标签 OAuth 下的文章

RMS 建议使用 Zoom 的学生们自我洗脑“自由软件很重要”

据消息,在一场 90 分钟的演讲中,刚刚过完 69 岁生日的自由软件基金会创始人 RMS 发表了一些观点。他谈到了使用 Zoom 这样的非自由应用,“如果你不得不使用非自由程序”,建议学生们自我洗脑,“最起码可以在每节课上说:‘我为我在这节课上使用 Zoom 而感到苦恼。’每次都要说,随着时间的推移,这个事实对你来说就真的很重要了。”他也对硬件发表了一些看法,他说,“Macintoshes 正朝着成为监狱的方向发展,就像 iMonsters 一样。……出售一台不让用户从源代码中安装自己的软件的电脑应该是非法的。……尽管在这样的情况下,你确实是在自己承担风险。”对于采用非自由固件的电脑,“我们拥有的自由启动的机器越来越老,越来越少。……因为英特尔和 AMD 都在设计他们的硬件来压制人们。”

老王点评:真是活在理想中的人。

GitHub 暂停受美国制裁的公司的俄罗斯开发者账户

据消息,至少有数十个账户被屏蔽。被屏蔽的个人账户不能访问其存储库,而公司账户允许在几个小时内访问其存储库。GitHub 此前曾表示“确保所有人都能获得免费的开源服务,包括俄罗斯的开发者”。但同时,GitHub 也称,“必须限制根据美国法律被拒绝的用户”。他们会“彻底审查政府制裁,以确保用户和客户不会受到超出法律要求的影响。”

老王点评:说到底,这是美国的公司,中国开发者们,我们也要未雨绸缪啊。

攻击者利用偷来的 OAuth 令牌入侵了 GitHub 上的几十个组织

据消息,一名攻击者正在使用偷来的 OAuth 用户令牌从 GitHub 私有仓库下载数据。Heroku 和 Travis-CI 通过这些令牌来维护 OAuth 应用程序,已经有包括 NPM 在内的几十个受害组织被窃取了私有仓库的代码和数据。但是 GitHub 不认为攻击者是通过破坏 GitHub 的系统来获得这些令牌的,并向 Heroku 和 Travis-CI 通报了此事件。

老王点评:如果你使用 Heroku 和 Travis-CI 来管理你的 OAuth 应用,请核查并保护你的仓库。

新的 BitB 攻击形式仿造 OAuth 窃取用户凭证

成千上万的网站使用 OAuth 协议,让访问者使用他们在谷歌、Facebook 或苹果等公司的现有账户登录。“浏览器中的浏览器”(BitB)技术利用了这个方案。BitB 不是真正打开第二个浏览器窗口,以连接到用于登录或付款的网站,而是使用一系列 HTML 和 CSS 技巧,显示一个欺骗窗口。其显示的 URL 可以显示一个有效的地址,也有一个挂锁和 HTTPS 前缀。窗口的布局和行为看起来与真实的东西完全一样,除了不能不能被调整大小,完全最大化或拖到主窗口之外。

老王点评:真是防不胜防,一时不注意还真难以发现。

高通公司正在计划为其芯片增加 AV1 支持

发布于 2018 年的开放视频编解码器 AV1 的普及一直很慢,主流视频供应商在等待更广泛的设备支持,而设备厂商则在等待视频供应商提供更多的 AV1 视频。但现在这种情况已经在逐步改变。据称 高通公司正计划在其即将推出的旗舰产品 Snapdragon 移动处理器中加入对 AV1 的原生支持。预计该芯片最早将在今年年底推出。除了高通之外,三星、联发科、博通也都推出了支持 AV1 解码的芯片组,而像谷歌等流媒体设备厂商也在推动其设备增加 AV1 的支持。

老王点评:AV1 什么都好,就是不普及,希望能看到普及吧。

老式 IPv6 设备会泄露你的隐私

在 IPv6 网络中,每个设备都有一个公开的 IPv6 地址。这些地址应该定期换成新的地址。这样当你再次访问一个网站时,仅从你的 IPv6 地址来看,网站并不清楚你的设备已经回来了,这可以给予你一定程度的隐私。在分配地址时,路由器会发送一个网络前缀给客户,然后客户选择一个主机地址。曾经这个主机地址基于设备的硬件 MAC 地址编码,这被称之为 EUI-64。但早在 2007 年就提出的 IPv6 隐私扩展要求随机化地址的主机部分,也就是禁用 EUI-64。而在 研究中发现,大约不到 1/5 的设备仍然默认使用 EUI-64,这造成了隐私泄露。同时,许多 Linux 发行版并没有默认启用隐私扩展,使用 Linux 的产品很可能在不知不觉中将其用户的隐私置于危险之中。

老王点评:协议设计的很好,奈何现实比较可怜。