SN 996: BIMI (up Scotty) - NPD Goes Broke, Firefox Under Attack, .io
Security Now (Audio)
Deep Dive
- uBlock Origin can effectively block "Sign in with Google" pop-ups.
- Enabling specific filter lists in uBlock Origin can block other website annoyances.
- Firefox is recommended over Chrome due to its continued support for uBlock Origin's Manifest V2.
Shownotes Transcript
这是关于安全的节目。Nasty Gibson 来了。他意识到,就像我们所有人一样,uBlock Origin 是有史以来最棒的扩展程序。他为它想出了几个非常有趣的额外用途。他驳斥了这里和所有其他地方流传的关于 .io 顶级域名消失的广泛说法,并介绍了这个全新的名为 BIMI 的东西。这是一个新的电子邮件身份验证标准,甚至指导我们如何设置。
我会在下一期播客中回来,分享你喜欢的来自你信任的人的播客。
这是 Twit,这是安全现在节目,由 Steve Gibson 主持,第 996 集,于 2024 年 10 月 15 日星期二录制。BIMI(上,斯科蒂),现在是安全现在时间。我们涵盖你的安全、你的隐私、互联网科学、科幻小说,以及任何 Steve 想谈论的东西。Steve Gibson,来自 GRC。
Steve,你很平静,很镇定。所以很高兴在 10 月中旬和你在一起。
空气中充满了精确的、美丽的空气。
三周后。
可能会有寒意,别带那种你知道我有多焦虑的寒意。11 月 5 日,我能感觉到我的内心。
会很有趣。
我们将在周三要么快乐,要么不快乐。
我只是个旁观者,我无法控制。我们都在加利福尼亚。
所以,我实际上没有选择。
这烦人吗?感觉他们只关注三四个州,而那些州的广告,那些可怜的人被埋在广告里,我却没注意到。
我不知道你,但我每天收到五到六条短信,你呢?
Lory 犯了一个错误,给了钱。一旦……
永远不会忘记。
他们回来,说,如果我们有五本书……
那肯定会有另外五本,对吧?而且这总是紧急情况。哦,是的。
总是惊慌失措,世界末日。是的,你确实有你的水壶来装满你的浴缸。
真是太神奇了。
以及被自己吸引。
天哪,我的短信功能在过去几个月里完全无法使用。是的,你……
想想男性和女性的感觉,突然之间。他们不得不加大卡车尺寸,才能装下所有那些荒谬的东西。不好。好。不好。好。
这实际上对邮政服务、当地新闻、电视和广播电台来说都是一个意外之财,因为所有政治支出都直接进入邮政服务。如果垃圾邮件没有一个词,那就太好了。
不。我说,每个月我都会收集我的收据,然后寄给 Sue。以前是 15 美分,现在是 2 美元 43 美分。所以没有优惠。
我收到了我的选票,我准备好了。我假设加利福尼亚州的每个人都收到了一张选票,这非常方便。所以我收到了我的选票。如果你正在收看,并且还没有注册,或者不确定,请检查,确保你已注册,然后通过邮寄或亲自投票。
好消息是,在加利福尼亚州,选票上附有“我已投票”的贴纸。所以,我在我的额头上贴上了我的贴纸。三周后,如果你访问……
vote.org(我相信这是 URL),你可以检查你的注册情况。他们有一个小注册检查器。大多数州有 20 天时间,许多州的选举日是 20 天。
你只有几天时间才能注册。好吧?这是一个政治声明。让我们继续讨论人们来这里的原因。安全?
怎么了?本周关于 uBlock Origin 的内容很多。事实证明,我们几乎都……实际上,我们听众中有一些例外,但我们几乎一直没有充分利用它。
我可以做的事情,我喜欢你周中的紧急电子邮件。我做了……
立即。是的,是的。所有订阅安全现在邮件列表的人都会收到一封未计划的邮件。我甚至没有计划它,但在星期六早上,当我让这个东西工作时,我想,哦,我必须分享这个消息。由于现在对我来说很容易做到,所以 11,442 人收到了安全现在订阅的惊喜邮件,解释了如何轻松关闭那些越来越普遍、因此在不需要时令人讨厌的弹出窗口,通常情况下,它们确实不需要。
使用谷歌弹出窗口登录,我认为是因为我去了 Stack Exchange,我正在做一些编码,我正在做一些编码,我做了一些谷歌搜索,我点击了 Stack Exchange 的链接,它出现了,我看了看,我意识到,你知道,我收到了很多这样的邮件,它们真的很烦人,然后我想,我们有 uBlock Origin。我想知道它是否能帮上忙,无论如何,我们将从那开始谈论。还有关于 .io 顶级互联网域名是否会消失的问题。
有人说它应该,但我认为它不应该。上周是补丁星期二。我们从中学到了什么?Firefox 存在一个远程代码漏洞,该漏洞被用来攻击使用 Firefox 浏览器的用户。我意识到为什么 Windows 的服务器版不能替代桌面版。
我们几周前谈过这个问题,我一直想今天再提一下。此外,我们还将回顾,感谢一位听众的提问、观察或发现,关于我们 2015 年热衷讨论的一个很棒的多平台益智游戏。此外,我还收到了星期六那封惊喜邮件的一些反馈。我们还将讨论一些关于最佳路由器的更多信息。我今天将播客命名为“BIMI 上,斯科蒂”。实际上,它似乎应该发音为“BIMI”,但我喜欢“BIMI”。
我们来谈谈。
我们将回答“电子邮件中的 BIMI 是什么?”这个问题。它是什么,它承诺什么?如果它真的发生了,它正在尝试做什么?然后,我将简单地指出,由于昨天刚刚发生,我还没有来得及了解情况,所以我们下周会谈论它。
我们有战斗小组刚刚宣布的用于帕克的凭证交换协议(CXP)。一旦实施,它将提供我们真正需要的一件事,即在提供商之间备份和传输密码的方法。哦,我还忘了提到节目笔记,我将在下周谈论它。但是,就像我们的所有听众一样,我开始收到有关 RSA 密码被中国研究人员破解的消息,他们想出了如何使用 D-Wave 量子计算机。
这就像,哦,天哪,就像,嗯,我们上次停留在 13 位。他们很好地分解了它。突破是 22 位。现在我们正在运行 2048 位。所以……
他们破解了一个弱 RSA 密码。
他们知道他们甚至没有破解……他们没有破解 RSA 的主要思想,我指的是 22 位。否则,我们早就知道了。所以他们破解了 22 位数,这真是太棒了。
干得好。继续努力。与此同时,RSA 仍然存在。我的意思是,真正的 RSA 从未像 1024 位那样弱。我认为在早期没有 512 位。
一段时间。记住,美国政府希望我们使用非常小的密码。那个……
28 位,或者那些是密钥,它们很小。它们非常小。是的,是的,在早期。
它不是 TLS。当时不是。想法是,如果你不出口它,它可以有足够的强度。
但是,如果你……哦,你不能离开这个国家,那么网站就离开了这个国家。所以,他们必须全部中立。但你知道,当时我们并没有做任何重要的事情。他们都在使用 HTTP。所以,嗯,没什么大不了的。无论如何,在我们的第一个公告中断后,我们有一张本周的图片,我们将分享它,并讨论一些有趣的播客内容。
令人兴奋。谢谢,先生。但在我们这样做之前,我可以插播一个我们赞助商之一的广告。
你在这档节目中得到了最好的赞助商。他们几乎都是安全赞助商。我知道你认识一个名为 1Password 的赞助商,但我不是在谈论他们的消费级密码管理器。
我指的是 1Password 的一项新功能,他们称之为扩展访问管理。让我问你一个问题:你的最终用户……
我现在和企业交谈,你的最终用户是否总是使用公司设备和经过批准的应用程序?对吧?如果只是这样就好了。
那么,当数据存储在所有这些未经管理的应用程序和设备上时,如何保护公司数据?1Password 提供了解决方案。这就是他们创建……
这是全新的扩展访问管理功能。1Password 的扩展访问管理功能可帮助你保护每个应用程序和每个设备上的每个登录名,从而解决传统 IAM 和 MDM 工具无法解决的问题。
让我们用一个比喻来解释。想象一下,你的公司是大学校园。当然,你有一些漂亮的砖砌的道路,连接着建筑物,在精心修剪的草坪上。
这些是公司拥有的设备,经过批准的应用程序,这些应用程序经过管理,并使用身份。但你永远无法让它停留在那里。这些是大学生。这些是捷径。
人们实际上会走捷径,穿过草坪,从一点到另一点的直线,你已经将他们纳入你的网络。未经管理的设备,这是真实世界中人们使用的东西,对吧?影子 IT、非雇员身份,例如承包商。
问题在于,大多数安全工具只适用于那些漂亮的砖砌道路。许多安全问题发生在捷径上,对吧?1Password 的扩展访问管理功能是第一个将所有这些未经管理的设备、应用程序和身份纳入你控制范围内的安全解决方案,确保每个用户凭据都安全可靠,每个设备都已知且健康,每个应用程序都可见。
换句话说,这是我们今天工作方式的安全。它现在对使用 Okta 或 Microsoft Intune 的公司普遍可用,并且对 Google Workspace 客户来说是测试版。
如果是你,现在就去看看 1Password.com/securitynow。这是 1Password 的安全现在。
现在,1Password 的扩展访问管理功能是一个值得关注的理念。现在就去看看 1Password.com/securitynow。我们非常感谢他们的支持。当然,我们也感谢你通过访问他们的网站来支持我们,这样他们就知道你关注安全。
现在,1Password 的安全现在。Nasty。我准备好了本周的图片。我们应该一起看看吗?
