft 发布了 2019 年 5 月份全球 Web 服务器调查报告。Netcraft 公司官网每月公布的 Web Server Survey 是当前人们了解全球网站数量以及服务器市场分额情况的主要参考依据。5 月份报告共收录了 1 326 664 693 个站点数据，比上个月减少了 1.19 亿个，其中活跃站点有 187 976 419 个

来源： 开源中国
详情： http://t.cn/EK21Jpv

（信息来源于网络，安华金和搜集整理）

作为全球头号浏览器，谷歌浏览器不断发展，谷歌一直在寻求提高所有平台的可用性，安全性和性能的方法。最近，谷歌开始研究一项新功能，该功能将阻止网站接管 Chromium 中的后退按钮。

由于许多用户发现许多网站或者网页使得浏览器中的后退按钮几乎没用，因为它们不想让用户离开当前页面，在这种情况下，按下后退按钮没有任何效果，因为浏览器似乎卡在同一页面上。这是一种噱头，利用后退按钮在浏览器中的工作方式，并使用重定向或历史操作。

谷歌表示，有些页面使用户很难或不可能通过浏览器后退按钮返回他们原先的页面。这是通过重定向或操纵浏览器历史记录来实现的，并导致滥用和恼人的用户体验。谷歌将通过阻止任何不涉及用户输入的行为来解决这个问题，这意味着按下后退按钮将获得预期的结果，并且不允许复杂的代码进行干预。浏览器后退按钮的新行为将跳过添加历史记录条目或重定向用户页面，但是同时不会影响 history.back/forward API。

该功能仍在开发中，可在所有平台上使用，包括 Windows，Mac，Linux，Chrome OS，Android 和 iOS。

来源：cnBeta.COM

更多资讯

法院驳回针对苹果 FaceTime 窃听漏洞发起的诉讼

据外媒报道，早在今年 1 月，FaceTime 就出现了一个重大漏洞，它能让用户在 FaceTime 电话未被接受的情况下也能强行与另一个人建立 FaceTime 连接，即使在 FaceTime 调用未被接受的情况下，同时还可以访问其音频和视频。

来源： cnBeta.COM

详情： http://t.cn/EosuMLj

报道称美国军方不知道其运营网站的具体数量

据外媒 The Verge 报道，美国国防部不确定其运营了多少个网站。据美国军事专刊 《星条旗报》 （ Starsand Stripes ） 报道，在上个月的一次活动中，马里兰州米德堡国防媒体活动代理主任、美国陆军上校 Paul Haverstick 表示，对五角大楼运营的网站数量“并不确定”。

来源： cnBeta.COM

详情： http://t.cn/EosuSvy

网络公司后台被攻击损失近千万元 民警千里抓“黑客”

去年 12 月，北京回龙观派出所接到辖区内一网络公司报警，称其开发的软件被黑客攻击，公司服务器全面瘫痪。警方经过近半年的侦查，通过层层数据梳理成功锁定嫌疑人，近日远赴成都将雇佣黑客实施网络攻击的两名嫌疑人抓获归案。目前案件正在进一步工作中。

来源： 北京晚报

详情： http://t.cn/EosupM6

土耳其对脸书数据泄露事件罚款 27 万美元

土耳其官方部门“个人数据保护机构”10 日说，就社交媒体脸书去年泄露用户数据影响土耳其用户事件，该机构于今年 4 月对脸书罚款 165 万土耳其里拉（约合 27 万美元）。

来源： 新华网

详情： http://t.cn/EosuYpu

（信息来源于网络，安华金和搜集整理）

由于 Mozilla 方面的一个失误，导致许多 Firefox 用户在上周末遇到了附加组件无法使用的 bug 。后来该公司发布了更新，才让浏览器恢复正常。对于此事，这家机构现已发表正式道歉，详细解释发生了怎样的事情，且承诺会删除期间为了推出修复程序而收集的私人数据。据悉，为了修复 bug，Firefox 初期希望用户启用遥测选项。因为在默认的情况下，其出于隐私考量而禁用了此类数据收集选项。

现在，我们已经知道附加组件遇到的故障，源自安全证书方面的 bug 。在 Mozilla Hacks 的一篇博客文章中，首席技术官 Eric Rescorla 已经给出了详细的解释。

