SN 997: Credential Exchange Protocol - DJI Sues DoD, Quantum Vs. RSA, Lost MS Logs
Security Now (Audio)
Deep Dive
- Chinese researchers did not break RSA encryption.
- They demonstrated a better way to use quantum computers against the prime factorization problem.
- The discovery represents a significant breakthrough in quantum computing applications for cryptographic problems.
Shownotes Transcript
现在是安全时间。史蒂夫·吉布森在这里,我们有许多事情要谈。中国研究人员真的破解了RSA加密吗?
这可能是一个标题混淆的问题。国防部(DoD)正在被DJI起诉,原因是DJI无人机的禁令。此外,我们将看看新的计划,让您可以将您的软件包从一个地方移动到另一个地方,所有这些都将在接下来的安全现在播客中出现。
在接下来的安全现在播客中,还有更多内容,来自您信任的人。
这是安全现在播客,史蒂夫·吉布森的第997期,于2024年10月22日星期二录制,主题是凭证交换协议。这是安全现在播客,我们涵盖最新的安全新闻、隐私问题、违规新闻、被利用的漏洞和科幻小说。
以及A,A。
A,是的,是的,这位先生,史蒂夫·吉布森,吉布森研究公司的。
嘿,史蒂夫,我们现在在第997期。是的,直到你提到,我还没有想到这一点。我们离999期越来越近了,这很明显,因为999期是选举日。
哦,这很合适。天哪。
这可能在播客的结尾。我们将一起坠入深渊。
我们不会直接坠入深渊。
不,我们将在IT领域继续前进。如果他们仍然...
如果我突然搬到新西兰,这可能会有所不同,但我认为这不太可能。
我听说过凯文·罗斯很久以前和你谈话,就像一个令人惊讶地久远的人,说他正在推动他的签证。如果你有数百万...
像凯文一样,拥有一个高尔夫球洞是很好的。这位亿万富翁显然认为新西兰是一个去处。
尽管政府...
可能已经改变了,可能不像以前那样开放、有组织、热情好客。
是的,是的。好的。所以,我们现在在10月22日,正如计划的那样,我们将讨论凭证交换协议,该协议是在八天前在照片联盟会议上宣布的。实际上,会议地点就在我南边,在加利福尼亚州南部卡尔斯巴德。
起初,当我看到规格时,我想,哦,这里没有足够的话题,因为这更像是一个大纲。我们稍后会对规格中没有说明的内容进行一些有趣的探讨。但是,当我深入研究时,我意识到核心内容已经存在,并且有足够的内容来制作播客。所以我首先更新了凭证交换协议预览播客,以为这将是我们能做的全部。但不是的,我们将能够涵盖它。哦,我们还有...我实际上还希望在本周能够分享更多反馈,因为我收到了很多很棒的安全现在听众反馈,通过grc.com上的GRC反馈页面,那些在GRC的电子邮件系统中注册了收件箱的人,我想分享这些反馈。
但是,它在那里。
有一些令人惊叹的新闻,但它们发生得太快了。
我们记得一段时间,我们会交替进行新闻播客和问答播客。但现在发生的事情太多了。
是的。所以我们将回答这个问题。我们上周已经谈到过这个问题,但我希望能够更详细地讨论中国研究人员是否成功破解了RSA加密,正如所有测试新闻标题所报道的那样。我们想知道他们做了什么,以及NPD违规数据正在为哪种下一代恐怖勒索提供支持。
但我的一个朋友给我发了一些他收到的东西。这值得讨论,欧盟似乎将让软件公司对其安全漏洞负责。
换句话说,对因软件缺陷造成的损害承担责任,即使他们不知道问题所在。所以,这对软件行业来说是一个巨大的转变。此外,微软丢失了数周的安全日志。
他们尝试解决这个问题有多努力?中国无人机公司DJI正在起诉美国司法部(DoJ),原因是其对DJI无人机的禁令。这很有趣。此外,据了解,美国司法部希望获得“深度伪造”技术来创建假人,包括身份。这就像,会发生什么?此外,微软的机器人假装上当于网络钓鱼活动,然后将坏人引向他们的诱饵陷阱。这既邪恶又聪明。
是的。所以我非常喜欢这一点。我们从两条听众反馈中获得了一些BIMI徽标后续信息,这些反馈我设法在开始讨论照片联盟即将推出的凭证交换协议之前就收集到了。正如我们所知,其目标是创建凭证提供商之间的凭证收集可移植性。我认为这将是另一个很棒的播客。
我不知道你们,但我认为新的猪肉屠宰诈骗不仅仅是打招呼,尽管我仍然收到这些诈骗邮件,我收到了一封来自中国女孩的图片,说“你还记得我们见过吗?你想见我吗?”当然,我收到过这些邮件,但最新的邮件...我认为这些邮件可能非常有效。
莱萨开始提供工作机会,提供最热门的职位。我显然不是在找工作。但我认为,如果你是一个年轻人在找工作,你很可能会上当受骗。
是的。所以我想,没有招聘经理会发短信说“我们有一个你可能喜欢的职位”。如果你收到这样的短信,我建议你三思而后行,因为这很可能是猪肉屠宰诈骗。对我来说,我知道,因为没有人...
试图雇用我,任何雇用我的人都会后悔。是的。我们都不好。
我们都不好。所以,作为员工,我们两人中的一位,我们将有本周的图片和问题的核心内容。稍后会有一些内容。首先,让我们先听听我们的赞助商,威胁锁定公司。
你听过史蒂夫谈论零信任,谷歌是第一个真正开始推广这种理念的人,即网络中有人死亡并不意味着他们值得信任,你真的应该采取默认拒绝访问的方法,如果零日漏洞和供应链攻击让你彻夜难眠。我知道你们听过这个播客,你们也担心这些问题。不用担心,使用威胁锁定,您可以更好地保护您的安全。世界各地的公司,例如捷蓝航空,都信任威胁锁定来保护他们的数据,让他们的业务保持高水平运营。所以,想象一下,采取一种主动的、默认拒绝的方法来进行网络安全。
换句话说,你阻止所有操作、进程和用户,除非你的团队明确授权。用户不会获得普遍权限,你可以完全控制该用户可以执行的操作。威胁锁定可以帮助你做到这一点,并提供所有操作的完整风险管理和合规性。
他们有一个很棒的支持团队,全天候提供美国支持。他们会帮助你入门,当然,还有其他帮助。所以,这是如何阻止你组织中受信任应用程序的利用。
是的,应用程序是受信任的。但是,作为使用受信任应用程序的人,如何保护你的业务免受勒索软件攻击,以及其中一个功能非常酷,他们称之为“环状防护”。任何行业的组织都可以从威胁锁定的环状防护中受益,通过隔离关键...
这些是最重要的受信任应用程序,防止意外用户或恶意攻击者在网络中横向移动。这非常有效。威胁锁定环状防护成功阻止了许多攻击,这些攻击如果没有环状防护,就不会被阻止,最值得注意的是2020年对太阳风和瑞安的网络攻击。使用环状防护的那些公司没有受到影响。
这正是你需要的东西。威胁锁定可以快速、轻松地为你提供前所未有的网络安全可能性和控制力。顺便说一句,价格也很实惠。
威胁锁定零信任和点防护平台提供了一种统一的方法来保护用户、设备和网络,防止零日漏洞的利用。这是正确的零信任方法。获取免费的30天试用版,了解威胁锁定如何帮助你减轻未知威胁,同时保持合规性。
威胁锁定网站是一个很棒的公司,产品也很有趣,它真的有效。威胁锁定网站,而且价格令人惊讶地实惠,我甚至负担得起。非常感谢你支持安全现在播客。史蒂夫,我准备向世界展示本周的图片。
现在,关于整个零信任的实用类比。这只是关于防火墙应该如何工作的演变和思考方式。第一代防火墙是开放的,它们阻止已知问题。很快,很明显,这不是正确的策略。我们需要默认关闭所有内容,然后有选择地打开端口。
白名单和黑名单,我们想要什么。这真的很酷,这是一个非常简单的概念,但它非常有效。现在,我们有本周图片的标题。
是的,我给这张图片加上了标题。通用的可访问性要求可能并不总是产生适当的结果。
天哪。
所以,我们有一个警告标志,上面写着“热表面,请勿触摸”,由于需要让兴奋的人能够阅读标志,标志下方还有盲文,当然...