我给这张图片的标题是“当你的信息干扰你的信息时”。
我立刻明白了,因为我喜欢在城里骑我的自行车。
所以,对于那些没有节目笔记或没有观看视频的人,我们有一块大型的移动路标,它会发光。它们通常有很多电池。有时它们有一个小发电机来保持它们运转。无论如何,这块标志上用三行大字写着:“为骑自行车的人让路”。不幸的是,它正好位于骑自行车的人的通道中间,完全挡住了骑自行车的人的通道,这告诉每个人你需要……
让路。对,这真的很困难。我们的公民……
其他地方没有损坏的自行车和躺在地上的身体。但是,是的,当你的信息干扰你的信息时。好吧,每个人都很烦躁,但我们知道,因为我们经常谈论它,即普遍存在的 Cookie 权限横幅,欧洲联盟的 GDPR 强制要求全球遵守。我最近意识到,我开始对另一个越来越普遍的网站功能感到恼火,那就是主动提供登录到任何我可能短暂访问的网站的选项。
你在 Stack Overflow 上给出的例子。它就在右上角,或者在 Stack Exchange 上,使用谷歌登录 Stack Exchange。我知道。
对吧?所以,好吧。所以,我正在直接向本播客的听众讲话,他们出于某种原因还没有订阅每周的安全现在邮件。
你可能会想,哦,好吧,无论如何,我会听到的。但是,当我意识到星期六早上我找到了解决这个问题的方法时,我想,让我们告诉所有人。所以,帮我做这件事……
在这台机器上,因为我还没有在这台机器上做过。是的,好的,我在右上角。我进入 uBlock Origin 设置,点击齿轮。
实际上,我们可能应该……嗯,等到我更新你和其他所有人,提供更好的解决方案。
哦,你有一个更好的解决方案。
你有一个更好的解决方案。
好的,因为我手动输入了过滤器。是的。
对大多数人来说,这确实有效。有些人我做不到。好的,所以,我有点跑题了。所以,为了清楚起见,我想避免人们误解我的恼火。
我经常选择使用我的谷歌账户身份登录到网站,因为谷歌提供了非常安全的电子邮件实现。嗯,每个人都知道我的主要电子邮件是 GRC 邮箱。所以我的谷歌电子邮件是我的通用收件箱,我们大多数人现在都有一个或两个或更多这样的账户。
所以,使用谷歌登录可以让我在任何提供此功能的网站上轻松一键登录。当然,我们知道“使用”意味着谷歌知道我在哪里登录以及我在做什么,但谷歌几乎肯定无论如何都知道。事实是,我真的很没有时间去关心。
其他条件相同的情况下。是的,我会选择隐私。谁不会?我知道有些人,我们的听众中有很多,他们热衷于严格执行他们的在线隐私。
我尊重这一点,但这对我来说不是重点。我赶时间。由于我无法衡量我在隐私执行方面的实际成功,因为有许多偷偷摸摸的方式可以而且正在被侵犯,所以这不是我愿意大力投入的事情。
所以,为了方便起见,当我需要在某个网站上登录时,我会使用谷歌登录。这没问题。我喜欢有谷歌登录选项。到那时,它不是我恼火的原因。
我恼火的原因是,我们现在看到的情况,我现在可以代表我们的听众说话,因为我在星期六下午听到了一些邮件,说“天哪”。谢谢。谢谢。
谢谢。有些人说这改变了我的生活。我的意思是,很明显,我并不孤单,这真的让我很恼火。所以,恼火的原因是,这种趋势正在发展,它会主动向我们推送谷歌登录,无论我们去哪里,无论我们访问哪个参与网站,即使我们根本没有兴趣或不需要在那里登录。
不,我不想登录互联网上的每个网站。我相信我们大多数人都是这样。如果我想登录某个网站,我会点击网站上的登录链接,然后转到登录页面。谢谢。
我不需要有人建议或强迫我登录。星期六早上发生的事情是,我终于意识到,好吧,我真的很烦躁。好的。
所以我稍微跳过了我已涵盖的部分。所以。这让我想到上周关于 uBlock Origin 的讨论。
我最初的解决方案,我在星期六早上想出来的并分享的解决方案,非常具体,并且只做了那件事。但是,它对所有人都不起作用。有些人需要一个更广泛的解决方案,事实证明这很容易。事实证明,这种类型的烦人阻止功能也内置在一些现有的 uBlock Origin 过滤器列表中。这就是我……
想知道是否有复选框。
是的,有,我们稍后会谈到。所以,如果它们默认没有启用,那么对于我们的听众来说,可能对我和我来说都是如此,即使我在星期六下午已经很高兴了。好的,所以我们进入的方式是,是的,正如你即将说的,Leo,如果你打开 uBlock Origin 下拉菜单,然后点击小齿轮,你将被带到一系列带有顶部标签的网页。
我的过滤器标签最初是空的。我的也是空的。我没有自定义过滤器,然后我给出的说明是首先输入注释行,这样当你一年后回来时……不,他做到了。这……
你知道任何人……
谁在RA莱奥,我们已经变得谦逊了。我们意识到,无论我们多么确定,我们永远不会忘记这一点,我们刚刚创建的精彩代码。一周可能会过去,我们看着它,想,这是什么鬼?知道是谁写的吗?你看着任何其他人的道路,就像,我这样做吗?所以,任何以感叹号开头的行都是注释。
所以我说了,感叹号阻止谷歌眼睛出现在网站右上角。然后,执行此操作的过滤器短语是两个竖线,这有点像IT,有点像替换正斜杠,正斜杠,无论如何,竖线告诉简单的过滤器列表语法,这是戈尔希尔采用的语法,它表示接下来的是域名。所以,竖线、竖线、accounts.google.com/GSI/iframe,好的,这意味着当浏览器尝试从以这个开头的URL加载某些内容时,它会跳过它。
只需说,啊,这些不是快乐的。你很有趣。所以什么也没发生。现在,事实证明,有几个人回复说,这不起作用,但是如果我把client替换成iframe,那么它就起作用了。
或者更广义地说,如果你使用星号,k,astrid,K,A,这是一种通常接受的通配符字符。所以,如果你做了/gsi/ford/flash/asterix c,那么它通常适用于更多情况。现在你可能会想,等等,也许通配符比我想象的要多。
好吧,你可以在一行中使用iframe,然后在它下面再添加一行,使用client并阻止这两个……但是gsi,所以accounts.google.com/gsi,这当然代表谷歌签名。所以,用星号跟在后面似乎是安全的,并且知道你将清除尝试在屏幕上弹出的任何内容。好的。
但是邮件发出后,我开始收到一些反馈。其中一个人说,我没有收到这些,我认为我知道原因。所以,而不是我的过滤器选项卡,我们点击下一个选项卡,即过滤器列表。
在底部附近,你会发现三个过滤器列表,标题为烦人的东西。别害怕,打开三个列表,你会看到简单的列表、广告拦截器和阻止。现在,很容易就能得到那些烦人的谷歌登录弹出窗口。
例如,只需查看reddit.com。嗯,这很容易让媒体实验启用和禁用这三个列表。我发现启用前两个简单的列表或广告拦截器会抑制这些标准。是的。看看它是多么全面。
回到上一个。
是的,好的。简单的列表和广告拦截器是相似的。这两个中的任何一个都会抑制这种感激之情。
谷歌登录弹出窗口?换句话说,人们在我们之前就已经在这里了,他们已经为我们解决了这个问题。我们只是没有告诉他们解决这个问题。
我认为其中一个还会阻止cookie横幅。
如果我记得,那就是那个h,实际上是的,好的。所以,在我们的文档中,我们有一些关于广告拦截器列表的文档,所以,在广告拦截器列表下,在烦人的过滤器下,他们说烦人的过滤器会阻止网页上的烦人元素,包括以下广告拦截器过滤器。它们都可以从烦人的过滤器中单独启用。
在这种情况下,cookie通知阻止,网页上的cookie通知,弹出窗口阻止,所有不必要的网站弹出窗口,操作移动应用程序横幅,阻止推广网站移动应用程序的横幅,你知道,谢谢。无论如何,小部件阻止,第三方小部件,在线帮助,实时支持聊天,所有这些废话,其他烦人的东西阻止,不属于常见烦人类别的东西。在那一点上,我想,好的,我全了。
全了。
是的,我的如果我得到……
打开所有uBlock过滤器。但我必须指出,有时我会在某个网站上,他们会做一些弹出窗口,这可能会中断。所以你必须意识到你已经这样做了。每当我遇到网站上的问题……
我只是禁用该网站上的uBlock,不要……
忘记在这样做时点击更新更改。
正确,所以,实际上,你想更新,它会同时做,所以,嗯,好的。我还想提到另一件事,我相信人们正在看到并为此感到恼火,那就是……你想得到一些……
帮助滑出来吗?
不,不,我不想得到任何帮助。我希望你停止分心,让我一个人呆着。所以就是这样。现在,既然我们在这里,我会提到烦人元素上方的部分是社交小部件。所以我们有简单的列表、广告拦截器和粉丝。社交小部件,这被描述为社交媒体过滤器,它会删除流行网站上的许多喜欢和推文按钮以及其他社交媒体集成。这可能不是每个人都想要的,但我敢打赌……
每个人都想要。它……
正是这样。
事情是,这就是为什么我们真的很伤心谷歌竟然禁用它。这是我说的最关键的工具吗?
是的,是的。所以,这些都已在我的电脑上启用。正如我所说,你完成这些后,会想点击更新按钮,它会刷新,下载这些列表的最新版本,然后使它们保持最新。
生活一直很美好。我从未想过会发生这种情况。这就像你。谢谢。谢谢。
谢谢。一种解脱。我再也不会在Reddit上看到弹出窗口说……
你想使用,目标,来吧,知道你,我知道,所以,无论如何,所以我想感谢所有花时间说“史蒂夫,看看这里”的人,因为这让我能够将它纳入今天的播客,并向每个人展示我认为是更好的解决方案。你知道,关于这件事最酷的事情是,这些列表是由真正喜欢这个的人不断创建的。他们正在追捕这些东西。
这些东西上的表情。我的意思是,他们也是专业的过滤器列表构建者,因为这些东西令人毛骨悚然。但是,所以他们带着一种范围,说,好的,我不想那样,我们也不想破坏任何其他东西,只是停止这样做。嗯,uBlock Origin轻量版与众不同的地方是,戈尔希尔提到了这一点,我们上周谈到了她。
v2清单能够独立更新其列表。这并不是我们想在未来推广的东西。它在v3清单中不可用。
所以你需要一个新的版本,整个附加组件扩展,而不是附加组件能够自行更新其列表。所以,正如你所说,莱奥,这就是我们为什么对谷歌感到恼火的原因。我相信Chrome有3700万uBlock Origin用户,而Firefox只有700万。
戈尔希尔会受到激励,尽一切可能使轻量版尽可能强大。正如我们上周所知,在Chrome用户失去访问v2清单的访问权限之前,还有9个月的时间,这要归功于我们上周发现并分享的政策推文。9个月内可以发生很多事情。你知道,我们已经看到Chrome在无法做到这一点时,放弃了终止第三方cookie。所以,也许会有足够的压力迫使他们重新考虑v2,或者也许他们只是对大多数人关闭它,但会给我们一个后门,如果我们真的需要它,我们可能不会有这样的政策,即如果我能保留我的v2清单,我会创建一个注册表技巧。
他们会对它做些什么。因为,正如你指出的那样,Brave在许多Chrome用户中已经拥有所有这些列表,并且内置了这些列表,顺便说一句,我使用的是来自浏览器公司的Arc,我非常喜欢它。它也是基于Chrome的浏览器。
而Brave的举动是,如果v3进入我们的浏览器,因为它将进入任何Chrome浏览器,我们将不得不编写我们自己的拦截器并将其放入浏览器中,就像Brave已经做的那样。我认为,Chrome在强制执行这一点时,面临着失去大量用户的巨大风险。所以,我们拭目以待。你写的东西可能不会发生。我不会感到惊讶。
所以,我只会说,启用这些额外的六个过滤器列表后,我比以往任何时候都更高兴使用Firefox,它没有任何迹象表明要放弃v2兼容性和uBlock Origin。我们有一些反馈,我会在我们的反馈部分分享。但这让我意识到,我们一直没有充分利用它。