Joe Hidebrand 在另一篇文章中写到：

我们在努力为 Firefox 带来极棒的体验，但可惜上周遭遇了失败，对此我们深表歉意。

过去几年，我们花费了很多时间，来思考如何将附加组件（Add-ons）变得更加安全。然而鉴于附加组件的功能是如此的强大，我们也必须努力构建和部署一套系统，以免用户遭受恶意附加组件的侵扰。

至于上周的问题，其实源自防护系统中的一项错误部署—— 保险模式导致附加组件被禁用了。

尽管我们认为这套机制的基本设计原则是合理的，但仍会努力改进该系统，以防将来再次发生类似的问题。

此外，Hildebrand 还向关注 Firefox 最初“紧急修复”时段收集私人数据一事的网友们保证：

为尽快解决这个问题，我们曾呼吁用户开启遥测选项，以获取附加信息。

不过在 5 月 8 日 23:28 分的 Firefox 附加组件博客上，我们宣布已经不再需要开启遥测选项，所以请大家根据自己的真实意愿来选择是否退出。

为尽可能地尊重用户，Mozilla 决定删除 5 月 4 日 11:00 到 5 月 11 日 11:00 期间手机的所有用户的遥测与研究数据。

最后，Mozilla 表示将会披露与本次事件有关的更多细节，感兴趣的朋友可以留意后续发布的报告。

更多资讯

涉及 2.75 亿条印度公民信息的 MongoDB 数据库被曝光和公开索引

援引外媒Security Discovery报道，他们于5月1日发现了一个未经保护和公开索引的MongoDB数据库，其中包括了涉及印度公民的个人身份信息的275,265,298条记录。这些信息中包括姓名、电子邮件地址、性别、教育水平和专业领域、专业技能和职称、手机号码、就业经历和当前雇主、出生日期以及当前的薪资水平。

来源： cnBeta.COM

详情： http://www.dbsec.cn/zx/20190511-5.html

研究人员披露黑客入侵了三家美国杀毒软件公司

Advanced Intelligence (AdvIntel) 公司的研究人员透露，名叫 Fxmsp 的组织正在积极销售三家美国杀毒软件公司的源代码和网络访问。它提供了样本作为证据证明其声明是有效的。AdvIntel 的研究总监 Yelisey Boguslavskiy 称他们已经通知了相关公司和美国执法机构。在安全社区 Fxmsp 已经是名声在外，该组织在今年三月透露它能提供美国三家顶级杀毒软件公司的独有信息。它在地下黑客市场销售这些公司软件开发的源代码和网络访问，开价超过 30 万美元。

来源： solidot.org

详情： http://www.dbsec.cn/zx/20190511-3.html

恶意差评案件多发 侵蚀网络营商环境亟待立法规制

传统的网络评价机制亟待改进，以优化网络营商环境。近日在杭州互联网法院落槌的一起民事案件，将这一问题再次提上议事日程。在这起案件中，7 名 90 后组成的差评师团伙被判决赔偿阿里经济损失 8 万余元、合理支出 4 万余元。而这已经是他们因同一件事情所受到的第二次惩罚。

此前，深圳市龙华区法院以敲诈勒索罪对他们分别判处 7 个月至 2 年不等的刑期。这意味着因为恶意差评，这一团伙遭到刑事民事的“双杀”。

来源： 法制日报

详情： http://www.dbsec.cn/zx/20190511-2.html

美国巴尔的摩市政网络遭勒索软件攻击

美国巴尔的摩市政网络 5 月 7 日遭勒索软件攻击后下线。攻击没有影响警察、消防和紧急反应系统，但市政府的其它部门都在某种程度上受到冲击。市政府的首席信息官 Frank Johnson 在新闻发布会上证实，攻击他们的勒索软件是 RobbinHood。

逆向工程 RobbinHood 样本的安全研究人员 Vitali Kremez 称，恶意程序在一个系统只针对文件，不会通过网络共享传播。这意味着恶意程序是逐个的部署到机器上的，攻击者需要在部署前已经获得了网络的管理级别的访问权限。