触摸它们。
是的,热表面警告标志。这个标志实际上有一个有趣的历史,因为,再次,今天播客的电子邮件,我能够在晚上结束时完成所有工作,并于昨晚发送了电子邮件。
到目前为止,我估计有11314名收件人收到了播客摘要和图片的缩略图,可以点击以获得完整尺寸。他们昨晚都收到了。所以,我想提醒我们的听众,任何订阅安全现在列表的人都可以访问这些信息。一些人说,“我知道那是什么,但那不是盲文”。所以,我知道为什么...这实际上来自一位听众,他提交了一张带有“热表面,请勿触摸”字样的标志的照片,然后在底部有一行真正的盲文。问题是,这张照片是在阳光直射下拍摄的,所以它被冲淡了,并且在上面有强烈的阳光反射。
实际上,它...
没有拍出很好的照片。所以我有一个非常酷的透视校正软件。所以我修复了透视,看起来不错,但仍然不太好。所以我一直在想,我想知道我是否可以...
来我的...这是我...
生成的,是的,哇。所以,我...现在ChatGPT有一个图像功能。
它以前根本不能做文本。这太棒了。
我知道。所以我问,“你能帮我调整标志的对比度,让它更容易阅读吗?”他说,“当然可以。”所以我思考了一会,想出了一个完全不同的标志。
我的意思是,这就像我说的,“这是一个想法,试试看”,这根本不是我的意思。但我从朋友那里学到,礼貌真的很重要。所以我说了,“哇,这太棒了,但它更像我上传的原始图片。”当然可以。
我得到了这个,它仍然不是我开始的图片,也不是盲文,但它表达了概念。所以,莱奥,我不得不说,我被我看到的这些东西震惊了。这太神奇了。我不是经验丰富的SQL编码员,我也不会用PHP编程。
但是,周末我从我正在使用的电子邮件系统中获得了一段代码。正如我们所知,一旦你理解了过程语言,它们看起来都差不多。
你需要知道如何使用不等于运算符,这在不同的语言中有所不同。我是否在每一行的末尾添加了一些东西,或者不添加?这可以帮助我了解代码在做什么。但它就像往常一样,因为我更喜欢编码和组装。
我想要的不只是一个解决方案,而是绝对最佳的解决方案。它正在使用SQL语句进行后期绑定,以防止注入攻击。我想知道我正在做的工作中有多少可以重复使用,而无需进行所有初始设置。
所以,是的,再次,我会在谷歌上搜索,花大约半小时来了解每个语句的具体含义,以及它们需要什么上下文,以及它们留下了多少东西。我想,“好吧,我只要问ChatGPT,因为它现在也有一个编码助手,他们称之为画布。”所以我去了那里,复制了我想要详细了解的语句。
我删除了一些不必要的代码,并说,“你能解释一下,如果我想再次执行类似的查询,我们如何知道所有这些代码的作用,以及其中有多少不需要重复?”这真的太令人惊讶了。
我的意思是...
我的意思是,这就像一个课程,它解释了每个语句的作用,然后回答了我的问题,即在所有这些语句中,有多少是初始设置,我不需要在重新发出查询时重复,只是参数略有不同。我的意思是,这...我甚至没有要求它帮我编写汇编代码,因为我正在...
史蒂夫,我给你做一个小测试,看看...
这甚至不有趣。但在这里,我的意思是,这真的很有用,你知道,这是我想要快速答案的地方,而无需深入研究。所以,不需要花时间去研究每个定义。
我用它来做正则表达式,它非常擅长解释正则表达式。我很好奇,这就像一个很好的工具。但你必须知道它的局限性,它本身并不能解决问题,但结合人类的智慧,它非常有用,你必须知道你在做什么,以及这些局限性。
是的,我几个月前用过第一个VBScript。再次,这不是我经常使用的语言。它给了我一些看起来不错但实际上不起作用的东西。
但是,我看到了错误所在。是的,我开始并修复了它。所以,总而言之,我不得不说,这节省了很多时间。所以,是的,我通常不关心节省时间,但在这种情况下,就像“伙计,我只是想让它完成”。好的。
所以,我知道,通过创建和撰写InfoWorld杂志的技术专栏八年,专栏作者和新闻作者完全无法控制其作品的标题。为什么这是真的,我永远不明白。当我写专栏时,我抱怨过这个问题,他们告诉我,“不,你不能那样做。”
我们就是这样做的,就像,“好吧。”正如我所说,我可以告诉你我看到标题有多沮丧,我精心策划和撰写的专栏,在我失去控制权并转到其他地方后,结果标题与我写的内容没有任何关系。我真的很恼火,我无法理解,但我可以原谅那些善意的作者,他们上周一在CS在线发表的文章。那篇文章的标题比任何标题都更具有误导性。
所以我只能想象,当他们看到它发表时,作者的想法。
非常具有挑衅性的标题问题,引号,“中国研究人员破解了RSA加密,使用量子计算机。”这发生了吗?没有,甚至没有发生。它甚至没有接近发生。没有办法将发生的事情描述为破解RSA加密。密码学中的破解有一个非常具体的含义。这不是这种情况。
好的?幸运的是,为了恢复宇宙的秩序,你只需要阅读那个故意虚构的标题,然后阅读文章的第一句话,它说,“由上海大学的王某领导的研究小组发现了...”