这个神奇的工具,是的,因为你知道,我很久以前就可以启用这些工具,并节省很多点击,你知道,另一件事,这个东西,这个不需要的登录提示,我不想登录,它会遮挡我需要有时看到的屏幕区域。所以,这就像它很烦人,你无法移动它,你必须关闭它,我……
觉得它最烦人,就像我读到的那样。我们已经登录了。我不想使用谷歌登录,因为我已经登录了,它遮挡了屏幕上点击登录的部分。
这非常令人沮丧。设计糟糕透顶。
好的。无论如何。
我想对你的邮件表示赞赏,尽管我很高兴你把它作为一次爆发,没有人对此抱怨。
对吧?我没有收到任何投诉。事实上,我在最后说,我希望你不要介意我打扰你的周末,嗯,我有点……我感觉有点不好意思,因为我是临时安排的,而且安全……
现在,订阅者明确注册了该列表,以接收每周播客摘要、本周图片中的节目笔记。每个人都说他们喜欢它。好的,我构建的系统使得向我们现在大约有10500多名订阅者发送此类公告邮件变得非常轻松。
我想正式扩大该列表的任务。我在这里宣布,将来要包含此类内容。我不知道它们是什么,但我将确保无论是什么,都很有可能对每个人都感兴趣,就像这个一样。所以,感谢我们的订阅者,我很高兴能够让大家度过一个美好的周末,因为你……
确实做到了。你说的对。我们一直没有充分利用世界上最伟大的事物之一。现在我们即将失去它。
是的,如果你知道我们正在欣赏它……对不起,亲爱的,我不是这个意思。回来。
好的,让我们休息一下,稍后与史蒂夫·吉布森和安全现在一起回来。我们的节目由一家伟大的公司带来,他们做了一些我们一直在谈论的事情,安全现在零信任,他们让你的公司更容易实施零信任。威胁锁定,如果零日漏洞和供应链攻击让你彻夜难眠,那么你可能应该担心。你无需再担心,你可以使用威胁锁定来增强你的安全。
使用威胁锁定的公司,我感觉更安全。像捷蓝航空这样的公司信任威胁锁定来保护他们的数据,让他们的业务保持高水平运营。如果你想采取一种主动的、默认拒绝的网络安全方法,阻止所有未经团队授权的操作、进程和用户,威胁锁定可以帮助你做到这一点,并提供所有操作的完整审计,以进行风险管理和合规性评估。这很棒,而且支持也很棒。
24/7美国支持团队随时准备帮助你完成入门以及后续工作。所以,这是你如何阻止组织中可信应用程序的爆炸式增长。这是你如何保护你的业务,免受来自世界各地的攻击。
任何行业的组织都可以从威胁锁定中受益,通过隔离关键应用程序,防止未经授权的用户访问,限制攻击者在网络中的横向移动。我们一直都在谈论这些威胁。我将给你一个完美的例子,威胁锁定隔离功能能够阻止许多攻击。
传统的EDR无法阻止,因为它们是零日漏洞。例如,太阳风攻击。太阳风攻击完全被隔离功能阻止了。这里还有另一件很棒的事情,无论你的电脑是PC还是Mac,它都适用。
它适用于Mac,可以让你快速、轻松且经济高效地获得前所未有的网络安全控制能力。威胁锁定零信任和端点保护平台提供了一种统一的方法,用于保护用户、设备和网络,防止零日漏洞的利用。你想要这个,获取免费的30天试用版。
了解威胁锁定如何帮助你缓解完全未知的威胁,并确保合规性,因为你拥有完整的审计跟踪记录。访问threatlocker.com了解更多信息。非常感谢你支持史蒂夫和安全现在。感谢你通过访问threatlocker.com支持安全现在,如果他们问你,说你听说过安全现在威胁锁定。谢谢。威胁锁定。现在回到先生……
……在“这不可能发生在一个好人身上”的标题下。上周三,注册报告称,每个人最喜欢的庞大数据泄露公司——国家公共数据(NPD)——该组织首先收集了几乎所有人的个人数据,然后他们的收集数据被盗,首先在暗网上出售,最后公开发布,令人惊讶地申请破产。
注册报告称,佛罗里达州的企业——破产岭国家公共数据——已申请破产,承认数百万人在今年最大信息泄露事件中可能受到影响。现在,简单回顾一下。正如我们所知,去年6月,黑客组织US Dod将277GB的数据文件上传到网上,其中包含大约29亿个人的信息,并索要350万美元。这些数据来自国家公共数据。
他们写道,由通用图片拥有的破产岭,通过其API NPD向企业客户提供背景调查。证实其已于2023年12月20日遭到黑客攻击,最初表示只有130万人失去了个人信息,例如姓名、电子邮件地址、电话号码、安全号码和邮寄地址。但在破产法庭文件中,该公司承认受影响人数远高于此。
通用图片的破产申请书指出,“该协议可能根据各种州法律,对数百万可能受影响的个人进行通知和支付信用监控费用,因为根据破产计划,该企业无法产生足够的收入来解决这些广泛的潜在责任,更不用说应对诉讼和支持调查了。”细节保险已拒绝承保,你敢打赌他们会。根据提交的文件,该组织面临超过十起针对数据泄露和潜在监管挑战的集体诉讼。
根据FTC的声明,超过20个美国州的原告将很难从杰里卡那里获得任何赔偿,因为文件显示该企业拥有非常有限的实体资产。在会计文件中,唯一的所有者和运营者萨尔沃·维尼·朱尼奥在家中使用两台价值200美元的惠普Pavilion台式电脑、一台价值100美元的ThinkPad笔记本电脑和五台价值2000美元的戴尔服务器。如果该公司在纽约的企业支票账户中列出33105美元的资产,尽管该公司在上一财政年度收入1152726美元,并估计其总资产在25000美元至75000美元之间。总而言之,它还列出了27个价值25美元的互联网域名。其中包括现在已失效的公司网站,以及其他一些网站,包括criminalrecords.com、check.net和pornthat.com。
所以,是的,我们又看到了一个立法落后于技术后果的例子。在某个时候,大量个人数据的聚集,以及它正在融合成综合个人资料本身,这将变得显而易见,这本身就是一个潜在的危险。但今天,对此没有任何监管。任何人都可以收集这些数据,从而创建潜在的数据炸弹。一方面,这是自由企业和资本主义,没有人想看到它失败,但是允许这种类型的运营这样做显然是一个问题。
解决方法可能是要求任何此类信息聚合器必须缴纳巨额保证金,并制定可验证有效的保险政策,以弥补任何严重责任违反行为可能造成的损失和诉讼。这样做是为了将风险私有化,以便需要创建和缴纳保证金的投资者,以及将收取保险费并承担损失的保险公司,都有动力确保企业、IT人员、其程序和安全措施能够充分保护他们的投资。我唯一能想到的让这一切有意义的方法是制定一项法律,规定任何收集和汇总数据的人(你知道,需要制定精确的措辞,但其核心思想是,任何储存大量影响到一定数量个人的数据的机构,都必须有能力承担数据丢失的后果。否则,对不起,你就可以收集IT数据了。嗯,也许我们将来会做到这一点,但需要立法才行。)
如今我们拥有的许多顶级域名,是因为它们与特定国家相关联。你知道,我以前用过的Billy服务,bit,不是LY。你知道,LY是利比亚的国家代码。这就是LY存在的理由,以及为什么它可行的原因。
禁止利比亚获得该域名。利比亚的BIT。国家代码是LY。当我离开那里时,当然,我创建了GRC.sc。嗯,sc代表壳牌国。所以我得到了GRC.sc,因为壳牌国有自己的顶级域名.sc。众所周知,还有许多独立创建的顶级域名,例如.com、.org、.net和.edu,即最初的四大域名。但是,当顶级域名属于某个国家时,它就与该国家联系在一起。
最近,由于几周前(10月3日),英国政府宣布将放弃对印度洋上一个小热带岛屿的主权,并将这些岛屿移交给邻国——位于非洲东南部海岸约1100英里外的迪乌斯(看起来像是迪乌斯)——这一情况引发了一些担忧。请记住,我之前说过,即将解散的岛国是印度洋。而该国的顶级域名是.io,即印度洋。
人们推测,就像过去发生过几次一样,当控制其顶级域名的国家因任何原因而解散时,其顶级域名也会随之消失。鉴于人们对.io域名的强烈兴趣和使用,这带来了一个问题。据推测,一旦英国与马里图斯(英国印度洋领地)签署新条约,英国印度洋领地将正式停止存在,因此各种国际组织将更新其记录,特别是国际标准组织。
ISO将删除国家代码.io及其规范列表。互联网分配号码机构(IANA),负责创建和委派顶级域名,使用ISO规范来确定哪些顶级国家域名应该存在,一旦.io被删除。IANA应该拒绝允许任何新的.io域名注册,并应该自动开始逐步淘汰现有.io顶级域名。目前尚不清楚这是否真的会发生。
你知道,人类制定规则,人类也可以改变我们制定的规则。因此,你知道,如果规则造成太多麻烦,那可能就会发生这种情况。你知道,我们当然不缺乏非国家顶级域名。你知道,除了最初的四大域名之外,例如.xyz和.lol以及.online,这些都不是国家域名。
因此,就我个人而言,我认为没有理由不将.io域名类似地重新利用,将其作为有效的非国家顶级域名。网上有人说.io域名要消失了,但我很难相信。但再次强调,我不是最终决定这些事情的IANA。所以我们拭目以待。
顺便提一下,上周二(10月8日)是当月的第二个星期二,这意味着微软和其他许多公司利用这个机会发布了他们的每月补丁。没有什么特别值得注意的。本月,微软发布了更新,修复了其软件产品中的总共118个漏洞,其中两个漏洞正在野外被积极利用。
所以,在118个缺陷中,3个被评为严重,113个被评为重要,2个被评为中等。与现在的情况一样,这个数字不包括微软上个月在其基于Chromium的Edge浏览器中更新的另外25个漏洞。
所以,你知道,在第二个星期二之后,更新补丁并重启你的机器,如果你倾向于让机器一直运行。此外,正如我在开头提到的,Firefox浏览器已经警告用户,发现了一次针对其用户的严重攻击。该漏洞的严重程度为9.8,它影响了Firefox和Firefox扩展支持版本产品。这是一个在动画时间轴组件中发现的“使用后释放”错误。
Mozilla在周五(或上周五)的一篇帖子中报告称,他们从资产处收到一个包含“完整利用链”的漏洞样本,该样本允许远程代码在用户计算机上执行,只需让他们的浏览器访问一个网页即可。所以,是的,根据任何评分系统,这都算得上9.8分。Mozilla还指出,在对其进行负责披露的25小时内,修复程序已发布,所以一天一小时,比之前两天还要快。
周三,Mozilla表示,攻击者能够通过在动画时间轴中导出“使用后释放”来实现内容进程中的代码执行,然后补充说,我们已经收到有关此漏洞在野外被利用的报告。Firefox 1.31.0.2和扩展支持版本1.28.0.3、NESR 1.15.6.1等版本已修复了该问题。Tour项目也发布了紧急更新,他们称之为版本13.5.7的Tour浏览器。
因此,如果您是Tour用户,您需要确保您的Tour浏览器已更新到13.5.7版本。因为这些是此次攻击的目标,但漏洞确实影响了所有人。正如我在开头提到的,下周我们将讨论凭证交换协议。嗯,嗯,因为我一直在忙于制作本播客,所以还没有机会深入研究,但我将会,除非发生非常重大的事情,我感觉下周播客的主题将会是这个,因为我们需要仔细研究并了解它是什么,以及它有什么作用。
但这则消息很重要,因为这在以前是不可能做到的,这确实让很多人感到不知所措。我想,对于帕基来说,情况就是这样。
我快速浏览了一下Leo的笔记,许多密码管理器参与了开发,谷歌也参与了。我没有看到苹果。
苹果不在其中。看,这正是一个完美的例子。他们没有任何动力让你将你的包从你的iPhone中移走,因为他们希望你永远被困在那里。是的。
这很烦人。但这并不意味着他们不会这样做。
对吧?他们可能不得不进行一场斗争。我的意思是,他们难道不想保持标准的完整功能吗?我想我们会看到,这取决于联盟的声明。这是强制性的还是可选的?
不幸的是,这将是可选的。但也许在某个时候,为了获得下一级认证,你需要它,然后苹果就会,我的意思是,我认为他们这样做非常短视,我认为他们这样做几乎是惩罚性的,如果你使用我们的产品,你却可以带到其他地方。
对吧?对吧?
