谷歌新推出几个顶级域，招致批评

两周前，谷歌在互联网上增加了八个新的顶级域名，使顶级域名的总数达到 1480 个！其中两个新域名 .zip 和 .mov 可能成为网上骗子的福音，他们会欺骗人们点击恶意链接。许多安全从业者警告说，当这两个顶级域名在电子邮件、社交媒体和其他地方显示时，会造成混乱。人们担心当提及 setup.zip 或 vacation.mov 等文件的电子邮件和社交媒体帖子会自动将它们变成可点击的链接，而骗子会抓住这种模糊性。

消息来源：Ars Technica

老王点评：链接没有个链接的样子，各种新的顶级域泛滥之后，我们需要一个更有辨识度的方式来识别什么是链接。或许谷歌利用新顶级域的方式看起来颇为有趣，但是应该有更好的用户体验方式来避免可能的安全风险。

谷歌计划明年用隐私沙盒取代第三方 Cookie

谷歌在浏览器广告技术上进行了许多次尝试，均受到了不同的利益方的抨击。谷歌最新的计划是，从 2024 年开始，将把 1% 的 Chrome 用户迁移到隐私沙盒，禁用第三方 Cookie，并在 2024 年底完全淘汰第三方 Cookie。隐私沙盒跟踪用户的兴趣，允许广告商根据兴趣展示广告，而用户可以管理他们的兴趣并对其归类分组。隐私沙盒标志着广告行业的一次巨大变化。虽然从 Chrome 101 开始就已经可以测试，但今年七月发布的 Chrome 115 将使隐私沙盒 API 普遍可用，开发者可对其进行测试，之后将不会对该 API 进行重大改变。谷歌最初计划最早在 2022 年逐步淘汰跟踪第三方 Cookie，但之后因为种种原因反复修改改计划时间。

消息来源：Tech Crunch

老王点评：其实，广告技术本身就是一种对隐私的破坏，无论这种技术有多么先进。所以，即便看起来现在替代第三方 Cookie 技术似乎有所进步，但是，广告经济的本质决定了，你在广告商眼中是一定被清晰画像的。

三星不会将其手机上的默认搜索引擎换成必应

据报道，世界上最大的智能手机制造商三星已经暂停了一项内部审查，该审查曾探讨过在其移动设备上用必应取代谷歌。这个潜在的转换将取代谷歌成为预装在三星的智能手机的 “互联网” 网页浏览应用程序的首选搜索引擎。

消息来源：华尔街日报

老王点评：看来必应想要在默认搜索引擎市场上攻城略地，谷歌不会坐以待毙。

回音

• 之前我们 报道 过，由于 CAN 总线的安全缺陷以及缺乏发动机电子防盗器，在病毒性传播的视频推动下，大量的起亚和现代的汽车成为盗窃目标。现在两家汽车厂商与用户达成了 2 亿美元的和解协议。

OpenAI 发布检测 AI 生成文本的工具

ChatGPT 的创造者 OpenAI 今天发布了一个免费的基于网络的工具，旨在帮助弄清某块文本是由人类还是机器写的。OpenAI 警告说，该工具并不完美，可能会有“误判和漏判”，不应该单独依靠新工具来确定文件的作者身份。它在大于 1000 字的文本样本和英语中效果最好，但它还不能区分人类和人工智能编写的计算机代码。

消息来源：Axios

老王点评：以子之矛，攻子之盾。我敢说，这个工具肯定会利用来改善 AI 的输出，使之更不容易识别出来。

万维网联盟以公益性非营利组织重启

万维网联盟（W3C）是 Web 发明人蒂姆·伯纳斯-李创立于 1994 年的行业组织，它为互联网制定了包括 HTML 和 CSS 等近 500 个开放标准，整个 Web 世界都是在此基础上发展起来的。W3C 的标准可以被任何人使用，而且由于 W3C 专利政策免收版税，所以不需要任何费用。2023 年伊始，W3C 联盟成立了一个新的符合美国 501(c)(3) 的公益性非营利组织。虽然蒂姆爵士已经逐渐退出了大多数 W3C 的决策，但在 W3C 董事会中为他保留了一个永久席位。

消息来源：W3C

老王点评：W3C 确实很有功绩，成为非营利组织后应该可以发挥更大的作用。

谷歌决定在 2024 年禁止第三方 Cookie

尽管存在争议和来自政府的审查，但这家广告公司仍打算继续推进其基于兴趣的广告主题 API。谷歌在报告中说，“在 2024 年第三季度，Chrome 浏览器将在两个月内逐步取消对第三方 Cookie 的支持。”此前，谷歌最早曾打算在 2022 年底前废弃对第三方 Cookie 的支持。为了取代第三方 Cookie，谷歌早在 2019 年就宣布了“隐私沙盒”技术，并正在开发一系列取代性技术，如主题 API、FLEDGE API、归属报告 API、私有状态令牌 API、第一方集 API 等等。谷歌坚持认为其广告技术工具可以在支持开放网络的同时促进隐私。