量子计算机能够以一种使攻击诸如 RSA 之类的加密方法成为可能的方式优化问题解决。现在,量子计算机并没有像人们想象的那样打破我们的加密方法,而是说,一个团队,一个非常聪明的中国研究人员,发现了利用 D 波特性来解决 RSA 加密核心难题——质因数分解问题的新方法。
不幸的是,正如我所说,该发现的真相并没有一个那么引人注目的标题。在播客的这些年中,我们已经讨论了很多关于 RSA 加密强度的问题,它完全在于质因数分解的挑战,这个挑战仍然出人意料且幸运地难以解决,数字非常大。当我提到非常大时,我的意思是巨大的数字,将其分解成两个质因数,这是我们加密系统的基础。我们首先随机选择一个非常大的,例如四千九十六位的大质数,这比你想象的要容易。
有很多这样的质数。这就是我们的私钥。然后,我们通过选择另一个类似的四千九十六位质数并将其相乘来隐藏私钥,从而得到一个八千一百九十二位的乘积。
这两个质数的乘积是公钥,其中隐藏着私钥。因此,如果某个计算机系统能够分解这个更大的八千一百九十二位公钥,那么隐藏在公钥内部的原始私钥就可以被揭示。RSA 加密保护将面临真正的威胁。
我们到处使用这种加密方法。所以,是的,这可能会是世界末日。中国研究人员在他们的论文中解释说,他们使用 D 波优势成功地分解了一个 22 位的 RSA 密钥,证明量子计算机可以解决密码学问题。
他们就这些。他们成功地分解了一个 22 位的 RSA 密钥。所以,量子计算机现在可以用来分解图像,但目前能量非常小。
如果我的记忆没有出错,几年前我们最后一次研究这个问题时,其他研究人员宣布他们通过分解一个更小的数字取得了突破,我想是 13 或 11 这样的数字。所以 22 位是一个更大的数字。
毫无疑问,这代表着重要的发现,是的,这是量子计算机技术在破解密码学方面取得的又一个突破。但是,目前公钥的强度,需要分解才能获取隐藏在其中的私钥,是八千一百九十二位。所以,目前 RSA 加密仍然是安全的。
分解保护似乎仍然完全安全。与此同时,这些突破让密码学研究人员感到紧张,这就是为什么我们的行业已经设计并部署了所谓的后量子算法的原因,这些算法不再依赖于分解问题提供的保护,事实上,它们被认为对量子计算技术完全不可解。我们之前在信号消息应用中讨论过这个问题。
它们已经具有量子安全性,但是由于这些新的量子安全算法仍然很新且未经验证,信号采用了使用既有成熟的,也有新的,但尚未经过验证的算法的策略,以确保双重安全。这样,信号用户已经受到保护,因为量子计算机使用突破的可能性是存在的,但即使发生了这种情况,我们仍然有传统密码学的备用方案。即使量子计算机能够破解一类密码,它们也在使用新旧算法。总之,我收到了很多听众的电子邮件,他们看到了这个标题。当然,我的观点在业内得到了回应。天哪,你知道中国量子计算机研究人员已经破解了我们的密码。
没有,没有发生。嗯,你知道,事情就是这样,对吧?它会逐渐被攻破。
下一代量子计算机将能够提高其强度。希望到那时,我们将迁移到后量子技术。
因此,当这种情况最终发生时,没有人会再使用这项技术。因此,可以预见这种情况会发生。好的。
现在,这发生在周末。我的一个朋友转发了一封包含 PDF 附件的垃圾邮件。
但是,这封垃圾邮件的开头引起了我的注意,因此它成为了今天的播客主题。尽管他的电子邮件地址没有包含他的姓名,但 PDF 邮件却以他的全名正确地发送给了他。我将阅读其开头部分,让大家了解情况。所以,邮件以他的姓名开头,然后是他的准确的电话号码,或者我看到,我知道打电话,然后是这个电话号码,或者访问他,然后是他的完整地址,这将是联系他的有效方式,以防他试图躲避。你不知道我还能做什么,然后是他的居住城市。
我每天收到很多这样的邮件。
好的,我以前从未见过这种情况。
这是一个附加到电子邮件的 PDF 文件。我不确定为什么是这样。
但是,这是一个附加到电子邮件的 PDF 文件。他很害怕,然后继续说,你知道,你有多糟糕,你看了哪些视频,等等,但是对我来说,最突出的是,它最终告诉他,为了防止这封邮件发送给他的朋友、家人和社交媒体联系人,他必须向一个比特币地址支付 2000 美元。我们实际上...
我实际上正在嘲笑这件事,因为我们的当地报纸报道说,一位参议员、一位民主党人,有 3 个居民受骗上当。但是,难道每个人都不时收到这些邮件吗?我的意思是,你不会收到这些邮件。我每天都收到。
我从未见过这种情况。
我将展示一个例子。我可以展示,因为这是地址和所有地址。我怀疑这一切现在是由国家公共数据泄露事件引发的。
我完全同意。
让我展示我的。我的意思是,这是,这是,你可以查看,因为这是电子邮件地址,sha-nei-x-DFT。这是一个完全虚构的电子邮件地址,对吧?我可以展示,因为这不是我的当前地址,对吧?这正是我在说的。
这就是你收到的电子邮件。
我每天收到很多这样的邮件。史蒂夫,好的,我以前从未见过这种情况。他以前从未见过这种情况,而且...所以对我来说,很明显,这与所有这些数据现在公开的这一事实直接相关。对我来说,真正让我心痛的是,有多少人真的会被这种恐吓所困扰。当然,很明显,你不是莱奥,但我绝对相信,当人们第一次看到他们的姓名、电话号码和地址时,他们仍然会认为自己拥有在线隐私,就像...
他们现在在网络世界中拥有任何隐私。
所以他们不会意识到,这是俄罗斯或朝鲜的某个组织,他们完全不了解他们,无法在他们的住处恐吓他们,而这些数据泄露却让他们暴露了地址。我想,我很高兴报纸在谈论这件事。
我们都应该...
是的,我真的很认为,你知道,这将是一个公共服务公告,以确保每个人都明白我们正朝着什么方向发展,我们的数据作为...你知道,我怀疑国家公共数据泄露事件就是一个例子,但这可能来自街景。
谷歌街景,我想这图片...
实际上甚至有财产。是的,那些关于...
遮挡摄像头的小贴士并没有那么无用。所以,对我来说,这是一个线索。这与中国骗子说“我拿到了你的 iPhone,你最好把它还给我”时使用的措辞相同。
他们也用这句话。“你不知道我在你的测试宠物里能做什么。”对我来说,这有点暗示。
我想说这些都是中国骗局,这些人也做很多类似的诈骗行为。这真的太...但是,是的,我真的担心像我妈妈这样的人,总是...
确切地说,是那些以前从未见过这种情况的人,他们仍然认为现代世界是安全的。
是的。
很悲伤。我想,我想我们应该...太可惜了,我不再做电台节目了。我过去常常在电台节目中谈论这些问题。
希望能够接触到好的...所以很明显,你与那种听众有联系,我相信你理解。我的意思是,他们打电话说,“天哪”,我的意思是,当人们看到这些信息,看到他们的电话号码和地址时,他们会怎么做。
如果你读了它,那真是可怕的。是的,它是。
它是。而且不需要读,因为很多人以前见过这些。但它绝对是...
你经历过这些。它是,你,再次,它是可怕的。所以,我以前从未见过,我从未见过所有这些信息...
一直关注你的可怜生活一段时间了。这是你的不幸。我发现了你的恶行。是的。
我...我得到了你做了一些肮脏事情的视频。顺便说一句,你的房子布置得不错。是的,我...如果有人读了这个,他们会...而且再次,他们不知道...
是的,这就是问题所在。不幸的是,这就是我们生活的世界。现在,这才是真正令人悲伤的地方。这只是有人说他们发送了 PDF 文件来规避电子邮件的例子之一。
当我开始思考时,我开始想,打开 PDF 文件并查看内容,所以我们休息一下,莱奥。我们接下来要谈谈欧盟刚刚做的事情,这对软件产品责任来说是一个重大的新闻。我觉得我们...
听说过,我们听说过它要来了。我觉得我们已经谈论过这个问题了。
好吧,这来了,等等你。
等等你。哦,天哪,他们要做什么?哦,宝贝,这真是个大问题。我不敢相信它会发生。我的意思是,这就像一个巨大的变化。好的。
好吧,在我们准备就绪之前,让我告诉大家本节的赞助商。一家小公司...
叫做闪点。
好的,因为我不...
离开,他们知道...
我有这些美味的日本零食记录。
颈部记录。你可以继续解码米饭烘焙到米饭...