几周前,我提到过一位听众建议,当我将我的Windows 7工作站迁移到Windows 10时,我选择了一个Windows服务器版本,以便获得更简化的体验。当时,这让我感到意外,我认为这是一个好主意,因为微软很可能在包含所有不必要的Xbox、Candy Crush、宝石、Android手机集成以及强加给普通桌面Windows用户的其他垃圾方面会更加克制。
但我随后想起了我很久以前就有了这个想法。这可能是在Windows XP时代,我尝试过运行服务器版Windows作为我的桌面机器,可能是因为我想使用与我的服务器完全相同的Windows版本。但我遇到了一个大问题。
许多我想要运行的最佳应用程序的安装程序,在看到我正在运行Windows服务器版本时,会抱怨并拒绝继续。我为此抗争了一段时间,并忍受了很长时间。我记得四处寻找,看看是否有办法创建自己的黑客程序,让服务器版Windows看起来像桌面版本。
我最终没有这样做。我只是吸取了教训,决定使用桌面版。事实上,例如,现在Windows 7工作站版本基本上就是Windows Server 2008 R2。
所以,无论如何,代码基本上是一样的。但我只是想就此做一个总结。对于任何其他正在考虑这样做的人,嗯,这听起来是个好主意。我只能提醒你,在某些情况下,应用程序根本无法安装。
在其他情况下,他们会说,如果你使用的是服务器版本,那么它会花费你更多钱,你知道,比等效的桌面版本要多得多。所以我只是说,不,谢谢。嗯,好的,简要地谈谈。
我已经读了这本书的15%。我曾说过,我不会读这本书,直到它的配套小说也准备好。不过,我记得我最近对这个立场有所松动。无论如何,是的,我现在已经了解了彼得·汉密尔顿的奇异作品,以及我们委员会的引擎。
但是,我对约翰·塞勒或贾马·比的了解远不及他,他已经读完了第二遍。他指出,第二次阅读对他来说更有趣,因为那时你已经知道所有角色是谁了,而且这些角色有点病态。这本书以人类近未来和远未来的时间轴开始,其范围和广度令人叹为观止。
了解彼得,我知道我应该不理会这一点,我认为这很重要。所以我读完了所有这些内容。然后它继续介绍了大量角色。正如我所说,历史总结很有趣。
我强迫自己坐下来,至少花时间阅读所有角色的名称,这些角色的描述大多与该列表中其他角色相互关联。然后,这本书才开始。所以我完全理解为什么约翰,你知道,在看完之后,会立即将他的电子书重置到开头,然后重新阅读。所以,无论如何,我不知道我是否会立即阅读第二遍。
也许我会等,我不知道要等多久,直到整个故事的第二部分结束,我只是不想提到这一点。是的,我的意思是,我正在第四次重读《边疆传奇》,这实际上有点无聊。所以我心想,好吧,我会尝试一些新东西,所以我在那里。嗯,好的。
与我们的听众做个总结,布莱恩·亨利·里克斯写道。他说,史蒂夫,我正在寻找一个新的益智游戏,可以在我的平板电脑上玩,我看到“序列加”几周前发布了。我还没有尝试过,但我几年前根据你的建议玩过“序列”,确实很享受。
我也在它发布时尝试过“序列”,但我没有那么享受。他说,希望这个新游戏能够达到几年前那个游戏的水平,知道四位数甚至更多。好的,所以我完全同意布莱恩的观点。
无论我是否喜欢“序列”,我也对“序列”感到失望,我从未花太多时间玩它。在我看来,以及我猜想他和其他人的看法,它没有达到目标。事实证明,创造一个真正出色的益智游戏并非易事,而最初的“序列”就是如此。所以我同意,更像最初的“序列”会更好。
所以我开始寻找它。我在苹果臭名昭著、糟糕的应用商店里找不到它。所以我回到网上搜索,在谷歌应用商店里找到了“序列2”。
我在节目说明中附上了它的链接,供有兴趣的人参考。我回复布莱恩,问他是否是在安卓平板电脑上玩“序列2”,他确认了这一点。所以我希望它不是,你知道,它只是还没有出现在苹果应用商店,因为作者,一个名为“一人乐队”的团队,使用了Unity框架。
嗯,它也可能在iOS上可用,我希望只是延迟了。无论如何,我应该指出,布莱恩几年前说的实际上是九年前,也就是2015年。所以我想告诉所有听众,对于那些自那时起加入我们,喜欢精心制作的益智游戏,并且还没有接触过我们讨论的内容的听众来说,这将是一个巨大的惊喜。
“序列”,由“一人乐队”创建,是一种图形化、顺序编程环境,它完美地融合了逐步增加的挑战,要求你在游戏中不断发现新技巧和解决问题的方法。你构建由独立功能块组成的机器,每个块都具有一个非常简单且非常明确的功能,然后你让它循环运行四五次。另一个要求是,每次迭代都必须使你构建的机器保持稳定状态,准备再次运行。
对于那些可能以前听说过类似东西但最终感到失望的人,我必须说几句。我们已经很久没有谈论我对益智游戏的喜爱了,但我经常尝试过其他听起来完全像我刚才描述的东西,但最终都让我失望,所以我永远不会推荐它们。这个游戏我毫无保留地推荐。
我在节目说明中附上了作者网站的链接。它是OMB(一人乐队)OMBgames.com。请注意,它只有HTTP,没有HTTPS。因此,如果你的浏览器出现问题,它会抱怨,你想要HTTP调用/ /OMBgames.com。
我还附上了作者官方YouTube视频的链接,它获得了本周的GRC快捷方式。所以,你可以通过打开任何浏览器并访问grc.sc/996(本周的节目编号)来快速了解我在说什么。它可以在Windows商店、Steam、苹果应用商店和谷歌应用商店中以几美元的价格购买,没有广告或应用内购买,谢天谢地。
我会关注它的。在准备这些节目说明时,我在作者“一人乐队”的个人页面上花了一些时间。他既有Gmail地址,也有Twitter账号。所以我首先访问了Twitter,当我看到他关注我时,我感到很惊讶。唯一可能的原因是我在过去某个时候快速浏览过。
我一直在关注你。我的最大粉丝。
是的,你知道。所以我认为这个播客一定引起了他的注意,他决定关注我。他最近在Twitter上没有发布任何内容。
所以我给他发了一条消息,询问“序列加”的进展情况。不久之后,我收到了他的回复,他的名字是Max,他写道:“史蒂夫,你好。很高兴听到你一切安好。”
感谢你和你播客,在2015年为我的这个默默无闻的游戏带来了热情的听众。至于“序列加”,我可以说它是一个略微改进的版本,在控制和某些关卡上有一些改进。它是免费的,包含广告,所以可能不适合所有人。让我们这么说,这是我尝试将游戏带给更多观众的尝试,因为目前推广付费游戏非常困难。
是的,苹果不允许。
你做演示或任何事情,他说。这是一个大问题。他说,目前它只在谷歌应用商店作为实验性产品提供。
我不能肯定地说我是否会在iOS上发布它,但对于所有iOS上的逻辑益智游戏爱好者,我的三个游戏仍然可用:“序列”、“序列2”和“单元4”。他说,此致,Max。好的。
所以现在我们知道了,而且他似乎理解我了,因为我很乐意为一个好的益智游戏中没有广告付费,我的意思是,我们只需要花几美元就能获得数小时的迷人谜题体验。我被iOS益智游戏中广告的普遍性弄得心烦意乱,再次强调,我很乐意为去除广告并获得安静的益智体验付费。我讨厌广告。
所以,即使“序列加”在iOS上可用,听起来也不像是我想要的,你知道,正如Max所说,它基本上就是以前的“序列”。但它是免费的,但包含广告。无论如何,如果你喜欢益智游戏,我的建议是关注GRC本周的快捷方式,就像你做的那样,并播放50秒的示例,让你了解这是什么。
如果看起来有吸引力,那么在 iOS 或 Android 上购买,或者实际上在 Windows 或 Steam 上购买该序列,并为接下来的乐趣做好准备。我真的认为你会。嗯,Parker Stacy 写道,亲爱的 Steve,感谢您提供这个非常有用的提示,他指的是星期六的电子邮件。
他说,你节省了我的时间。你减轻了我的挫败感。你拯救了我免受这些网站上每天重复出现的恼人刺激。这些全球网站上的烦扰不仅仅是些微不足道的烦扰。它们分散了我们的注意力,更重要的是,它们分散了我们的注意力。
当我在线搜索某些东西时,我通常试图遵循一条思路、一条线索、一条路径、一堆想法,一些看似微不足道的东西,比如 Cookie 政策或“登录我的帐户”框,可能会打断我的思路,完全打乱堆栈,我可能需要花费不合理的时间来重建它。我知道你知道这一点,我很感激你抽出时间与我们分享这些类型的对策。这种特殊的通知电子邮件非常受欢迎,我期待未来能怀着感激和敬意收到更多。Parker
我只想指出,他的评论代表了我收到的 135 条回复,这些回复是在星期六的特别邮件之后阅读的。所以我想对所有抽出时间,主要表达他们对能够抑制这些未经请求和不需要的登录推送弹出窗口的喜悦的人表示感谢。事实证明,它们并不受欢迎,我很高兴得知这不仅仅是我个人在抱怨,而这正是我们现在所知道的,通过打开这些准备清单,我们正在摆脱一大堆其他东西。
但是,Leo,你的观点非常重要。如果你访问一个看起来有故障的网站,某些东西无法正常工作,那可能是因为 uBlock Origin 过于保护,在这种情况下,只需打开它并为该网站禁用它,或者暂时将其关闭。然后,你就能看到完整网站的全部荣耀。
你可以等待,感到抱歉。
等待所有弹出窗口、广告和无意义的东西。是的。最后,Frank,这位荷兰人写道,亲爱的 Steve,我想报告 uBlock Origin 的一个功能,我没有看到其他人使用,但它显著提高了我的工作效率。除了阻止广告外,我还使用 uBlock Origin 来清理混乱的用户界面。
如今,许多网络应用程序包含比我需要的更多功能,或者积极推广新的功能。例如,ClickUp 现在充满了 AI 按钮和横幅。我隐藏所有这些干扰,以恢复一个干净的界面,帮助我专注于工作。
希望这能帮助其他听众,来自荷兰的 Frank 敬上。这很有趣。uBlock Origin 仍然有一些我们没有使用到的功能。Frank,我只是没有花时间研究它,我开始觉得我错过了什么。uBlock Origin 似乎有一个“滴管”,我认为你可以使用它来点击页面上的某些内容,从而将其识别出来,也许你可以说“我再也不想要这个了”。
无论如何,我已经研究过它,但我希望分享 Frank 的笔记,再次强调我们大多数人,当然包括我自己,都严重低估了 uBlock Origin 的能力。uBlock Origin 是一款功能强大的通用网络体验过滤器。你知道,我认为它一直未被充分利用的原因可能是,你知道那个关于在锅里煮青蛙的故事,你慢慢地提高温度,所以青蛙永远不会想到跳出来,它只是被煮熟了。
你知道,这种入侵我们的浏览器的方式非常渐进和逐步。起初,只有少数网站会为谷歌推送登录弹出窗口。所以,你知道,我们忍受了一些不必要的出现。
但随着时间的推移,这个数字不断增长,直到它成为我们每天都在看到和容忍的东西。这些谷歌弹出窗口只是其中一种症状。正在发生的事情是,我们的在线体验一点点地被利用,我们也在一点点地被强迫。
没有人喜欢被强迫。无论如何,感谢 Frank,来自荷兰,他更充分地利用了 uBlock Origin。我将邀请其他人也考虑这样做。Leo,我们已经谈了一个小时了,现在让我们休息一下,我会用最后两条反馈意见结束。
我差点阻止你,我想,现在他放了这些休息时间。他知道自己想要什么,但是好的。
天哪,我确实。
