- 資訊安全:
1.新攻击重现浏览器cookies老问题 by 360安全播报
DHS赞助的卡内基梅隆大学软件工程学院的CERT于本周下发了一个警告,警告用户关于一类持续流行的涉及用户隐私的cookies漏洞,这些漏洞甚至可以使得用户财务状况处于危险之中。该警报于上个月的USENIX安全专题讨论会上的一篇研究论文中提出。
在USENIX上所描述的攻击,涉及到一个基于网络的中间过度的位置,在这个过度过程中,攻击者可以在一个HTTP链接中注入cookies,这也会附上自己的链接。研究人员说,该漏洞出现在一些高流量的网站——通过名字它们被确定为谷歌和美国银行,同时这些漏洞可能会造成包括隐私侵犯,账户劫持,财务损失在内的一些后果。
研究者们提出了许多可能的缓解措施,其中主要的有实现HTTP严格安全传输(HSTS),以及改变浏览器制造商。文章还提出了概念证明更好的浏览器扩展可以使HTTP和HTTPS域之间分更好的分离cookies。“对于所有你所浏览过的HSTS支持的网站,HSTS防止你的浏览器免于接受攻击者的cookies,因为他们通过HTTP不是HTTPS。”韦弗说:“所以任何给其基础域名和所有子域名建立HSTS的网站都是能够进行有效免疫的。
2.入侵电网的现实与真相 by 安全牛
21世纪智能电网建立在20世纪的老技术上,而这一点永远不会改变。电网分散、多样化、老旧。奇怪的是,这也使黑客很难进行攻击。 这样的“模糊安全”属性正在消失。
随着电力公司将老系统替换成新的数字化版本,他们通常会使用广泛趋同的第三方软件,这给黑客制造了便利。 不过,电网本身就被设计成能够在很大的压力下继续运行,不管这个压力是来自落下的树枝还是计算机黑客。
3.通过WhatsApp进行交流竟比用手机更安全 by 移动安全论坛
美国国会议员建议,应当采用例如WhatsApp这样的软件进行沟通交流。据一些支持该等当局代表的美国人权活动者称,蜂窝网络使用的是过时的、较弱的加密。然而,一些新型软件的沟通早已采用非常强大和先进的数据加密方式。
呼吁使用类似WhatsApp这样的应用程序这一提议出现的背景,是所有美国联邦政府部门和官员于2016年底之前将完成所有在所有公共场所和服务中使用HTTPS-only的过渡转型。要组织这样大规模的行动,对美国联邦政府来说是一个真正显著的变化。联邦机构之间存在大量的用户数据流通,而使用HTTPS-only的转型将进一步保证它们的安全。
DHS赞助的卡内基梅隆大学软件工程学院的CERT于本周下发了一个警告,警告用户关于一类持续流行的涉及用户隐私的cookies漏洞,这些漏洞甚至可以使得用户财务状况处于危险之中。该警报于上个月的USENIX安全专题讨论会上的一篇研究论文中提出。
在USENIX上所描述的攻击,涉及到一个基于网络的中间过度的位置,在这个过度过程中,攻击者可以在一个HTTP链接中注入cookies,这也会附上自己的链接。研究人员说,该漏洞出现在一些高流量的网站——通过名字它们被确定为谷歌和美国银行,同时这些漏洞可能会造成包括隐私侵犯,账户劫持,财务损失在内的一些后果。
研究者们提出了许多可能的缓解措施,其中主要的有实现HTTP严格安全传输(HSTS),以及改变浏览器制造商。文章还提出了概念证明更好的浏览器扩展可以使HTTP和HTTPS域之间分更好的分离cookies。“对于所有你所浏览过的HSTS支持的网站,HSTS防止你的浏览器免于接受攻击者的cookies,因为他们通过HTTP不是HTTPS。”韦弗说:“所以任何给其基础域名和所有子域名建立HSTS的网站都是能够进行有效免疫的。
2.入侵电网的现实与真相 by 安全牛
21世纪智能电网建立在20世纪的老技术上,而这一点永远不会改变。电网分散、多样化、老旧。奇怪的是,这也使黑客很难进行攻击。 这样的“模糊安全”属性正在消失。
随着电力公司将老系统替换成新的数字化版本,他们通常会使用广泛趋同的第三方软件,这给黑客制造了便利。 不过,电网本身就被设计成能够在很大的压力下继续运行,不管这个压力是来自落下的树枝还是计算机黑客。
3.通过WhatsApp进行交流竟比用手机更安全 by 移动安全论坛