我认为它们和...是的,它们有时有副产品。是的,我太喜欢它们了。是的,它们对你有好处,对吧?不。
好的,我们开始。本期安全现在由闪点赞助。对于安全领导者来说,2024 年一直是一个与众不同的年份。
如果你听过这个节目,你就会知道,对吧?网络威胁和物理安全问题持续增加。现在,地缘政治不稳定增加了新的风险和不确定性。
让我们谈谈数字。去年,当我看到这个数字时,我震惊了,勒索软件攻击增加了 84%。这几乎是 34% 数据泄露率的两倍。
这可能被低估了。结果是,全球数万亿美元的财务损失和安全威胁。我知道你听这个节目是为了了解这些信息。
我还有另一个很棒的解决方案,它被称为闪点。现在,你想象一下,一个政府有情报机构,对吧?这就是我们拥有情报机构的原因,以便他们密切关注,了解正在发生的事情,以便我们能够提前预警。
企业呢?这就是闪点所做的。闪点让组织能够做出那些至关重要的决策,以保护其人员和资产的安全。
它通过结合尖端技术和世界级专家的专业知识来实现这一点。现在,有了闪点屡获殊荣的威胁情报平台,你就能获得你需要的一切,关键数据和情报。
你还能获得警报和分析,所有这些都在一个地方。它可以帮助你最大限度地利用你的现有安全投资,并节省你的资金。一些闪点客户每年避免数十亿美元的欺诈损失,并在六个月内获得 482% 的回报。
难怪闪点获得了弗罗斯特与沙利文 2024 年全球产品领导力奖,以表彰其在威胁数据和情报方面的杰出表现。史蒂夫,直到我与他们交谈,我才知道这个类别存在。这真是太酷了。
让我引用一位大型美国金融机构的网络运营高级副总裁的话。他说,“闪点每年为我们节省超过 8000 万美元的欺诈损失。他们积极主动的方法和深刻的见解对于保持我们金融机构的安全至关重要。”
他们不仅仅是一个解决方案。他们是一个战略合作伙伴,帮助我们走在网络威胁前面。信息就是一切,对吧?难怪闪点受到全球关键企业和政府的信任。
甚至政府也使用闪点来访问业界最佳的威胁数据和情报。今天访问 flashpoint.io。闪点提供最佳数据和情报,以帮助你保持安全。
闪点.io,这是一个有趣的业务。我不知道这些业务存在,但这很有意义,对吧?政府有情报机构。
企业也需要这样做,我知道为什么你听这个节目。同样的道理,对吧?好的。继续,吉布森先生。
好的。因此,正如我们的长期听众所知,我们播客的长期观察之一是软件行业中由软件许可协议造成的扭曲,这些协议普遍声明不承担任何使用和操作软件的任何后果的责任。
汽车的轮子不会脱落,我们之所以驾驶汽车,仅仅是因为如果汽车的轮子脱落,任何汽车制造商都会立即倒闭,因为严格的产品责任将会让公司瞬间消失。但在软件行业中,情况却并非如此,软件用户别无选择,只能在软件许可协议中放弃所有权利,以换取使用软件的权利,而不管软件质量如何。这就像,哦,你不想使用它,那就别签字。
但是,如果你同意,那么你知道,我们对产品质量或其适用性的任何特定用途不做任何声明,这些措辞在所有许可协议中都有。因此,我们的听众也知道,我百分之百地理解错误会发生,并且知道一个复杂软件系统的完美运行可能无法实现。但与此同时,在播客的这些年中,我们考察了无数由故意政策,而不是错误,造成的严重后果,这些政策只能被描述为纵容某些软件生产商的持续恶劣行为。
这种行为以及支持这种行为的政策,都明确地受到软件使用许可协议的保护。我经常想知道,什么时候以及如何改变这种情况,因为事情的现状感觉不对。改变可能即将到来。我不知道如何看待欧盟在产品责任法中明确包含软件责任,同时取消软件许可豁免的这一重大变革,因为这似乎过于激进,无法真正发生。
但它确实发生了,你知道吗?总之,时间会证明一切。这一举动进入法律程序,肯定意味着某些事情,即使它没有立即或完全生效。
我应该知道,它不会在两年内生效。所以,这给了我们一些时间来应对。我不确定他们为什么要这样做。
不是两年,但我们会知道的。好的。让我们后退一步,解释一下正在发生的事情。
我第一次了解到这件事,是通过最近风险业务新闻通讯的第一条新闻。他描述了以下内容,请仔细听,因为这是...他们写道,欧盟已更新其产品责任法,以涵盖软件及其相关的风险,例如安全漏洞和计划淘汰。
欧盟关于有缺陷产品的责任新指令取代了欧盟最古老的指令之一,它将为消费者提供在法庭上起诉销售有缺陷产品的公司的工具。对旧指令的最大改变是将软件产品添加到受涵盖商品的清单中。
欧盟销售或希望在欧盟销售的公司,如果未能投资适当的软件开发和网络安全措施,将不得不对其当前的商业模式进行重大调整。新指令将责任延伸至包含安全漏洞的软件供应商,如果这些漏洞导致消费者任何损害。这包括由有缺陷或不安全的软件造成的物理损害,但也包括物质损害,例如功能和特性的丧失、财务资产和其他资产的损失。
该指令还将缺乏软件更新机制归类为产品缺陷,这使得供应商承担责任。软件供应商还被禁止隐瞒软件更新的负面影响,只有当软件更新需要消费者手动安装时,才可免除责任。但一般而言,只要供应商在销售后对其产品拥有控制权,则供应商就承担责任。
该指令还将责任延伸至使用任何类型的计划报废系统以人为地缩短产品寿命的供应商。我不得不说,其中一些内容,例如,触及了我们过去一段时间看到苹果公司所做的一些事情的边缘。他们表示,这包括旨在减慢设备硬件组件速度的软件,或在特定时间段后使其失效,或降低软件性能的更新。
这仅仅是针对苹果公司的援助。
是的。为了鼓励用户迁移到新的服务、层级或产品,公司也可能因误导消费者关于产品耐用性、可靠性或预期寿命而承担责任。该指令要求受害者证明产品存在缺陷,但它还增加了新的法律机制,迫使供应商提供必要的证据。
新规将免费和开源软件排除在其要求之外。欧盟议会今年早些时候批准了这项新指令,欧盟理事会本月早些时候也批准了这项新指令。预计将于2026年秋季生效。
好的,我现在相信卡塔兰的报道,但我需要亲眼看看,我们的听众也需要听到这个消息,所以我找到了欧盟的63页文件,莱奥,我在第五页底部找到了链接。就我所见,他没有任何错误。嗯,好的。我将从整个文件中挑选几段,让大家了解一下。在解释了为什么旧指令不再适用之后,新指令解释说,与其试图修改旧指令,不如完全用新指令取代它,这将带我们进入第六段,其中写道,为了确保欧盟的产品责任制度全面有效,所有可移动物品,包括软件,都应适用产品责任无过错原则,包括当它们集成到其他可移动物品或安装在...
在可移动物品中...
可移动物品...
例如...