让我们谈谈一个非常合适的,说到麻烦,一些令人恼火且侵入性的公司,如果你的数据在国家公共数据库中,一个非常有用的工具。是的,我认为一个就足够了。但是你知道谁不是我的妻子,因为他使用我们的赞助商。
如果你曾经在线搜索过你的姓名、地址或生日,我敢打赌你不会喜欢你的个人信息有多少可用。顺便说一句,我不建议这样做,除非你不相信我,那么请搜索你的姓名,看看你得到什么。但是维护隐私不仅仅是你的事,也是你整个家庭的事。
我认为 DeleteMe 的家庭计划意味着你可以确保家庭中的每个人都感觉安全在线,相信我,这有助于降低身份盗窃的风险,但也降低了骚扰和更多网络安全威胁的风险,这就是为什么我是一个自豪的 DeleteMe 客户。坏人能够弄清楚她是谁,她的电话号码是什么,她的直接主管是谁,并组建了一个钓鱼活动,如果我们的员工没有很聪明,而且很可能你们大多数听众都是本节目的听众,我们就会被严重打击,他们从哪里获得所有信息?数据经纪人。
数据经纪人疯狂地收集这些东西。DeleteMe 是你对抗数据经纪人的武器。DeleteMe。专家。
顺便说一句,它是一个人性化的工具,我喜欢它,它会找到并删除你从数百个数据经纪人那里收集的信息。当然,并不是字面上的数百个数据经纪人。其中一个包括你的家人。
你将为每个家庭成员签署一份独特的资料表,针对他们。通过这些使用控制作为帐户所有者,你可以保护整个家庭的隐私,DeleteMe。这非常重要。
即使在完成第一次初始删除后,它也会继续定期扫描和删除你的信息。因为新的数据经纪人不断出现。坦率地说,数据经纪人,他们难道不是最可敬的人吗?他们可能会开始重建你的档案,即使你告诉他们不要这样做。
我指的是所有内容,地址、照片、电子邮件、你的亲戚是谁、你的电话号码、你的社交媒体、你的房产价值等等。保护自己。我们主张你的隐私。
我们去 joindeleteme.com/twit,如果你使用优惠代码 twit,你将获得 20% 的折扣,那就是 joindeleteme.com/twit,优惠代码 twit 可获得 20% 的折扣。我认为我不需要向 Steve Gibson 和听众解释你为什么要这样做。事实上,你可能已经考虑过了。
这就是你应该做的事情,joindeleteme.com/twit,甚至可以获得 20% 的折扣优惠代码。现在回到 G 先生。这里有关于路由器的讨论。
是的,我们的听众关于路由器提供了两条反馈意见。只是关于路由器的长途旅行。Steve 必须发表一下他对父母路由器的看法。
Eero。不要通过。不要收集 200 美元。Leo 提到了其出色的网状网络功能,但有一件事让它成为父母的理想路由器,那就是无需在家中配置它。
我用我的妈妈做到了这一点。我可以准确地查看她的设置。
他说,所有 Eero 设备都通过智能手机应用程序进行配置。这意味着当你收到“互联网停止工作”的电话时,你可以拿起手机(你可能已经拿着了),看看发生了什么,而无需开车去他们的家,这很好。
是的,他住在地球的另一端。
你可以将多个 Eero 网络添加到一个帐户中,以便在自己的网络和他们的网络之间进行切换以进行管理。另一个好处是 Eero Plus,这是他们的监控软件,可以阻止访问托管恶意内容的网站。
僵尸网络钓鱼网站。Etta,如果你在同一个帐户上有多个网络,一个 Eero Plus 订阅可以覆盖所有网络,价格相同。他说,目前我拥有我的、父母的和岳父母的网络。另一个额外的好处是,爸爸无法通过盲目点击路由器上的东西来尝试修复某些东西。
就他们而言,他们根本无法访问它。这只是一个神奇的盒子,让他们可以在 Facebook 上抱怨事情。
我还要补充一点,如果你非常熟悉,波形缓冲区测试,这是一个非常有用的速度测试,我时不时地对我的所有路由器进行测试,因为它真的比常规速度测试好得多?它显示延迟在进行上传和下载等其他操作时是否会增加。
而且,你会发现其中一项建议是推荐没有缓冲区膨胀的路由器,以及其他一些路由器,例如你多次推荐的 Ubiquity Edge 路由器,Eero 过程。我认为所有 Eero 路由器都设计得很好,而且我认为他们非常关注配置方面的最新想法。我认为这是他们能够在缓冲区膨胀方面做得如此出色的一些原因。我认为这是我们一直推荐他们的另一个原因,自从它们开始出现以来。据我所知,亚马逊的收购并没有改变 Morris 的情况。
亚马逊收购了它们。我正在工作。我说亚马逊 Eero。
是的,他们收购了一些年。
前几年,一位听众采纳了 Michael Horowitz 关于 Peplink 路由器的建议。嗨,Stephen。我很高兴你再次提到 Michael 的路由器安全网站,还记得那是 routersecurity.org。
他说,我最近用他推荐的 Peplink 路由器替换了我的 Verizon Fios 路由器,并且能够按照他的简短列表进行操作,我非常高兴。他甚至非常乐于回答我可能在配置路由器或与放弃 ISP 路由器时可能遇到的任何问题。不仅如此,Peplink 本身也乐于回复有关任何问题的电子邮件,目前还没有任何问题。
他说,我在图书馆工作时每月都会进行一次技术讲座,其中一个主题是路由器设置和安全,我推荐 Peplink,我的顾客会回来告诉我,它非常容易设置,并且微型说明非常简单明了。所以他说,谢谢,Fill。我只是提到 Peplink 路由器是路由器安全网站作者 Michael Horowitz 推荐的路由器。
我没有使用过它,所以无法发表任何意见,但我希望分享 Phillip 的积极体验,并邀请我们的听众考虑这些替代方案。正如我在本主题早些时候所说,除非有人故意选择不安全的配置,否则只需进行一些调整,任何现代消费者路由器都应该安全。不过,你知道,我不会争辩说安全是相对的,你当然可以花很多时间来确保路由器安全。
但是,一般来说,除非你打开很多远程服务功能,否则你应该没问题。所以,BIMI,它代表品牌指示符,用于消息识别。在本周的主要主题中,我想分享我的一个经历。
从上周开始,它将介绍一些新的电子邮件身份验证技术,同时探讨挫败朝鲜和 AI 身份欺诈的挑战,并以世界互联网档案因最近几次 DDoS 和网络渗透攻击而离线结束。因此,我上周尝试并希望做的事情暂停,直到互联网档案恢复运行。昨晚,情况似乎有所好转。
今天早上,速度慢且迟缓。今天上午稍后,情况有所好转。所以只是……
通过……是的,我今天早上应该上传只读内容,但我可能仍然遇到问题。
我不知道。是的,我看到了。事实上,唯一返回的机器部分似乎处于只读状态,显然你可以手动提交页面以供存档。此功能目前……
有点低。互联网档案的攻击超出了我的理解范围。显然,当我还是伊朗黑客的时候……
我听说我看到过同样的情况,一些归因于一些,你知道,关于中东地区正在发生的一些混乱的事情,据称是幕后黑手。但是好的,所以这个冒险始于我上周二播客之后检查我的电子邮件,并发现我的最爱证书颁发机构 DigitIT 发来的新功能通知。他们写信说,现在可以使用通用市场证书。
通用市场证书允许组织将品牌徽标放置在传出电子邮件的中心区域,以确认该组织的通用市场地位。他们正在验证身份,并帮助……帮助防止钓鱼和欺诈攻击,他们说。通用市场证书类似于验证标记证书,但无需注册商标即可使用。
这为各种中心提供了添加电子邮件安全额外层面的机会,并帮助收件人确信电子邮件来自合法来源。他们说,要获得通用市场证书,我们需要一些要点。首先,相应的电子邮件域必须配置为强制执行通用市场标记。相应的品牌徽标必须在申请人控制的域上至少使用一年,或者是对已注册商标的可接受修改,并且可能提到 bi 组关于颁发通用市场证书的最低安全要求的第 3.2.16 节,以获取更多详细信息。最后,用于通用市场证书的徽标文件必须是支持 SVG-P/S 规范的 SVG 文件,然后他们说,他们最后说,注意,目前大多数图像编辑工具都不支持 SVG-P/S 规范。
H,那是 hy。
是的。我说我经历了一次冒险。它需要使用特定的转换工具或手动编辑 SVG 文件,他们说,有关正确格式化徽标的指南。
好的,首先,我应该重申,BIMI 正式发音为“bi-mi”,就像“bi-key”一样。好的,是的,通过我的,不是通过我的。但我无法抗拒“beat up, Scotty”。
所以,斯科特就像……
和坏人一起打架。它非常急于打败斯科特,因为你知道,因为我们失去了很多红衫军。所以,那会怎样?好的。
所以,BIMI,正如我所说,是品牌指示符和消息识别的缩写。它是一个相对较新的,我看到它已经存在了,他们一直在开发它十年之久的电子邮件标准,它创建了一种有趣的安全方法,让传入邮件能够携带和显示其发送者的信息。
未言明的、可识别的徽标图标,电子邮件客户端和在线服务选择支持 BIMI 的将能够显示这些徽标,并且仅当电子邮件发送者完成大量步骤以使其成为可能时才会显示这些徽标。所有这些都由行业 BIMI 工作组在 bimi-group.org 上管理。该组成员包括 FastMail、Google、MailChimp、Proofpoint、SendGrid、Validity 和 Yahoo。
正如我所说,该项目始于 2014 年,十年之前。如今,Apple、Cloudmark、FastMail、Google、Yahoo 和 SOHO 支持显示 BIMI 徽标图标。我想这样做。
我们有商标。是的,你有。
它是本地的。是的,你有。是的。所以,该小组设法设计并最终达成广泛共识的是,它大致相当于我们用来防止拦截和伪造我们网络浏览器访问的域的 Web 服务器 TLS 证书。
此 BIMI 系统为关心发送者提供了一种方法,以强烈地验证他们是否是电子邮件的中心。我不必告诉任何人电子邮件是一团糟,无论是发送方还是接收方。每个人都知道这一点。
每个人都需要电子邮件。正如我们所知,它是互联网上最基本的通信方式。正如我们在这里观察到的那样,如果没有电子邮件,我们就不可能有用户名和密码,因为没有其他身份验证系统在没有某种可靠备份的情况下是可行的。
最低共同分母后备意味着最终验证的用户在忘记密码或没有双因素身份验证或方便使用时,它总是回归到电子邮件。因此,在过去的十年中,一直有努力让选择这样做并选择显示强烈验证的视觉图形徽标的电子邮件中心和电子邮件服务在电子邮件收件人的收件箱中显示。
我在节目说明中有一张图片,显示了您通常在邮件中看到的邮件时间。所以,它只是一个圆圈中的通用字母“m”和“e”,以及电子邮件营销新闻和圆圈中的“e”,而不是他们的实际徽标,电子邮件客户端能够显示。我确认我的 iOS 设备正在显示它们,在使用它们的地方。
现在,如果我……好的,所以我有一张图片作为重力,大多数女性客户会将其作为图标,并将其放在电子邮件旁边。我如何区分我的官方商标“AB”和重力商标?这是一个很好的……
这是一个很好的问题。如果它可用,或者如果与该人的照片相关联,则为重力 AR。
如果它在上下文中。
对,对吗?是的。所以我们看到了一种碰撞。
没有那么脆弱的验证方法。这就是全部吗?
电子邮件上的图标?是的,这就是它的用途。
对吧?我的意思是,我使用 PGP,它不仅验证我是发送者,还验证消息没有被修改。
但没有人知道如何接收它。
没有人知道该怎么做。但它就在那里。
对吧?