市长 Bernard “Jack” Young 表示， IT 部门有备份，但无法简单的替换备份。他说他不希望人们认为他们没有备份。

来源：solidot.org

详情： http://www.dbsec.cn/zx/20190511-1.html

美国科技媒体报道称，一名信息安全研究员近期发现，三星工程师使用的一个开发平台泄露了多个内部项目，包括三星 SmartThings 敏感的源代码、证书和密钥。三星数十个自主编码项目出现在旗下 Vandev Lab 的 GitLab 实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”，同时没有受到密码的保护，因此任何人都可以查看项目，获取并下载源代码。

三星回应称，其中一些文件是用于测试的，但研究员对此提出质疑。他表示，在 GitLab 代码仓库中发现的源代码与 4 月 10 日 在 Google Play 上发布的 Android 应用包含的代码相同。这款应用随后又有过升级，到目前为止的安装量已经超过 1 亿多次。

研究员说：“我获得了一名用户的私有令牌，该用户可以完全访问 GitLab 上的所有 135 个项目。”因此，他可以使用该员工的帐号去修改代码。

研究员还提供了多张屏幕截图和视频作为证据。泄露的 GitLab 实例中还包括三星 SmartThings 的 iOS 和 Android 应用的私有证书。

来源：新浪科技

更多资讯

“手机墙”4个月“刷单”骗走1200余万元 - “流量造假”乱象何时休？

用 2000 部手机排成几面“手机墙”，每部手机同时操作自动下载 App、“刷”高注册量后骗取客户推广费……记者日前从北京市公安局海淀分局获悉，按照公安部“净网 2019”专项行动部署，北京警方在广东警方的配合下打掉一个利用计算机软件控制大量手机虚拟下载安装App产品骗取推广费的犯罪团伙，App刷量问题再度引发关注。

来源： 新华社

详情： http://t.cn/EoEvZ2K

调查显示美国人对网络安全过于自信

一项来自 webroot 的新研究调查了 1 万名美国人（每个州 200 人）的网络安全习惯，发现 88% 的人认为他们采取了正确的措施来保护自己免受网络攻击。然而，只有 10% 的受访者在网络安全测试中得分达到 90% 或更高，平均只有 60%。

来源： cnBeta.COM

详情： http://t.cn/EoEvLRj

曾被黑客攻入 亚马逊大量商户账户面临危险

最新文件显示，去年 11 月亚马逊要求英国某法院批准搜查巴克莱银行和万事达卡旗下 Prepa Technologies 的相关账户信息。亚马逊相信，自己正受到大规模欺诈攻击，身份不明的黑客去年六个月从英国亚马逊卖家账户窃取资金。

来源： 华尔街见闻

详情： http://t.cn/EoEvfrx

（信息来源于网络，安华金和搜集整理）

经常看公众号文章的人都知道，一般而言，公众号内是无法放超链接的。这对于一般的文章来说其实不要紧，但是对于我们这种技术类的文章，往往会带有很多链接，而不能插入链接，会导致一篇文章的价值和可信性降低。

备注：

公众号文章可以放超链接的情况有几种：

1. 认证的服务号可以放任意链接
2. 可以链接已经发送的任意公众号文章

针对这种情况，我们之前有过几种解决方案：

1. 将链接 URL 以文字的方式显示在文章中或文章底部。
2. 将链接转换成二维码，可以长按识别跳转。
3. 将文内的链接整理放到一个专门的 HTML 页面，通过“阅读原文”引导读者访问。

其中第 3 种解决方案是我们近几年一直采用的方式。不料，前一段时间，有个读者留言问，链接怎么不能点？而这个读者居然是从 2013 年就关注我们的读者，这让我很吃惊。这说明，一方面我们对读者的提示和帮助还不够；另外一方面，大部分读者还是习惯性的去点击链接（我们文章内的链接有易于识别的样式，一看就像是链接）。

思考之下，结合最近我们正在研究的小程序，我们提出了第 4 种解决方案：用小程序来承载链接。读者点击小程序后，小程序负责将该链接复制到剪贴板中，这样读者只需要打开手机浏览器，就可以手动粘贴该链接进行访问了（有的浏览器会自动询问是否访问剪贴板中的链接）。虽然，还需要打开浏览器一个步骤，但是这样感觉直接多了。