消息来源：The Register

老王点评：或许一部分初衷是好的，但是打击对手的心思怕也是有的，大部分数字广告商都还必须依赖第三方 Cookie。

Mozilla 终于启用了一项隐私保护功能，这可能使其成为当下最安全的网页浏览器。你怎么看？

Mozilla Firefox 是市面上最安全的开源网页浏览器之一。

毫无疑问，你可以自由定制它来进一步增强安全性，这就是 Tor 浏览器使用 Firefox 作为其核心的原因。

并且，这也是 我继续使用 Firefox 的原因 之一。

现在，Mozilla 终于为所有桌面用户启用了一项新功能，这使其成为最安全的浏览器（或是他们声称的“最安全”）。

本文中，我讨论的不是任何新功能，而是 Firefox 中的现有功能，即 Cookie 全面保护 Total Cookie Protection 。它是在去年与 Firefox 86 一起引入的，但默认情况下并未对所有用户启用。

为所有用户提供的全面的 Cookie 保护

“Cookie 全面保护”正在向所有人推出，无论你使用的是 Windows、Mac 还是 Linux，它将成为默认启用的核心功能之一。

最初，要使用该功能，你必须启用严格模式（ 增强跟踪保护 Enhanced Tracking Protection ）。但现在，你不再需要这样做了。

它是什么？

如果你好奇的话，“Cookie 全面保护”会隔离每个网站和它们的 Cookie。Cookie 是网站向你的浏览器发送的少量数据。

因此，Cookie 不会在网站之间共享，从而防止了 跨站跟踪 cross-site tracking 。

浏览器将为你访问的每个网站都创建单独的“ 饼干罐 Cookie Jar ”。（LCTT 译注：Cookie 原意是小饼干。）

Mozilla 的博文对此进行了更多解释：

在任何时候，网站或嵌入网站的 第三方内容 在浏览器中存储的 Cookie，都将仅限于分配给该网站的 “饼干罐”。其他网站无法进入不属于它们的“饼干罐”，以得到你存储在那些 Cookie 中的信息。这可以让你免受侵入性广告的影响，并减少公司收集的关于你的信息量。

那么，这有什么大不了的吗？

即使你配备了所有的隐私跟踪保护和内容拦截器，你也不一定知道，其实还有个问题叫做“跨站跟踪”。

因此，通过跨站点的 Cookie 交互，你的许多个人活动和习惯，都可以帮助数字跟踪公司建立你的在线个人资料。

但是，对于 Mozilla Firefox 来说，它在所有其他隐私措施之上，默认额外启用了该功能，这可确保你获得最私密的体验。

并且，所有这些都不需要你调整任何东西，这应该为那些“重视隐私”的用户提供方便。

想了解进一步信息，你可以查看 Mozilla 的 官方公告。

via: https://news.itsfoss.com/mozilla-firefox-secure/

作者：Ankush Das 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Ubuntu 开发商 Canonical 计划在 2023 年完成 IPO

据消息，在今天推出 Ubuntu 22.04 LTS 之前的新闻发布会上，Canonical 创始人说，“我们正按计划将业务上市。现在我非常有信心，我们将在 2023 年做到这一点。”他强调，上市并不是为了筹款。他指出，Canonical 去年的收入是 1.75 亿美元，公司目前最大的挑战是需求大于公司的服务能力，很大程度上是因为市场上没有足够的人才供公司雇佣。

老王点评：不差钱上是干啥，是准备套现吗？

被罚 1.5 亿欧元后，谷歌宣布启用全新 Cookie 通知

据消息，法国数据监督机构 CNIL 认为当涉及到向用户展示跟踪选择时，谷歌未能遵守现行法规。CNIL 发现，谷歌等网站提供了一个允许立即接受 Cookie 的按钮，打包拒绝所有的 Cookie 需要几次点击。在谷歌的新 Cookie 通知中，现在有三个按钮。除了两个同意按钮外，还有一个新的“拒绝所有”按钮，让你只需一次点击就能完全选择退出追踪。两个主要按钮的颜色、大小和形状都是一样的。