你可以使用我的证书来做到这一点。没有人知道如何使用它。
是的,所以我想当 GRC 电子邮件到来时,人们会看到我使用四十年的 Ruby G 标志,甚至在互联网出现之前。请注意,这进展缓慢。原因之一,我稍后会解释,它需要付费。
让 IT 部门运作起来几乎是可笑的,但这并不是针对最终用户的。它专门用于批量电子邮件。它也不是免费的,因为 IT 需要使用每年到期的证书,其中包含一些真正世界级的虚构内容。
但我认为,出于这个目的,不免费是有好处的,因为世界被不需要的电子邮件淹没的根本原因是发送电子邮件不需要成本。即使在 BIMI 采用率很高的情况下,发送电子邮件仍然不需要成本。但只有那些愿意花钱、花时间和精力的人才能拥抱 BIMI,让他们的传入电子邮件显示他们公司的品牌标志。莱奥,就其价值而言,如果这被采用并变得有价值,例如,苹果当然可以选择它来进一步增强,当然。
不知何故,在上面加上一个密钥或类似的东西,表明这不是垃圾邮件。
没错。这是一封经过身份验证的电子邮件。所以,对于批量邮件发送者,甚至对我来说,我希望那个 G 显示出来,这可能很有价值。
所有这些新东西是如何工作的?任何 BIMI 标志显示的第一个门槛要求是发送者的电子邮件必须通过 DMARC 验证。让我们简要回顾一下这三个电子邮件标准,它们都是这其中的组成部分:SPF、DKIM 和 DMARC。
SPF,即旧的发送方策略框架,使用接收域 DNS 中的附加记录来指示哪些 IP 地址是该域的有效原始发送者。由于电子邮件是使用 SMTP 协议通过 TCP 发送的,因此无法伪造发送方的 IP 地址。
所以,当远程发送电子邮件服务器连接到接收服务器时,接收服务器会获取发送服务器的 IP 地址。然后,当收件人收到声称来自特定域的电子邮件时,接收服务器可以立即对该域的 SPF 记录进行 DNS 查询。如果存在 SPF 记录,则这些 SPF 记录将指定哪些 IP 地址是该域的有效发送者。因此,如果传入电子邮件的域的 IP 地址未经该域的 SPF 记录授权,则连接将被中断,并且电子邮件将不被接受。
这样做不需要任何成本,它非常有效地阻止了垃圾邮件发送者伪造有效域的发送者。例如,GRC 的 SPF 记录使用 GRC 的 DNS 发布 GRC 电子邮件服务器的 IP 地址。因此,当某个随机垃圾邮件发送者生成声称来自 grc.com 域的电子邮件时,任何收到该电子邮件的接收者都可以检查发送者的 IP 地址,看看它是否来自 GRC 允许的 IP 地址,然后忽略该电子邮件。请注意,SPF 无法阻止伪造电子邮件来源的尝试。
但这确实为收件人提供了一种零成本的方式来确认发送者的有效性。你可以相信苹果、Outlook、谷歌和雅虎等所有人都在使用它,因为他们想阻止他们能阻止的所有垃圾邮件。虽然 SPF 识别通过 IP 地址授权的发送者,但它不会保护电子邮件本身的完整性。它无法防止在传输过程中可能更改电子邮件内容的任何操作。为此,我们有 DKIM,即域密钥标识邮件。
DKIM 允许发送电子邮件服务器对电子邮件信封头进行数字签名,以便接收服务器能够验证该签名。同样,我们再次使用 DNS,其中服务器 DNS 域中的附加 DKIM 记录用于发布用于验证其 DKIM 签名电子邮件标头的公钥。接收服务器会查看声称来自的域,查询该域的 DNS 以获取其 DKIM 公钥,然后使用该密钥验证传入电子邮件中包含的签名。
这项成就的最后一块拼图是 DMARC,即基于域的消息认证报告和合规性。DMARC 是一种策略,也发布在发送域的 DNS 中。它允许发送域指示其电子邮件消息是否受 SPF 和 DKIM 保护。此 DMARC 策略指示收件人如果这些身份验证方法(网站称必须强制执行)失败,应该如何处理:拒绝消息、隔离消息、发送报告或其他操作。重要的是要认识到,即使在今天,所有这些电子邮件完整性和反域伪造层都是完全可选的。
它们不需要存在或应用。它们通过防止发送域的声誉被滥用来使发送者受益,并通过提供一种验证任何受 DMARC 保护的电子邮件的真实发送者的方式来使接收者受益。但这只有在双方都参与的情况下才有效。如果发送者没有利用这些工具,或者收件人没有费心检查它们,那么双方都不会受益。
另一个因素是所有这些都发生在互联网 SMTP 协议的内部。最终收件人永远不会看到这些。这些各种测试是否通过或失败,从来没有明显的视觉指示。
到目前为止,任何 BIMI 标志显示的关键要求之一是发送者的 DMARC 策略必须通过,这反过来又要求 SPF、DKIM 和 DMARC 同时存在并成功。因此,BIMI 显示的第一个现实意义是电子邮件实际上来自声称的发送者。这将我们带到徽标本身以及 BIMI 如何避免未经授权或欺诈性地使用组织徽标的问题。
例如,有什么方法可以阻止其他人复制 GRC 的 Ruby G 标志并用于自身?为了回答这个问题,让我们看看 BIMI 小组在其常见问题解答中说了什么。他们指出,验证徽标是否被特定域授权使用,自 BIMI 想法首次提出以来一直是讨论的中心。事实上,正是这个问题导致其在过去七年中开发了规范。
顺便说一句,DKIM、SPF 和 DMARC 现在通常都支持 Gmail 或拒绝未正确签名的邮件。所以,好消息是,网络安全至少在某种程度上有所改善。
也许谷歌的策略是,如果你每天发送超过 5000 封电子邮件,那么你必须有 DMARC。好的。
但是,我指的是传入邮件,我认为如果你没有这样做,你可能会被列入黑名单。谷歌表示他们将要求 DMARC。但我可能弄错了。
问题是,仍然有太多服务器不支持它,他们希望能够向 Gmail 用户发送电子邮件,因为那大约占世界的一半。所以,是的,但是批量邮件发送者每天发送超过 5000 封邮件。
谷歌会说,你说的对。他说批量,谷歌在雅虎中表示,批量发送者的要求是必须有 DMARC。是的,是的,是的。
我读错了。我以为是所有人,但你说的对。所以很少有人有它。
对吧?所以,关于这件事很酷的一点是,任何电子邮件提供商(例如苹果或谷歌)都可以使用 BIMI 来创建更强的身份验证指示,因为知道这一点很好。所以,他们说这个问题花了七年时间才解决,而我正在阅读的这篇文章是 2021 年写的。
所以已经十年了。天哪。他们说,由于这个问题如此难以解决,我们开发了两种不同的 BIMI 记录类型来达到今天的水平:自我声明记录。
他们说,第一种情况下,根本没有徽标验证。这取决于邮件提供商是否显示徽标。我应该提到,没有人这样做,因为它没有提供 BIMI 想要提供的内容。
第二种是带有证据文档的记录。正如许多人指出的那样,需要某种评估,以便验证徽标是否被域授权使用。所以他们说,直到最近,部署最广泛的 BIMI 记录都是自我声明的。
只有少数邮件提供商接受它们,例如雅虎,他们仔细考虑了哪些域可以显示徽标。然后,7 月 12 日,Gmail 宣布支持 BIMI,这需要以经过验证的标记证书的形式提供证据文档。为了获得经过验证的标记证书,公司必须提供证据证明其徽标是注册商标,即政府机构承认其合法使用。
VMC 还证明了该徽标与标识域的关系。邮件提供商现在可以检索和验证 VMC,以确保该徽标被该域授权使用。我注意到,他们实际上已经稍微放宽了对通用标记的要求。
通用标记证书只需要证明你至少在你的域上使用该徽标一年。因此,无论使用哪种 BIMI 记录,最终都归结为一个要求:声誉信任。而自我声明记录要求邮件提供商信任该域,例如,根据他们自己对该域的声誉。VMC 将信任模型从域转移到 VMC。
问题出在这里。所以现在我们谈论证书,现在我们谈论证书颁发机构,这就是数字参与游戏的原因。换句话说,我们引入了证书颁发机构的概念。
我们信任证书颁发机构,因此我们信任证书颁发机构的标识声明。但现在他们有一个常见问题解答,他们说,目前,有两个证书颁发机构被接受为标记验证机构:MVS,他们可以为 BIMI 发行 VMC,并让数字对此感兴趣。
是的,正是这种兴趣,Chrome 将不再信任在该月底之后签发的证书。顺便说一句,Mozilla 也做出了同样的决定,在 11 月底结束其对新证书的信任。
我不知道这种兴趣是否会成为证书中间件的漏洞。我不在乎,因为 GRC 的 BIMI 证书将由数字签名。如果我永远无法获得一个,它肯定会被数字签名。关于这一点,稍后会详细介绍。BIMI 事实继续。
所以他们说,标记验证机构(MVA)的任务本质上是验证徽标是否被授权用于 BIMI,然后让邮件提供商决定他们信任哪些 MVS 来颁发 VMC(经过验证的标记证书)。相信我,如果每个人都像数字那样做,那么在任何垃圾邮件发送者使用 GRC 的徽标之前,亚利桑那州会下起一场暴风雪。好的。
稍后我会解释。他们说,如果您想了解 MVS 在评估 VMC 请求时执行的步骤,这里有他们正在遵循的当前流程,然后他们提供了最新的 VMC 指南 PDF。他们说,如果你已经浏览了 94 页,那么恭喜你,它相当密集,实际上今天有 129 页,哇。
所以他们说,你会发现评估过程相当彻底。证书颁发机构(CA)正在努力确保他们的 VMC 可以作为检查。如果电子邮件安全社区发现 CA 不当颁发了 VMC,邮件提供商将不再接受该 CA 提供的 VMC,这将基本上使 CA 的 VMC 业务无效。
所以也许兴趣根本不应该费心。好的。我知道本播客的听众会发现,例如,当他们打开 Gmail、雅虎或苹果的电子邮件时,看到 GRC 的 Ruby G 标志出现在电子邮件客户端的中心区域很有趣,如果 BIMI 标志的存在以及获得它的所有步骤都增加了 GRC 的可信度。
电子邮件,并帮助它们不被路由到垃圾邮件或垃圾文件夹,我认为这值得。事实上,另一个预期是,BIMI 签名的电子邮件将具有更强的声誉。上周,在看到来自的电子邮件后,我访问了他们的网站,看看我需要在请求经过验证的标记证书页面上做什么。
首先需要创建徽标,然后上传供他们批准。但我之前提到过,上传的格式非常具体,并且在当今分辨率差异很大的时代无法轻松创建。对于任何新定义的东西,使用矢量图而不是像素和分辨率是有意义的。
矢量图是未来的唯一途径,世界在很早以前就明白了这一点。BIMI 规范通常使用 SVG(可缩放矢量图形)标准。但他们真的很想做到这一点,这会造成一些障碍,因为几乎没有什么东西目前支持他们定义的、故意受限的新 SVG 标准。在他们的解决 SVG 问题页面中,他们写道,你的 SVG 失败的原因有很多。
其中一个原因是通过我的验证器。许多这些问题都源于所有 SVG 图像都必须符合 Tiny-PS 标准的要求。
Tiny-PS,其中 PS 代表可移植安全,是 SVG(可缩放矢量图形)规范的精简配置文件,旨在为显示矢量图形,尤其是在资源受限的环境中,提供轻量级安全解决方案。它保留了渲染可缩放图像所需的核心功能,同时消除了可能构成安全风险或需要大量处理能力的更复杂的功能。它只是专注于简单性和安全性。
确保图形在各种平台上都能一致且安全地呈现。在更新 SVG 文件以符合 SVG Tiny-PS 标准时,还需要考虑确保设备兼容性、保持性能效率以及遵守标准限制。
SVG Tiny-PS 支持 SVG 元素和属性的有限子集。我亲自测试过。基本上,SVG 标准随着时间的推移发展,就像所有此类标准一样,包含各种多余的东西。事实上,你甚至可以在 SVG 中放置位图,尽管这与 SVG 的概念相矛盾。
但当然,他们所做的是将它简化到真正需要的部分,你知道,边框、矩形、圆形、填充图案、渐变等,这样你就可以做你需要做的。你只是不能随意添加任何东西。所以它最终变得受限。
我认为这是完全合理的,但这确实带来了障碍。在网上搜索后,我发现的唯一能够以所谓的 Tiny 版本导出 SVG 文件的工具是 Adobe Illustrator。我曾经是 Paint Shop Pro 和 Corel Draw 的早期粉丝。
我从未使用过 Adobe 产品,但我发现 Illustrator 提供七天的免费试用,不需要任何信用额度或任何其他东西,但七天后它会停止工作。所以我安装了它。我将我的简单 Ruby G 位图从位图转换为矢量图,然后使用 Illustrator 和我在数字 BIMI 帮助页面上找到的 Illustrator 脚本导出完全符合 SVG Tiny-PS 格式的文件。
然后我将它上传到数字,他们检查了文件并批准了它用于 BIMI。所以现在,事实证明,那部分很容易。
我将解释接下来发生了什么。那部分很容易。然后我们开始需要证明事情。莱奥,让我们继续。
哦,这真是一个漫长的旅程。
好的,是的。打败我,斯科蒂。
打败我,斯科蒂。
好的。
你知道,没有正常人会了解这些,或者它是否存在。所以我们的观众会。所以很好。我们将继续史蒂夫尝试让他的 BIMI 兼容徽标的历程。
但在我们的赞助商 Vanta 提供的奖励之前,这是一家我支持的公司,它可以帮助你启动或扩展公司的安全计划。你知道,展示最佳安全实践并与客户建立信任比以往任何时候都重要。坦率地说,你可能也有法律要求。Vanta 自动化了 SOC 2、7、1 等合规性,节省你的时间和金钱,同时帮助你建立客户信任。
你也会喜欢的。
因为您可以通过自动化问卷来简化安全审查,并通过面向客户的信任中心展示您的安全态势,这看起来很棒。所有这些都由 vta AI 提供支持。超过七千家全球公司,例如 Last、Flow Health 和 Cora,都使用 Vanted 来管理风险并实时证明安全性。
如果您喜欢这样做,那么当您访问 venter va nta.com/securitynow 时,如何获得一千美元?vanta.com/securitynow,享受万特产品一千美元的折扣。了解万特能提供哪些优势,请访问 vantage.com/securitynow。非常感谢您对史蒂夫的支持。这里的工作做得很好。在史蒂夫进行光栅矢量化处理时,有人必须支付账单。
在 IT 用户开始此过程之前,ruby g 之前必须是 bimi。组织必须在 EV 级别获得认证。请记住 EV,那些扩展验证证书,当 Web 浏览器决定停止显示 EV 证书网站的额外绿色字段时,它们就不再流行了,因为最终用户从未真正理解过发生的事情。关于 bme 徽标的所有要点,也许我们永远不会理解,或者也许一旦它们达到临界质量,它们就会获得特殊待遇,谁知道呢?此外,没有任何东西阻止类型抢注网站获得自己的 EV 证书。
这实际上是死亡之兆,因为类型抢注者能够在他们的域名上获得 evy 搜索,因此用户看到这一点,并且所有看起来都像 IT 安全。因此,即使 EV 证书不会回来,它们曾经要求的组织验证级别仍然很强。这本质上意味着,任何在其电子邮件中显示 bimi 标记的组织都将获得与 EV 相同级别的验证。
认证。在这种情况下,这意味着我必须让苏在我们的公司座机旁待命,当来自数字的人拨打公司记录中列出的公司电话号码(例如,布雷德街公司)时,吉布森研究公司可以接听数字的来电,并验证有关我们公司和我们网站的一些信息。她还确认我,史蒂夫·吉布森,将担任此验证标记证书订单的数字验证联系人,并且我有权请求并生成验证标记证书。
你得到一顶特殊帽子吗?