这个功能在我们的公众号和我们专用的小程序“Linux文章”上试验打磨之后，我们决定建立一个公用的小程序，将这个功能开放给大家使用。

使用方法

1、在微信文章编辑器中，点击插入“小程序”，输入“文章助手”查找（使用这个小程序不需要公众号关联）：

就是这个大眼睛，然后下一步：

2、这里输入路径“/pages/a?link=链接地址&title=链接标题”，请使用你的链接和链接标题分别替换路径参数：

当然，展示方式你也可以不使用“文字”，选择图片也是可以的。

插入文字链接后效果如下：

小程序效果

读者在看到你推送的公众号文章后，看到这种熟悉的链接样式，自然而然就知道可以点击了。点击后，会弹出如下小程序界面：

“文章助手”小程序会显示该链接，并自动复制到剪贴板。当你的剪贴板内有较多内容时，不会自动复制，以避免冲掉你的重要内容。这种情况下，可以点击一下链接框，手动复制即可。

然后就可以打开手机上的浏览器来浏览啦。

除此以外，点击小程序左上角的头像，读者还可以看到他查看过的所有链接。

重要提醒

此小程序的使用永久免费，并且我们承诺永远不会主动停止服务，所以不用担心你文章内的链接将来不能使用。

再上面的链接页面内有个预留广告位，我们保留将来投放广告的可能性——但是将来万一（我说万一）真的要投放广告了，我们会给出几种方式，以使你免除被绑架的忧虑：

• 接受公众号或读者的捐赠或付款而享受免投放广告服务
• 之前没有投放过广告的链接页面，我们保证不会出现广告（根据首次出现的时间线判定）

当然，如果你实在不相信我的人品，那么这个原理其实不复杂，你可以自己实现一个这样的小程序。

美国中央情报局（CIA）最近一改“神秘”形象，开始在社交网站上“抖机灵”。两周前，中情局在 Instagram 上发布一张“猜谜”照片，吸了一波流量，没想到7日却因在推特上分享的暗网链接“翻了车”。

“来洋葱网络（Tor network）找我们呀！”5 月 7 日，中情局一连在推特上发布了 4 条加密链接相关推文。中情局公布了其在洋葱网络的网址链接，承诺网友可以匿名通过该平台上向政府“提供信息”。

推特截图

中情局在推文中写到：“情报收集任务存在着安全、匿名、不可追踪等特点，洋葱网络也刚好具有同样特性。中情局信息一应俱全，如果想获得相关内容，请点击下方链接。”

推特截图

中情局此举也让网友感到疑惑：洋葱网络到底是不是间谍工具？推特上网友回复似乎不完全符合中情局的意。有网友断然拒绝：不用，谢谢！另有评论称：“原来中情局就是这么监视美国民众的。”

更有网友认为，中情局使用加密网络与罪犯和恐怖分子使用的是一样的，被讽刺称“肯定不会让人失望”。（海外网 张琪）

来源：cnBeta.COM

更多资讯

FBI 查获并捣毁暗网索引和新闻网站 Deep Dot Web

据外媒报道，美国 FBI 日前已查获暗网索引和新闻网站 Deep Dot Web。该网站的暗网现已被撤下，取而代之的是一个通知。根据通知了解到，FBI 联合电脑犯罪调查人员和欧洲执法部门并在接到搜查令后查封了该网站。

来源： 海外网
详情： http://t.cn/EoO361X

除 bug 务尽 Mozilla 再次更新 Firefox 以修复扩展被禁用的相关问题

上周末，Mozilla 意外地在桌面和 Android 上安装的 Firefox 浏览器上禁用了许多用户的附加组件，引发一阵混乱，一天后， Mozilla 推出 Firefox 66.0.4，许多问题就得到了解决，但事实上公司承认仍有一大批用户存在一些遗留问题，他们通常需要等待很长时间才会恢复正常，而使用今天新发布的 Firefox 66.0.5，就可以有立竿见影的疗效。

来源： cnBeta.COM

详情： http://t.cn/EoO3o8m

大连警方破获一起侵犯公民个人信息案 查获个人信息近亿条

大连警方近日成功破获一起侵犯公民个人信息案，抓获犯罪嫌疑人 1 名，查获公民个人信息数量近亿条。

来源： 新华网

详情： http://t.cn/EoO3NYO

（信息来源于网络，安华金和搜集整理）