老王点评：玩这些小花招，真是无聊。

超过 100 万台联想笔记本电脑的 UEFI 可被植入恶意软件

据消息，联想发布了 100 多个笔记本电脑型号的安全更新，以修复三个 UEFI 关键漏洞。攻击者利用这些漏洞可以在 UEFI 中安装恶意固件。UEFI 存在于主板上的闪存芯片中，感染很难被发现，甚至很难被清除。其中两个漏洞存在于 UEFI 固件驱动程序中，应该只用于联想消费者笔记本的制造过程中。但联想工程师无意中将这些驱动程序纳入了生产的 BIOS 镜像中，而没有正确停用。而第三个漏洞允许攻击者在机器进入系统管理模式时运行恶意固件，这种高权限的操作模式通常由硬件制造商用于低级别的系统管理。好在这三个漏洞都需要本地访问才能发挥作用，而不能远程利用。

老王点评：将生产用的固件泄露到产品中，这真的有品控吗？

SUSE 正在开发“可适应的 Linux 平台”

据消息，SUSE Linux Enterprise（SLE）15 已经发布了四年了。SUSE 正在开发“可适应的 Linux 平台”（ALP）作为他们的下一代企业级 SUSE 操作系统，在技术和设计上将会有“彻底的改变”。SUSE 称，ALP 将在开放的环境下开发，不会像过去那样，在内部拼凑碎片，然后分享到外部。此外，ALP 将分成两部分：一个较小的硬件使能部分，即一种“宿主机操作系统”；和一个基于容器（和虚拟机）的提供和支持应用程序的层。

老王点评：这个变化值得关注，似乎是一个不错的设计

检查 SSL 证书的免费服务 SSLPing 宣布关闭

据消息，提供检查 SSL 证书和已知漏洞的 SSLPing 服务宣布，无法维持下去了，立即终止服务。其原因是各种积累的技术债，多台服务器存在故障或潜在故障，软件系统存在解决不了的问题。此外，通过用户的捐赠订阅只能提供 1/4 的服务器托管费用。该服务发布于 2016 年 3 月，有 500 多个注册用户，监控着 12500 多个 TLS 服务器。它是轻量级的，而且是无广告的。

老王点评：你所使用的免费服务，其实只是有人替你买单，而一旦无力支持它就会消亡。

AI 驱动的浏览器扩展可以帮你自动关掉 Cookie 弹窗

据消息，当面对欧洲法律和其他立法要求的 Cookie 弹窗时，许多用户只是简单地点击“接受所有”，尽管不必要的 Cookie 可能会损害隐私。而一些网站专门把它们设计得很棘手，使拒绝 Cookie 比接受更难。据统计，用户平均需要点击 12 次才能禁用非必要的 Cookie。研究人员开发了一个名为 CookieEnforcer 的浏览器扩展，采用了一个机器学习模型，可检测弹窗位置、预测拒绝按钮、并替代用户点击拒绝。这都是在后台完成的，完全不影响用户。不过该扩展目前还没有公开提供。

老王点评：这真是魔高一尺道高一丈，对抗都需要用 AI 了。

微软 Edge 最新内置购物功能激怒用户

微软 Edge 的测试版本最近增加了一项功能，在浏览器内内置了购物功能，还允许人们分期支付网上购物的费用。这引起了浏览器的 粉丝和用户的批评，他们认为微软 Edge 已经成为一个非常好的替代品，但正在变得臃肿，充满了购物功能，而不是提供一个纯粹的浏览体验。

老王点评：当 Edge 开始成功时，谁都想从其中挣到更多的钱，结果就被搞坏了。

86% 被攻击的谷歌云实例用于挖掘加密货币

谷歌最新发布的 报告显示，这些被攻击利用的实例中，48% 的用户账户密码是薄弱或没有密码，或没有 API 认证，26% 是由于云实例中第三方软件的漏洞而发生的，只有 4% 是由于泄漏的凭证，如发布到 GitHub 的密钥。而且，在 58% 的情况下攻击是由脚本进行的，不需要人工干预，不安全的实例可以在短短 30 分钟内被扫描到成为攻击目标。

老王点评：如果你没有谨慎处置你的安全，就是为攻击者买单了。

为在 Chrome 中禁止第三方 Cookie，谷歌向监管部门妥协

谷歌去年年初宣布，未来两年内将逐步淘汰 Chrome 浏览器对第三方 Cookie 的支持，然后计划推广其“隐私沙箱”技术。但这招致了广告发布商和广告技术公司的激励反对，称谷歌的“隐私沙箱”将限制他们收集网络用户信息的能力，从而影响他们提供更具价值广告的能力，而谷歌则可以利用该优势强化其竞争地位。英国反垄断部门认为谷歌保护用户隐私的努力，不能以减少竞争为代价。谷歌近日再次向英国反垄断部门 做出承诺，以解决一些剩余的担忧，并澄清其可以使用的数据的内部限制。谷歌表示，将确保“隐私沙箱”的开发方式适用于整个生态系统。如果这些承诺被接受，也将适用于全球其他地区。

老王点评：大家都在争抢用户的隐私，然而作为隐私的主人却对此没有发言权。