没有,但我接到了一通特殊的电话。完成后,我收到一封电子邮件,解释了我的角色。我首先需要拍摄官方美国政府照片 ID 的正面和背面照片,并安全地将其上传到数字通过其 SharePoint 365 帐户。现在,曾经看起来很侵入性的东西,现在已经不再是大事了,因为毕竟,国家公共数据已经公开发布了所有这些信息。
所以谁在乎?另一方面,所有这些公共数据现在是否可以用来令人信服地伪造和上传身份?也许,但数字也想到了这一点。
下一步是使用在线日程安排应用程序安排一次电话面试,然后进行在线 Zoom 视频会议。使用日程安排应用程序,我预订了第一个可用的 30 分钟时段,并在预定时间收到了一通来自数字人员的电话。他自称是与我联系过的人,并指示我请将我的 ID 照片上传到他们的 SharePoint 365 帐户。
我告诉他我已经按照之前的电子邮件中的链接操作并完成了。他感谢我,并问我是否准备好切换到 Zoom。我告诉他我准备好了。
所以他们发送了 Zoom 链接。点击该链接后,我进入了一个双向音频会议,其中视频是单向的。他的摄像头从未启用,所以我只看到他的名字,但他可以清楚地看到我,就像我们的听众现在一样,因为我使用了相同的系统。
是的,他告诉我,在视频会议期间,我需要展示相同的 ID。所以我回去,从钱包里拿出来。我有一个方便的。他首先要求我在摄像头前摆好姿势,以便他可以捕捉到。然后他要求我将 ID 举到头部旁边,天哪,这样我的脸和我的 ID 同时出现在摄像头的两侧。我做到了。
这不是。这比您为 EV 所做的还要多,先生。
哦,是的。EV,我们停留在那里。所以告诉那个人祝他度过美好的一天。是的。所以他问我,他,然后他问我,在仍然将 ID 举到头部旁边时,用我的另一只空闲的手,穿过我的脸,然后在 ID 的前面和后面,同时仍然相对地拿着它,天哪。我花了一些时间来满足他的要求。
但是,由于我不是人工智能生成的伪造者,也不是朝鲜人假扮成某个老白人,所以我能够按照他的指示行事,并让他相信我确实是我自己。哇。由于这在从 GRC 的公共公司记录到我们的办公室,再到我本人和我的身份之间建立了一个完整的信任链,这能够满足他们确认我们徽标提交真实性的需求。
我忘了。想象一下,在该过程中,在我成功创建、上传和验证了微型版本 1.2-flash.svg 徽标文件后,数字网站要求我在 GCS DNS 中发布特定文本字符串,然后点击“确定”,这样我就可以证明对 grc.com 域的所有权。这将引导我们进入最后一步,他们将验证我是否已使用该徽标在 grc.com 网站上至少使用了一年,自从互联网出现之前,我就一直在使用它。
从互联网出现的那一刻起,我就一直在使用它。从那时起,我每天都认为这一最终步骤将是轻而易举的。那么,您如何想象他们验证我长期使用此徽标?哦,不。
哦,是的。他们使用著名的 Wayback Machine。哦,不。
在互联网档案网站 archive.org 上。我很好奇……
连接……
……存在。
上周有一点小故障,因为上周大部分时间、整个周末以及显然直到昨天,所有互联网档案都处于攻击状态并且离线。
他们试图阻止您获得您的 bimi。
现在我们知道了为什么,在我经历所有这一切之后,获得 bimi 证书的漫长过程中最后一步……
……被放在了最薄弱的环节上。天哪,现在我很好。GRC 的感觉。获得此认证肯定不是紧急情况。
因此,无论何时发生,我都可以接受。可能。您知道,本周晚些时候,我这边已经完成了所有必要步骤。因此,一旦数字能够回顾 GRC 的历史徽标使用情况,他们将在 Wayback Machine 索引过的每一页上看到它。
等等,如果在互联网 Wayback Machine 上,并非所有内容都正确。这是真的。
该死的。
这看起来非常……
……在这种情况下,如果您已注册徽标,那么您将位于美国专利商标红徽标中。
您的徽标未注册。
我从未费心注册徽标。
是的。所以这就是为什么,因为我们的徽标在交易中。
如果您拥有该交易市场,那么……
……没有问题服务市场或我所理解的。
好的。所以,呃,发生的事情是,一系列 DDoS 攻击从 10 月 8 日星期二开始。不知何故,其中混合了基于 JavaScript 库的网站攻击,影响了互联网档案,以及泄露 3100 万名过去互联网档案用户的用户名、电子邮件地址和盐渍哈希密码的漏洞。
档案的最大担忧是其档案完整性的保留。因此,他们在努力弄清楚究竟发生了什么时,将所有内容都下线了。维基百科告诉我们,Booster Kale 是美国数字图书馆计算机工程师、互联网企业家以及所有知识普遍获取的倡导者。
1982 年,他从麻省理工学院获得了计算机科学和工程学士学位。1996 年,Kale 创建了互联网档案。2012 年,他被选入互联网名人堂。
一年后,他参加了三边会谈。您是否想观看他的访谈?相当。我爱他,他是一个了不起的人。
他看起来像百分百。他就像我们希望拥有更多的人,是的。因此,archi.org 有一个主实例,并且 Bruiser 在那里发布了两次更新。
他的第一个更新说,我们所知道的是,我们已经成功地阻止了攻击,现在,Facebook、我们的网站通过 JS 库、用户名、电子邮件和盐渍加密密码的漏洞,我们已经禁用 JS 库脚本系统,并正在升级安全性。我们将分享更多信息,因为我们知道它。然后他稍后说,对不起,但 DDoS 攻击者又回来了,并击倒了档案。org、openlibrary.org 和互联网档案已谨慎行事,优先考虑安全数据,而牺牲了服务可用性。我们将分享更多信息,因为我们知道它。
正如我所说,我今天早上检查了……我今天早上在线检查,并看到了一系列关于此事的文章,您知道,标题从“BleepingComputer 互联网档案遭到黑客攻击,数据泄露影响 3100 万用户”到“福布斯撰写互联网历史,Wayback Machine 遭到黑客攻击,3100 万密码被盗”到“The Verge 撰写互联网档案仍然关闭,但几天内就会恢复,而不是几周”到一些 Booster 在其他地方发布的内容,到“CyberNews 报道互联网档案在两天后关闭,DDoS 攻击、用户信息泄露”到“Fast Company 最近报道互联网档案在网络攻击后恢复在线服务”。
因此,我已经观察到围绕此事件以及互联网档案可用性中断的一些互联网对话,我认为它对提醒人们这项服务的重要性发挥了作用。这是那些很容易被忽视的事情,直到它不可用,然后您才意识到拥有 Wayback Machine 对于查看互联网早期状态有多么重要。
我们的听众可能还记得,当我们检查 polyfield.io 问题的影响时,我曾广泛使用过档案 Wayback Machine,我们研究了广泛使用且公开托管的 JavaScript 库的发布者将控制权移交给另一实体的危险。我需要回顾过去,看看 polyfield.io 网站自其早期以来是如何发展和演变的。这项研究之所以能够进行,仅仅是因为 Wayback Machine 一直默默地、勤奋地且持续地拍摄 polyfield.io 网站以及它在整个互联网上爬行的所有其他网站的快照。
最近的报道说,互联网档案已恢复在线状态。在网络攻击导致数字图书馆和 Wayback Machine 下线后,上周的数据泄露攻击确实关闭了该网站,10 月份的攻击导致用户身份验证数据库中 3100 万个唯一记录被盗。
根据创始人 Booster Kale 的说法,互联网档案现在已以临时只读方式恢复在线状态。安全地恢复,但可能需要进一步维护,在这种情况下,它将再次暂停,他说。他们写道,您可以访问 Wayback Machine 来搜索已存档的 9160 亿页。
您目前无法将现有网页捕获到档案中。Kill 和团队已在最近几天逐步恢复 archive.org 服务,包括恢复团队的电子邮件帐户及其用于国家图书馆服务的爬虫程序,这些爬虫程序已关闭,以便互联网档案工作人员可以检查和加强它们以防未来攻击。来自匿名黑客的弹出窗口声称,上周档案遭受了“灾难性安全漏洞”,此后已确认数据被盗。
盗窃包括 3100 万个唯一电子邮件帐户的电子邮件地址、屏幕名称、哈希密码和其他内部数据。互联网档案中断发生在谷歌开始在 Wayback Machine 中添加存档网站链接的几周之后。谷歌今年早些时候删除了自己的缓存页面链接,因此在谷歌搜索结果中链接 Wayback Machine 是访问网站或存档页面的旧版本的有用方法。
顺便说一句,这将是一个很好的机会,让大家向互联网档案捐款。我是一个长期支持者。我每月都捐款。
IMI 是的,是的。
这是一项非常重要的服务,不仅仅是一项服务。这是备份我们历史的重要方式。是的,上帝保佑。
我不知道像 Cloudflare 这样的组织是否会对成为这里的受益人感兴趣……也不知道 Booster 的要求是什么。他们可能知道,他们可能在冲突中,甚至可能根本不可行。但是,互联网档案,莱奥,正如你所说,它对研究人员、学者和其他人员来说都是必不可少的工具,我认为它的价值和重要性只会随着时间的推移而增加。
无论如何,现在看来 Wayback Machine 正在恢复在线服务,不久数字就会说他们能够使用 Wayback Machine 来验证我几十年来对该徽标的使用。届时,他们将批准并发布一个 bimi 证书,该证书的有效期最长为 398 天。他们似乎渴望在自己的服务器上托管徽标和证书。
您可以自己完成,但他们自愿提供帮助。我对此没问题。嗯,在我看来,他们会提供 URL,这可能会增加来自 no.digit.com 的可信度。嗯,因此,当 bimi 支持的电子邮件提供商收到 GRC 的电子邮件时,正如您所知,Apple Mail、Gmail、Yahoo 等都会这样做。
除了通过拉取 RSPF 和 DMark DNS 记录来验证电子邮件的真实性之外,他们还会主动检查并拉取 GRC bimi 记录,这将告诉您在哪里获取 ruby g svg 徽标本身以及在哪里找到其验证证书。我还没有研究徽标和证书之间的关系,但是,由于我可以自己托管这些文件,它们必须受到防篡改保护,假设 svg 文件本身没有被更改,证书可能包含已批准的 svg 徽标文件的哈希值以及徽标所属域的指示。因此,任何希望在他们的邮箱中支持 bimi 徽标的人都可以查找信息哈希、检索的 svg 徽标,并检查其匹配的 mini 证书中的匹配哈希。
由于证书将由数字的受信任路由签名,这将建立足够的信任链来验证该徽标在指定电子邮件域中的使用,并且电子邮件提供商可以放心地将其显示给其电子邮件用户,但前提是电子邮件也通过 DMark 验证。因此,这是互联网上我们第一次看到电子邮件真实性的可见指示,即电子邮件中心提供的徽标。现在,对于 GRC,正如我所说,这在为本周的安全现在播客发送给安全现在订阅者的邮件中没有发生,该邮件今天早上发送。
但是,正如我所说,我已经完成所有这些步骤,现在只需要等待 Wayback Machine 可用以确认 GRC 的历史徽标使用情况,我希望每个人下周都能在他们的邮件中看到它。这将是 Gmail 在一段时间前采用的一个有趣的变化。我检查了自己的 Gmail 收件箱,但没有深入研究。
同样,我没有收到很多有效的电子邮件。这是我的测试帐户。我确实看到 PayPal 和迪士尼+ 都在其电子邮件中使用了我的徽标。
因此,我的徽标使用情况正在增加。但是,我们当然没有看到它在日常使用中变得更普遍。现在还为时过早,因为电子邮件提供商完全可以自由决定支持哪些证书机构的验证标记证书。
看到数字刚刚对我施加的严格成本以防止任何形式的欺诈,这很清楚。但是,如果 bimi 小组可以被指责任何事情,那就是设定了过高的标准。但在一个行业中,该行业一再如此匆忙,以至于标准通常设定得很低,我认为这是一个朝着正确方向的转变。
尽管获得此级别的身份证明很困难且成本高昂,但任何这样做组织都将获得一年的额外强身份证明,如果有人注意到或理解的话。此时,我几乎可以肯定,大多数用户都不知道正在发生任何其他事情。我当然直到深入研究这个问题才明白。
但是,如果它流行起来,它可能会开始削弱完全免费创建和发送电子邮件所造成的灾难。这只会给决定足够关心以超级验证其电子邮件发送给其收件人的中心带来一些成本。
几个问题。
那是……
bimi 一。EV 证书的成本不很高吗?