手机,他们能否实际描述它?我想它之前有提到,但他们说包括软件,这就是我一直在说的。为了让大家清楚地了解无过错责任的法律定义,我在网上找到的一个例子说,无过错责任是指即使您没有过失或责任,也必须赔偿某人造成的损害的法律责任。
例如,如果您拥有危险的动物,而我伤害了某人,即使您没有想要那样做,您也必须对他们的伤害负责。好的。因此,从软件发布者的角度来看,根据这项新指令,任何可能造成的损害,即使是无意的损害,也不会免除他们的责任。第三十段解释说,在数字时代,产品可以是实物或非实物软件,例如操作系统、固件、计算机程序、应用程序或人工智能系统。
顺便说一句,人工智能也在此处发挥着重要作用,它在市场上越来越常见,并且在产品安全方面发挥着越来越重要的作用。软件可以作为独立产品投放市场,也可以随后作为组件集成到其他产品中,并且它可以通过其执行过程造成损害。为了确保法律的确定性,本指令应明确指出,软件是适用无过错责任的产品,无论其供应或使用方式如何,因此,无论软件存储在设备上、通过通信网络或云技术访问,还是通过软件即服务模式提供,都应如此。然而,信息本身不应被视为产品,因此产品责任规则不应适用于数字文件的內容,例如媒体文件或电子书,或软件的简单源代码。软件开发人员或生产商,包括人工智能系统提供商,应被视为制造商。接下来是第十四段,它完全豁免了开源软件。它写道,免费和开源软件,其源代码公开共享,用户可以自由访问、使用、修改和重新分发该软件或其修改版本,可以促进市场上的研究和创新。此类软件受许可证的约束,允许任何人自由运行、复制、分发、研究、更改和改进软件。
为了不阻碍创新或研究,本指令不适用于在商业活动之外开发或提供的免费和开源软件。由于通过这种方式开发和提供的产品,按定义,并未投放市场,因此开发或贡献此类软件不应被视为将其投放市场。在开放的存储库中提供此类软件不应被视为将其投放市场,除非是在商业活动中进行。
原则上,非营利组织提供的免费和开源软件不应被视为发生在商业环境中,除非此类供应发生在商业活动中。但是,如果软件是作为价格或个人数据(用于改进软件安全、兼容性或互操作性以外的其他用途)交换而提供的,则属于商业活动,因此本指令应适用。然后,我们有由外部服务增强或依赖的外部服务的问题。
那么责任在哪里?第十七段写道,数字服务越来越多地集成到或与产品互联互通,以至于服务缺失会阻止产品执行其功能。虽然本指令不应适用于此类服务,但有必要将无过错责任延伸至此类集成或互联的数字服务,因为它们与产品安全一样重要,就像物理或数字组件一样。
这些相关服务应被视为集成或互联到产品中的组件。它们应在产品制造商的控制之下。相关服务的示例包括导航系统中持续供应的交通数据、依赖物理产品传感器来跟踪用户身体活动或健康指标的健康监测服务、监控和调节智能冰箱温度的温度控制服务,或允许一个或多个产品通过语音命令进行控制的语音助手服务。
互联网接入服务不应被视为相关服务,因为它们不能被视为产品的一部分,并且在产品制造商的控制之下,并且让制造商对互联网接入服务缺陷造成的损害承担责任是不合理的。然而,依赖互联网接入服务且在连接中断时未能维持安全性的产品,根据本指令,可能会被认定存在缺陷。最后,我一直在思考许可协议中始终存在的排除条款,这,众所周知,一直是我的一个关注点。
本指令直接解决了这个问题,立法第五十六条指出,如果可以限制或排除经济运营商的责任,则保护自然人的目标将受到损害。因此,出于同样的原因,不应允许任何合同条款限制或排除责任,例如,通过设定经济运营商责任的财务上限。好的,由于我不是法律专业人士,我无法对欧盟刚刚做出的决定的最终影响发表任何意见。
但我可以阅读,并且应该非常清楚的是,软件行业的某种产品责任方面正在发生变化,至少在欧盟适用时是这样,即使这会遇到很大的行业阻力,也很难想象它不会发生。过去半个世纪的软件出版,在没有问责制或后果的世界中,以豁免权运营,可能即将结束。在过去的五十年里,软件和互联网逐渐发展成为真正的任务关键型系统,但由于惯性,许多旧的做事方式仍然存在。
我们已经对此进行了更深入的讨论,但今天仍然如此。但是,程序员仍然选择使用C或汇编等不安全且未经管理的语言进行不负责任的编码。想象一下,我们已经看到有关于大型项目故意使用更安全和更安全的语言的报告,这些语言至少能够处理持续存在的错误,例如使用后释放,这些错误一直困扰着今天的代码。
但是,这些有意的且昂贵的重写工作仍然是例外,而不是常态。它需要成为常态。因此,欧盟等立法,在生效前有24个月的宽限期,可能会提高警惕,最终促使人们认真考虑如何完成未来的编码,以减少可能使出版商面临合理产品责任索赔的情况。你知道,我只是列出了我最喜欢的两种语言。让我明确一点。
完全有可能用C或汇编语言编写安全可靠的代码。只是这样做要昂贵得多。你知道,控制美国航天飞机计划和两艘旅行者太空探测器的飞行计算机都是用汇编语言手工编写的。
它们都证明是极其可靠的成就。归根结底是经济问题。我们知道,我用汇编语言编写所有内容,我生产的所有内容都没有出现过错误。
我很少修改我的最终产品,以添加新功能,但我也有不寻常的自由,我没有截止日期,更重要的是,我没有截止日期。这并非世界上大多数程序员都能享有的奢侈。因此,对于几乎所有其他人来说,最经济的策略是使用下一代内存安全语言。
这是避免未捕获错误转化为可利用安全漏洞的唯一策略。因此,我将密切关注欧盟新的软件责任立法的结果。我的意思是,这是一件大事。它也会来到这里。
但这也是美国政府国家网络战略的一部分,他们去年宣布了软件责任。这既是为了安全原因,也是为了责任原因。
看看我们遇到的问题,例如微软没有更新那个旧租户,中国进入美国政府机构的电子邮件。我的意思是,我永远不会忘记...
我见过的第一个软件许可证,可能是在 80 年代的 Atari 800 上。我们所做的所有声明,没有保证该软件可用于任何用途,将做任何事情,将按我们所说的去做。
这不是我们的错。我...
要爆炸的全部回应。
真的令人感动。是的。
但我明白人们对软件没有信心,而且他们永远没有。狗是否采用 Ada 作为一种尝试,以创建一种可靠的安全编程语言?这项倡议发生了什么?
我不知道。人们仍然在用 COBOL 编程。
当时,我应该说是内存安全、内存硬、强类型。我认为程序员不喜欢它,因为它太强类型了。
它需要大量的样板代码,他们真的不喜欢那样做。这就是我的感觉。但无论出于何种原因,我不认为它现在被广泛使用了。
不,我认为毫无疑问,我们现在拥有如此强大的计算能力,我们可以牺牲一些严格的效率水平,以换取安全性和使用保护程序员的语言。
你知道,如果我正在指导人们,我知道我们有在大学和高中水平的听众,他们正在思考他们应该做什么,我不会...每个人都认为学习汇编语言,例如,基本上是机器语言,使用备忘录使其更易于理解,有助于真正理解计算机硬件级别的运作。我无法反驳这一点。
但是,如果您想找工作,并且希望受到重视,我敢打赌,未来在于真正掌握安全可靠的计算机编程。我认为这就是我们前进的方向。我的意思是,像这样的倡议将再次改变,这与经济有关。你知道,这是驱动因素,还有很多惯性。我们知道,我唯一放弃汇编编程的方式就是被埋葬...
是的,你知道,人们在聊天室中提到美国,这是米特。什么?是的,是的。
但是,还有其他选择,还有其他选择。我的意思是,这绝对是编码人员中的一种运动。编写语言的人绝对...
正在努力解决这个问题。而且,我们看到的是,这些变化发生时,行业一直在尝试这些事情,你知道,这一切都始于学术界,在那里存在各种各样的奇怪语言。
为了探索这个想法,需要很长时间才能从他们的解释中真正转移出来,并且必须有人了解它们。因此,我强烈建议您查看 Rust 或其他语言。其全部目的是安全,因为编写安全应用程序正在变得越来越好。
游戏时间。
微软的电脑头条新闻是微软表示它失去了一个月的客户安全日志。S、H 和科技新闻报道了标题。微软表示,它失去了客户的数周安全日志。云产品,最好从源头开始追踪。
我找到了微软自己关于这件事的报告,在标题为“发生了什么”的部分,他们写道,这是微软路由器,他们写道,从 9 月 2 日 UTC 23:00 开始,微软监控代理之一的错误导致一些代理在将日志数据上传到我们的内部日志平台时出现故障。好的,没有人知道这意味着什么,但听起来不错。这导致受影响的微软服务完全丢失了日志数据。
这个问题没有影响任何面向客户的服务或资源的正常运行时间。它只影响日志事件的收集,你知道,我们称之为给它一个好的说法,他们说。此外,这个问题与任何安全漏洞无关,除了它本来应该很好地记录下来,以便您能够检测安全漏洞,如果您没有日志,您就无法检测到安全漏洞。
但接下来让我感到震惊的是,问题于 9 月 5 日被发现。在发现问题后,我们的工程团队开始调查,并于 9 月 19 日开始实施临时解决方案,以减少这些故障的影响。好的,这些日期引起了我的注意。他们说问题于 9 月 5 日被发现,他们的工程团队开始调查,并于 9 月 29 日开始实施临时解决方案,以减少这些故障的影响。
换句话说,在他们最初发现这个问题和开始调查并实施临时解决方案之间,已经过去了两周。这听起来好像日志记录不是他们优先考虑的事情,尽管考虑到他们客户缺乏日志记录所带来的所有问题,人们可能会认为他们会更加关注。我想不是。好的。我、DJ、I 诉讼...
...国防部。
...国防部。
...不是国防部。他们...
...国防部。是的,是的。因此,DJI,这家中国无人机制造商,可以说是每个人都使用的最好的小型消费无人机,已经起诉了美国国防部。
国防部,听取他们的说法,作为中国军队的代理人,新闻服务发布了新闻,其中包含一些有趣的信息,他们写道,华盛顿特区。中国无人机制造商 DJI 于周五起诉美国...