美国国会议员建议,应当采用例如WhatsApp这样的软件进行沟通交流。据一些支持该等当局代表的美国人权活动者称,蜂窝网络使用的是过时的、较弱的加密。然而,一些新型软件的沟通早已采用非常强大和先进的数据加密方式。
呼吁使用类似WhatsApp这样的应用程序这一提议出现的背景,是所有美国联邦政府部门和官员于2016年底之前将完成所有在所有公共场所和服务中使用HTTPS-only的过渡转型。要组织这样大规模的行动,对美国联邦政府来说是一个真正显著的变化。联邦机构之间存在大量的用户数据流通,而使用HTTPS-only的转型将进一步保证它们的安全。
- 自我成長:
1.新創公司中的兩種 PM:Project Manager vs Product Manager by Benson
Project Manager:
技術層面上,Project Manager 就是把上司 / 業主 / 老闆心中想要的功能「翻譯」成工程師可以開發的 SPEC、確認功能可行性、與上司 / 業主 / 老闆確認 SPEC 細節、估時、排時程、確認優先順序、掌握開發進度、測試、驗收。而在溝通層面上,懂得如何在問題發生時,精準地搶時間、有效搶資源、適時地妥協時間、適當地妥協資源。
Product Manager:
思考或方法的原點都是以「使用者」出發、產品是否解決使用者的痛點、是否真正滿足使用者需求。你要討好的對象不是老闆、不是團隊成員、不是投資者、不是合作廠商、而是「使用者」。
2.大學該如何卓越?如何頂尖? by 郭瓊瑩
「台灣」如此地理區位特殊、生態多樣性豐富,歷史上雖位在中國大陸邊緣卻未被青睞,但也因此特殊區位仍維持著迄今只有300多年之開發且具史前之豐富遺址。這個神秘、神奇、獨立,又不孤立,毗鄰又不鏈結之特殊島嶼,在全球島嶼生態學理論中獨具特殊生態定位;在政治經濟與社會人類學變遷上又獨樹一格。
這樣的特質不正是「台灣學」應發揮之最好利基?!而我們自政治到教育面一向看不清自我特質,也只自卑於小島有限現實資源,卻忘了小島與大國間之關鍵槓桿關鍵力。也因此,追求頂尖、追求卓越仍必須回歸到自我意識、自我定位。
3.開除自己的總經理 by 王文華
轉換跑道時可以做的三件事:
(1)補強自己的弱點。
(2)探索新領域。
(3)做更大的夢。
轉換跑道的本質是改變。改變要有意義,原因應該是創造新的價值,而不是反抗舊的公司。改變要成功,靠的是意志力和執行力,而不是出國旅行。
Project Manager:
技術層面上,Project Manager 就是把上司 / 業主 / 老闆心中想要的功能「翻譯」成工程師可以開發的 SPEC、確認功能可行性、與上司 / 業主 / 老闆確認 SPEC 細節、估時、排時程、確認優先順序、掌握開發進度、測試、驗收。而在溝通層面上,懂得如何在問題發生時,精準地搶時間、有效搶資源、適時地妥協時間、適當地妥協資源。
Product Manager:
思考或方法的原點都是以「使用者」出發、產品是否解決使用者的痛點、是否真正滿足使用者需求。你要討好的對象不是老闆、不是團隊成員、不是投資者、不是合作廠商、而是「使用者」。
2.大學該如何卓越?如何頂尖? by 郭瓊瑩
「台灣」如此地理區位特殊、生態多樣性豐富,歷史上雖位在中國大陸邊緣卻未被青睞,但也因此特殊區位仍維持著迄今只有300多年之開發且具史前之豐富遺址。這個神秘、神奇、獨立,又不孤立,毗鄰又不鏈結之特殊島嶼,在全球島嶼生態學理論中獨具特殊生態定位;在政治經濟與社會人類學變遷上又獨樹一格。
這樣的特質不正是「台灣學」應發揮之最好利基?!而我們自政治到教育面一向看不清自我特質,也只自卑於小島有限現實資源,卻忘了小島與大國間之關鍵槓桿關鍵力。也因此,追求頂尖、追求卓越仍必須回歸到自我意識、自我定位。
3.開除自己的總經理 by 王文華
轉換跑道時可以做的三件事:
(1)補強自己的弱點。
(2)探索新領域。
(3)做更大的夢。
轉換跑道的本質是改變。改變要有意義,原因應該是創造新的價值,而不是反抗舊的公司。改變要成功,靠的是意志力和執行力,而不是出國旅行。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言