是的,它们并不便宜,就像数千……
……美元每年。
我不认为它那么多。我认为那是一个多……
……年的实际费用,所以是的,好的,也许它不是那么昂贵,但它很贵。它不是微不足道的。有趣的是,它需要。这仅仅是数字的要求,还是其他机构也需要?
嗯,这是一个好问题。嗯,正如我所说,我没有查看那份 127 页的付费文档。但是,需要的是 EV 级别认证,这很有意义。
所以,我没有……
……实际上获得 EV 证书。我不想暗示我获得了 EV 证书。但是,EV 级别认证不需要……
要有一个EV证书。先生。你只是知道你只是在说这是相同的水平。这是EV。
风格认证,我的意思是,所以当我们进行EV搜索时,苏必须做同样的事情。当电话响铃时,她必须站在旁边接听。
IT和同样的事情,是的,是的,是的。任何公司都能让你通过。
是的,我付的钱少,他们付钱让人们站着。
好的。好的。并且有兴趣看看这是否会流行起来,我觉得IT并没有真正走完全程。当然,你必须获取所有电子邮件客户端。
来显示它。真的。如果我只是。
看看快速邮件,我没有看到任何快速邮件显示我的徽标的规定,显而易见的是Gmail确实有快速邮件。
我在小组中命名了它们。
它们在小组中。这就是我感到惊讶的原因。
所以它们是否在支持IT并显示IT的小组中?
它们在最初组建IT的团队中。
好的,所以但是无论。
他们可能可能他们确实做到了。我只是诅咒。
所以如果你有PayPal或迪士尼,这是我所知道的两个。
我有一个专用的PayPal付款文件夹。
我。也许如果这有效,下周你就能看到我的邮件。
那会很酷。是的,是的,我希望如此。好吧,我没有看到。我将要。
IT,以及我们的听众,他们收到了我的电子邮件。我的意思是,每当您收到来自GRC的电子邮件时,它就会带有GRC徽标。
是的,我正在查看PayPal电子邮件,我没有看到任何徽标。另一个问题。
它有他们的小双P倾斜。这是徽标。
并且这大概不是由PayPal存储的,对吧?这是。
PayPal可以提供它,或者数字可以提供它。我不喜欢PayPal。
提供它,因为那是一个跟踪像素。
哦,如果不是嵌入式,你是对的。嗯,不。好吧,不,因为例如Google会下载一份副本,然后。
会到处使用它。好的,对吧?没问题。我可以看到PayPal正在做。
所以,所以,所以这不是电子邮件客户端去获取它。这是电子邮件提供商,只有当电子邮件通过验证并且您有匹配的徽标证书时,电子邮件提供商才会将其添加到您的收件箱中。
好吧,我不介意这个想法。让我们看看会发生什么。我希望在我的电子邮件中看到GRC徽标,这会更容易。
在你的。
垃圾堆中找到你。我称我的电子邮件。Steve Gibson是grc.com,你知道,代表Gibson研究公司。
这就是他进行工作的地方,包括创建SpinRite,对吧?世界上最好的主存储性能恢复工具,维护工具,如果您有大量存储,您现在需要SpinRite 6,这是当前版本。所有拥有先前版本的人都可以升级。
但是,如果您没有,现在是购买您自己的SpinRite副本的好时机,就在grc.com。他还拥有该节目的副本,64位音频,这是传统的共享版本,但他也有16位音频版本,供有听力障碍的人使用。他还有由人类撰写的文字稿。这就是为什么它们不会在播客发布后的同一天发布,而是在几天后发布的原因。他还提供节目笔记,如果您没有文字稿,这非常方便。文字稿实际上是所有说过的话,所有这些都在grc.com。如果您想要电子邮件,我认为我爱这个,您可以在周中发送电子邮件,这可以使您的电子邮件更有价值,如果您设置警报和按钮等等,以便加入该列表或进行验证,以便您可以发送电子邮件,请访问grc.com/email。
我们需要提醒人们,因为他们总是抱怨,他们说,我注册了这个,但我找不到任何地方可以发送给您的地址,我说,我回复了,我知道这是故意的,因为这不是为每个人准备的。这是真正听播客的人。所以grc.com上没有。
说安全现在在grc.com。不,你知道吗?
你可能会猜到。
但我做同样的事情。
人们说,为什么不是你?你真的需要发布电子邮件地址。不。
我查看电子邮件,任何电子邮件?我们确实有一个电子邮件地址,但找到它很好。让我们把它写下来。
我确实想要你的电子邮件,但你必须现在注册,你不需要订阅电子邮件,这在我的反垃圾邮件中注册,或者莱奥,你不会相信现在那个地址的垃圾邮件。哦,天哪,没有垃圾邮件进来,因为垃圾邮件中心没有注册。但我这样做是为了我知道垃圾邮件会发生什么,而且它确实很糟糕。
它并没有真正变得更好,我们能够更好地过滤它。
当您拥有像Gmail这样的大型提供商时,他们能够看到其用户群中进入的垃圾邮件,并将其过滤掉。这只是垃圾邮件。
是的,我的经验是Gmail的过滤。
它不是很好,你必须训练。
它更多,是的,也许就是这样。是的。我停止使用。我使用快速。
你知道,当我使用快速时,让我看看还有什么。哦,我们有一个副本。我们的网站上的节目使用了该电视快照。SN,这很重要。当您访问该网站时,您可能会想注册Club TWiT,因为这是支持Steve工作最好的方法。
Twitter上的电视快照,Club TWiT支持我们所做的一切,让您访问Club TWiT和Discord,这也会让您访问许多额外内容。我们星期五将有一场咖啡节目。我们将讨论连接的船只。
这将非常有趣,史蒂夫,如果你不注意豆子。所以这将很有趣。然后下周是他的读书俱乐部,有一本非常有趣的书。
查尔斯知道今年最好的书。它被称为《服务模型》,作者是Adrian Cho Kopf Sky。我已经完成了它,这意味着我现在可以转到新的Peter F。
汉密尔顿。我对这很兴奋。无论如何,请关注24/4微型创作角的读书俱乐部。
俱乐部里有很多东西。俱乐部对我们来说非常重要。它帮助我们克服了障碍。正如你可能听说过的,播客的货币化不是我想要的。
因此,我们真的需要你的帮助,twitter.tv/clubtwit或扫描屏幕左上角的二维码加入俱乐部。这是一个与有趣的人互动和交流的好地方。您还可以观看我们现场直播节目。
感谢俱乐部和俱乐部成员,我们能够将其发布到七个不同的流中,包括俱乐部成员的Discord流。但还有YouTube、youtube.com/twitch/live、twitch.tv、facebook.com、linkedin和Kick,七个不同的平台。您可以在所有这些平台上观看现场直播节目和聊天。
我看到来自所有不同平台的所有聊天帖子。谢谢。我很感激。
我们还需要知道什么?这是我每周休息后的两天,通常在太平洋时间下午一点三十分到两点,东部时间下午五点,UTC时间21:00。在这些不同的地方观看节目,或者您可以下载节目。
正如我在Steve的网站上所说,电视快照也包含在YouTube频道中,专门用于视频。这非常方便,因为我知道很多时候您会在节目中听到一些东西,并想说,哦,我必须把它展示给我的朋友、老板、室友或母亲。您可以在YouTube上轻松剪辑这些内容。
每个人都知道如何观看YouTube剪辑并使用它作为冰breaker功能,以便您可以提取一小部分并将其发送给他们。这有助于我们,因为它是一种微妙地介绍新听众的方式。事实上,我们现在正在做的另一种方式是推荐计划。
如果您是Club TWiT成员,并邀请其他人加入,他们加入后,您将获得一个月的免费会员资格。这可以累积起来,只需传播消息,就可以让您的整个会员资格免费,这对我们来说非常重要。当然,您也可以在您喜欢的播客播放器中订阅。老实说,我知道有996集,但我认为任何对此感兴趣的人都应该将所有996集都保存在他们的硬盘上。
立即订阅,开始收集,然后返回网站下载其余的,距离999集只有3集。然后我不知道会发生什么。史蒂夫不得不重新编写他的整个系统。
您是否必须更新一些代码?您真的。
以前从未想过数字?谁会。
想过。
事实上,多年来,您是否积极计划过?不是这样,但感谢您。
我说,哦,好吧。
太糟糕了,太可惜了。
这将是一个很好的观点。这将是一个很好的时间来挂断电话。
没有挂断安全播客的好时机。
不高兴。不高兴。
在节目中穿的衣服。好。是的,我们都高兴。谢谢。祝您度过美好的一周,玩得开心,下周见。
在安全现在节目中,我们将详细讨论Pi网络框架。所以大家带上你们的螺旋桨帽子,准备好。
如果您想了解更多关于互联网档案问题的信息,科里·多克特将在周日通过Twitter与我们互动,我们绝对会讨论并享受美味的午餐。
现在真的结束了。