...国防部,因为他们将无人机制造商列入了一份据称与北京军队合作的公司名单,并表示该指定是不正确的。
也就是说,DJI 表示该指定是不正确的,并且给公司造成了巨大的经济损失。是的,不,孩子。DJI,对吧?全球最大的无人机制造商,销售了超过一半的美国...
...商业无人机,要求华盛顿特区美国地方法院下令将其从五角大楼的名单中删除,该名单将其指定为中国军事公司。
引号说,引号说,它“既不拥有也不受中国军队的控制”,引号说,将其列入名单,他们写道,是对美国实体和公司发出警告,关于与 DJI 合作的国家安全风险。
诉讼称,由于国防部“非法且错误的决定”,它“失去了商业交易,被贴上了国家安全威胁的标签,并被禁止与多家联邦政府机构签订合同”。是的,这会发生。引号。
该公司补充说,美国和国际客户已经终止了与 DJI 的现有合同,并拒绝签订新的合同。DJI 于周五提起诉讼,此前国防部在 16 个月以上的时间里没有就该指定与该公司进行沟通,表示除了在联邦法院寻求救济之外,别无选择,这正值世界两大经济体关系紧张之际。
更新的名单是华盛顿近年来采取的众多行动之一,旨在突出并限制中国公司,这些公司据称可能会增强北京的军事实力。名单上有很多中国公司,包括航空公司 AVIC、内存芯片制造商 YMTC、中国移动和能源公司 CN OOC。DJI 在美国面临日益增长的压力。
上周早些时候,DJI 告诉路透社,海关和边境保护局正在阻止一些 DJI 无人机进入美国,理由是“强迫劳动预防法”。DJI 表示,其制造过程中没有涉及强迫劳动。美国立法者一再表达了他们的担忧。DJI 无人机构成了数据传输、监视和国家安全风险,而该公司对此予以否认。
最后,上个月,美国众议院投票禁止 DJI 新无人机在美国运营。
这项法案正在等待美国参议院的行动,商务部上个月表示正在征求意见,以决定是否对中国无人机实施限制。
这将有效地禁止它们在美国使用,类似于拟议的中国车辆限制。好的。我们之前已经讨论过这个问题。所以这并不令人惊讶。
我认为,这是这样一种情况,我认为完全有可能看到双方在这个论点中应用的逻辑。不能说没有任何东西能比配备摄像头的飞行无人机更完美地成为间谍设备。你知道,它们本质上是飞行摄像头,而 DJI 是其中最好的。
我们之前讨论过,DJI 无人机正在美国军事基地积极使用。甚至在秘密军事基地,DJI 无人机也接收软件更新。因此,理论上讲,中国政府可以命令 DJI(一家中国制造商)修改其固件,使其无人机变成主动间谍摄像头,无论公平与否,理论上或其他,这都会让我们的军事规划者和将军们彻夜难眠。
我认为,要做到这一点,DJI 必须基本上创建一个独立的美国 DJI 版本。作为一家独立的美国
公司,DJI 中国可以生产无人机机身和所有硬件,这正是大部分成本和价值所在。唯一的例外是无人机的电路板,它将使用美国已知的组件在美国制造,这些组件是为此目的采购的。
然后,美国 DJI 无人机控制板将被刷写固件,该固件已由美国技术代表审核和检查。DJI 需要建立美国无人机摄像机录像上传云服务器。
没有任何与中国的联系。唯一的联系将是接收来自中国的无人机机身。这显然会给 DJI 带来巨大的负担和成本。
但我看不到任何其他妥协方案。这并不完全公平。
但危险,即使只是理论上的,也如此之大,我认为 DJI 需要考虑类似的解决方案。你知道,如果他们想保留美国
市场,不幸的是,你知道,我们对他们来说是一个很大的市场。美国和中国之间的紧张关系正在加剧,并非没有原因。我的意思是,你知道,莱奥,我们谈论过中国支持的网络攻击在美国发生的次数,你知道,在美国内部。因此,紧张局势当然会很高,我们大概会付出与我们得到相等的代价。
我相信,如果存在这样的东西,中国毫无疑问会将美国无人机引入中国市场。这是我们不将其在美国制造的原因之一。
中国历史上对美国进口商一直非常不公平。
其中一个原因是,无人机在 iPhone 发布后不久就起飞了。我记得去过,是的。我在 2008 或 2009 年的停车场看到了我的第一架无人机。
原因是,我们教导中国制造商必须制造所有这些组件。他们开始大量生产加速度计等组件,然后开始将它们放入自己的产品中。我的意思是,这理想情况下应该是事情运作的方式。
坦率地说,这真是令人遗憾。DJI 无人机真是太棒了。他们刚刚发布了一款全新的 200X 无人机,不可能坠毁。我的意思是,它只是非常,但我完全理解这种担忧,因为你是对的。这将是完美的。
是的,是的。以及什么。
通常会上传到云端?我的意思是,你可以禁用该功能,它不是关键功能,我不知道这是否。
会让它更好,当然,问题是。
他们无论如何都可以做到,是的,因为它们。
并非完全以某种方式连接到互联网,安排使其可验证地正确,是的,情况发生了变化。让我们休息一下。然后我们来谈谈国防部作战司令部想要获得先进的深度伪造技术,这次是司法部,深度伪造能力。
不,不,我不是国防部。我不知何故卡在了司法部上。好吧。
所有这些部门都有一些重叠之处。因此,我理解我们很快就会回到这个引人入胜的话题。但首先,我们的安全领域赞助商的一句话。
现在,看看。我只是想看看,看看,看看。当你听节目时,你可能会说:“哦,我的上帝,看看。”
今天,每家公司都在从事数据管理工作,对吧?这意味着每家公司都面临着数据泄露和数据丢失的风险。这就是我们在节目中谈论的内容。网络威胁、违规行为。
泄露,每个人。
网络犯罪分子每天都在变得越来越复杂。现代违规行为几乎是瞬间发生的。这不需要很长时间,几分钟,而不是几个月,因为大多数敏感公司数据都已迁移到云端,传统的边界不再存在,保护这些数据的策略从根本上发生了变化。
从第一条钓鱼短信到最终的数据窃取,Lookout 能够像违规行为发生时一样迅速阻止现代违规行为,无论是在设备上、云端、网络上,还是在当地咖啡馆远程工作,Lookout 都能为您提供对所有数据(静止和动态)的清晰可见性。您可以监控、评估和保护,而无需牺牲生产力来换取安全性。通过一个统一的云平台,Lookout 简化和增强了对当今世界的安全重新构想。
立即访问 lookout.com。了解如何保护数据、保护混合工作并降低 IT 复杂性。这是 lookout.com。谢谢。感谢您支持 Steve 在安全现在节目中所做的出色工作。感谢您通过支持我们,如果他们问,说:“嘿,我听说过安全现在节目,如果 Steve 给 lookout.com 回信,Steve。”
《拦截》报道称,美国国防部正在寻找先进的深度伪造技术。拦截的标题是五角大楼想用人工智能创建深度伪造的互联网用户,副标题是国防部正在寻找这项技术,以便能够制造与真实人物无法区分的在线化身。
他们写道,美国秘密特种作战司令部正在寻找能够创建深度伪造互联网用户的公司,这些用户如此逼真,以至于人类和计算机都无法检测到它们是假的,据《拦截》杂志审查的一份采购文件显示。国防部联合特种作战司令部 (JSOC) 的一份 76 页的愿望清单中提到了该计划,其中概述了该国最精锐的秘密军事行动所需的先进技术。该条目写道,特种作战部队。
特种作战部队对能够生成逼真的在线化身以用于社交媒体平台、社交网站和其他在线内容的技术感兴趣。该文件指出,JSOC 想要能够创建在线用户配置文件,这些配置文件“看起来像一个独特的人,可以被识别为人类,但实际上并不存在于现实世界中”。
该文件还指出,每个特征都包含多种表情和政府身份照片,以及虚假人物的静态图像。该解决方案应包括面部和背景图像、面部和背景视频以及音频层,JSOC 希望能够从这些虚构人物中生成自拍视频。这些视频将包含不止一个虚构人物。
每个深度伪造的自拍都将附带匹配的虚构背景,以创建社交媒体算法所接受的虚拟环境。五角大楼近年来已被发现使用虚假社交媒体用户来促进其利益。2022 年,Meta 和 Twitter 移除了一个由美国中央司令部运营的宣传网络,该网络使用虚假账户,其中一些账户的个人资料图片使用与 JSOC 概述的方法类似的方法生成。2024 年,路透社的一项调查揭露了一项特种作战司令部活动,该活动使用虚假社交媒体用户旨在破坏外国对中国疫苗的信心。
去年,特种作战司令部 (SOCOM) 表达了对使用视频深度伪造(一种用于合成音频视频数据的通用术语,旨在与真实记录无法区分)的兴趣,用于“影响活动、数字欺骗、通信中断和虚假信息活动”等。这些图像使用各种机器学习技术生成,通常使用经过训练以识别和重现人类特征的软件,通过分析大量面部和身体数据来实现。今年 SOCOM 的愿望清单中提到了对类似于 StyleGAN 的软件的兴趣,StyleGAN 是 NVIDIA 在 2019 年发布的工具,它为全球流行的网站提供了支持。在 StyleGAN 发布一年后,Facebook 表示已删除了一个使用该技术创建虚假个人资料图片的账户网络。
从那时起,学术界和私营部门的研究人员一直在进行一场竞赛,以创造难以检测的深度伪造新方法和检测它们的新方法。许多政府部门现在要求所谓的“实时身份验证”来识别深度伪造的身份照片,要求人类申请人上传视频以证明他们是一个真实的人,这是 SOCOM 可能感兴趣的障碍。当然,这让我印象深刻,因为正如我上周分享的那样,有人要求我将我的想法放在头上,然后在与数字人物交谈时将我的手放在它前面,以验证我的实时身份。所以,莱奥,我们离画布还很远,我们离梅伯里也还很远。哇。
老实说,我的意思是,这是对俄罗斯采取相同行动的回应。
对吧?没错。众所周知,朝鲜一直在招募自己的特工,并假装是美国企业中的国内求职者,以便渗透美国企业。
是的,我认为这大部分都是针对社交网络的,我的意思是 Twitter 或其他社交网络上充斥着俄罗斯的傀儡,他们假装是美国人,身份相当可信。我相信我们只是想以同样的方式回应,我的意思是,这是不可避免的。
我想是的。我们生活在一个这样的社会中,你知道,我们政府正在做的事情,比如这样,并不是高度机密的,就像我们现在所处的位置。我们发布了一份要求,说明国防部需要帮助来完成这项工作。
他们将要做到这一点。
哇。好的。我非常喜欢接下来的这一部分。嗯,我们正在谈论被伪造的东西。
微软正在开展一项大规模欺骗活动,该活动向钓鱼网站提供虚假凭据。这些凭据会导致您的租户访问虚假公司。换句话说,微软拥有可以读取电子邮件以检测钓鱼邮件的机器人。
一旦检测到此类钓鱼邮件,这些机器人就会故意访问钓鱼网站,假装是受钓鱼活动愚弄的真实人物。但这些钓鱼受害者机器人会提供虚假的登录凭据,进而导致虚假公司网站,这些网站已在您的云租户中建立。所以基本上,他们通过引导创建钓鱼网站的坏人相信一个真实的人被卷入其中,然后提供他们的凭据来击败坏人。
微软表示,威胁参与者随后会使用这些凭据登录这些云蜜罐,大约有 5% 的案例,但这仍然是 20 分之 1,这已经足够了。微软随后会使用从蜜罐收集的数据来了解、发现和记录坏人正在使用的各种新技术。我提到,威胁参与者大约需要 20 天才能发现欺骗并停止登录账户。但到那时,微软已经收集了他们需要的所有数据。
很好。所以,伙计们,保持关注。是的。
所以,如果他们正在做这些事情,而不是在几周内修复他们有问题的日志记录问题,我应该给他们一些宽容,因为这似乎非常积极主动。
这是一家大公司,他们做了两件事。
也许三件事,只是长篇大论,写道:“嘿,史蒂夫,在听完你对 BIMI 的报道后,BIMI 背后的技术似乎很可靠。但是,我甚至不会告诉用户这件事,更不用说让他们依赖它了。这是一种将事情简化到最简单的程度。
只需查看徽标,您就知道它是安全的。我的担心是,骗子们会开始在电子邮件正文中包含徽标文件,并附上“由 BIMI 验证”的字样。然后,正如他所说,例如,会计部的加里看到徽标,认为点击它很安全。
他写道,在我看来,这并没有帮助解决问题。如果有什么的话,它让大多数用户,特别是那些风险较高的用户,感觉更安全。谢谢你的所有工作。这播客对我很有效,贾斯汀。
所以,这正是我也担心的问题,你知道,你怎么知道它是真的?
为了记录,我完全同意贾斯汀的观点。我喜欢在任何人的 BIMI 徽标可能出现的地方显示 GRC 徽标的想法。虽然,正如我们上周看到的,这可能会非常麻烦,但至少就目前而言,如果只是实验,对我来说值得一试。
但我认为很明显,电子邮件已经如此混乱,所有这些都只能是,你知道,一个机会主义的徽标。对于那些足够关心并希望在任何收件人的收件箱中显示其公司标识的人来说,这仅仅如此而已,仅此而已。我之所以认为这些家伙创造了所有这些几乎看起来很疯狂且过度的安全措施,原因就在于此。
我们接下来要做什么?这又回到了你应该学习什么语言的问题。我们接下来要做的任何事情都应该尽可能安全。
正如我上周在探索 BIMI 的结尾所指出的那样,我们的行业一直在不断降低标准,因为害怕低采用率。我们可以说,设置过高的标准,这就像“先到先得”,这需要应用程序、硬件令牌或你知道,单独的物理令牌。它从未起飞,因为标准设置得太高了。
结果证明,“先到先得”是错误的。世界并没有急于购买这些令牌,但一旦他们放弃了这一点,并允许我们的智能手机和生物识别登录计算机也成为客户的“先到先得”,那么突然间,我们得到了包,它实际上发生了。所以,我的意思是,这确实有一些意义。
但在电子邮件的情况下,我认为这是正确的事情。嗯,所以,如果这最终也作为垃圾邮件过滤器的另一个信号,那么我很高兴 GRC 能获得在提供商关心的地方拥有官方批准的 BIMI 徽标的荣誉。否则,我同意,我同意你的观点,这只是要求太多。
与此同时,我们的第二位听众凯文·迪什·MDT 写道,他说他目前是 Cure International 的技术主管,但之前在 Mailchimp 工作过,Mailchimp 是这项 BIMI 工作的参与者之一,所以他对 BIMI 非常了解。嗯,他说,他写道,这是我的 Google Workspace 电子邮件中出现的万事达卡电子邮件。他说,请注意蓝色复选标记和悬停时显示的文本。
果然,在他的案例中,有一个带有复选标记的小蓝色印章。如果你悬停在上面,你会看到一个弹出窗口,上面写着:“此电子邮件的发送者已验证,他们拥有万事达卡 .com 域名和徽标。”
所以,然后它有一个突出显示的标签。了解更多信息,如果你点击它,你会看到 BIMI 的解释。所以 Google 正在显示的不仅仅是徽标,正如我们经常看到的,它可能只是网站的 favicon,你知道,只是从那里提取的图标。
但是在这里,嗯,Google 显示了一个小蓝色复选标记,所以我们看看这个目标在哪里,嗯,这就是反馈。正如我在节目开始时所说,我最初计划有更多内容,但有太多精彩的内容需要讨论,这让我们必须讨论凭证交换协议,所以我实际上没有时间讨论更多内容。所以,少一点。
让我们休息一下。好的?然后我们将看看如何让提供者能够在环境之间移动凭证集合。优秀。
我们稍后会回到凭证交换协议这个最重要的主题。你知道,史蒂夫,问答环节的重点只是让你对事情发表看法。所以只要我的意思是。
整个节目里有很多内容。
我们热爱我们美好的社群。他们真的非常棒。如果你在Security Now社群中,谢谢您。如果你还不是Club TWiT成员,请加入。我们很乐意欢迎你加入。每月7美元,即可免费收听本节目以及所有节目的内容,以及额外的独家内容,并获得Discord访问权限。
但你主要做的就是确保我们能够继续做节目,以及我们所有的IT节目。它不会进入我的口袋,而是进入我们令人难以置信的团队和所有设备的口袋。做这件事并不便宜。它变得更便宜了。
我们已经收紧了腰带,但我们需要你的帮助。访问twit.tv/clubtwit,如果你感兴趣。我们的节目又带给你我们最喜欢的另一个节目——Steve Bit Warden,一个开源密码管理器,在许多情况下提供经济实惠的解决方案,可以显著提高你在线安全的机会。我认为,所有收听Security Now的听众都非常清楚,密码管理器对于保持在线安全至关重要。
但我认为你们很多人可能也有朋友和家人,他们坚持用宠物的名字、生日和母亲的名字或其他任何东西来设置密码。而且他们还在重复使用这些密码,在各个地方重复使用。我们知道这是多么危险。请使用Bit Warden,让你的朋友也使用它。它是一个免费的开源产品,所以他们没有借口。
好吧,我不想为此花钱。不,你不必。它是免费的。
现在是让大家使用它的好时机,因为大型假日购物季已经开始了,对吧?我们刚刚经历了“Prime Day”、星期五、网络星期一。人们可能会在线购买东西。
坏人知道这一点。因此,钓鱼方案会大量出现。对于你的在线购物,峰值安全是必须的,Bit Warden通过其浏览器扩展程序帮助你扩展了其在线自动填充功能。
他们一直有这个功能,你的浏览器扩展程序——Bit Warden浏览器扩展程序——会在登录页面填充密码。这非常有用,因为它不会在钓鱼页面上执行此操作。你知道那不是正确的页面,所以它不会执行此操作。
现在,你可以将信用卡、借记卡、身份和包裹与同样的保护功能结合起来。它会让你与网页表单进行更安全的交互。你不太可能被钓鱼,以获取你的付款信息、联系地址等。
这非常重要。我只是希望每个人都使用Bit Warden。对于企业来说,它不是免费的,但它值得。它非常实惠,并且提供你想要的企业功能,例如无与伦比的SSO集成和非常灵活的功能。
你可以快速轻松地保护所有业务登录,使用你的单一科学安全策略,完全与SAML和DC进行比较。Bit Warden将与你现有的和未来的解决方案完美无缝地集成。这是一个非常容易升级的安全措施。数千家企业,包括一些全球最大的组织,都信任Bit Warden来保护他们的在线信息。
Bit Warden的开源代码可供任何人访问。它在GitHub上。它定期接受第三方专家的审核。
所以你知道,它正在做它所说的。切换到Bit Warden很容易。只需要几分钟。
他们支持从大多数密码管理解决方案导入。所以,如果你已经有密码管理器,那么切换到Bit Warden很容易。你可以两者兼得。
顺便说一句,在我转向Bit Warden之前,我使用过几个不同的产品。他们仍然有几个密码管理器在运行。前后切换非常容易,但我每天都使用Bit Warden。
我非常喜欢Bit Warden。你可以免费试用团队或企业计划,或者永久免费开始使用。作为个人用户,所有设备(iOS、macOS、Windows、Linux、Android)上的密码都是永久免费的。你甚至可以使用硬密钥,也就是你所说的FIDO密钥。访问bitwarden.com/twit。
我们使用它。我们喜欢它。我们向每个人推荐它,特别是那些仍然将密码写在屏幕旁边的便签上的朋友。访问bitwarden.com/twit。
谢谢。Bit Warden,我知道。
你们正在做重要工作,感谢你们支持Steve在这里在Security Now中所做的重要工作。好的,让我们谈谈我们正在谈论的通行证可移植性。
因此,我应该提醒大家,到目前为止,我们所拥有的只是该协议的概述。在该规范的最新版本准备好面向全球之前,还有很长的路要走。
例如,我在最近的文件中发现,看起来像(我在节目说明中包含了一个示例快照),用于使用指南的注入。它说,提供使用cxF格式导入和导出凭证安全性的指南。该程序称为usTub,没错。然后是4.1,导入凭证。解释使用这些cxF格式导入凭证的步骤和注意事项。不出所料,4.2,导出凭证。
导出到cxF格式。他们知道。
我们即将要说的,但我们还没有说。我甚至不知道他们是否已经着手解决细节问题。是的,关键就在这里。换句话说,我们几乎没有关于这个特定问题的实质内容。
不过,我毫不怀疑,各个参与者都在朝着同一个方向努力,并且他们完全打算在某个时候将其转变为可操作的规范文档。但目前,我们所拥有的主要是好意,尽管可能很少,但这里有足够的信息来拼凑出该系统的运作方式的完整图景。我们距离拥有足够的信息来创建可运行的实现还差得很远。
我甚至不知道它是否存在,但我们将能够了解该系统的工作原理。好的,让我们从8天前Wired的新闻报道开始。这是我们上周二包含在其中的内容,并且在10月14日(大型FIDO联盟认证会议在加利福尼亚州卡尔斯巴德举行的日子)的前一天就发生了。
被称为“通行证”的密码杀伤性技术在过去两年中得到了普及,由科技行业协会(即FIDO联盟)开发,作为一种更简单、更安全的认证替代方案。尽管超越任何像密码这样根深蒂固的技术都很困难,但本周推出的新功能和资源正在将通行证推向临界点。在加利福尼亚州卡尔斯巴德举行的FIDO联盟认证会议上,研究人员宣布了两个项目,这些项目将使组织更容易提供通行证,并使每个人更容易使用通行证。
一个是名为“凭证交换协议”(CxP)的新技术规范,它将使通行证在不同数字生态系统之间可移植,这是用户日益要求的功能。另一个是名为“通行证中心”的网站,开发人员和系统管理员可以在其中找到诸如指标和实施指南之类的资源,这些资源使在现有数字平台上支持通行证变得更容易,并更容易在现有数字平台上添加通行证。FIDO联盟的首席执行官Andrew CK在接受Wired采访时表示,这两个公告都是行业合作,以摆脱对密码的依赖。
他说,在CxP方面,我们有所有这些竞争激烈的公司,他们愿意在凭证交换方面进行合作。CxP由FIDO联盟凭证提供者特别兴趣小组开发的一组草稿规范组成。技术标准的制定通常是一个棘手的官僚过程。CxP的创建似乎积极且具有合作性。
来自密码管理器(例如OnePassword、Bitwarden、Dashlane、NordPass和1Password)的研究人员,以及身份提供商(例如Okta)以及苹果、谷歌、微软、三星和SK电信等公司,都参与了CxP的开发。他们表示,这些规范意义重大,原因如下。CxP的创建是为了解决长期存在的批评。
通行证可能会导致用户锁定,因为这使得人们在不同操作系统供应商和设备类型之间移动变得非常困难。然而,密码也存在类似的问题。允许你将所有密码从一个管理器移动到另一个管理器的导出功能通常会暴露危险,基本上只是将所有密码列表转储到纯文本文件中。通过单个密码管理器在设备之间同步通行证变得更容易。
但是,CxP旨在标准化在平台之间安全传输通行证的技术过程,以便用户能够自由安全地在数字世界中漫游。重要的是,虽然CxP的设计考虑到了通行证,但它实际上是一个可以应用于安全交换其他秘密(包括密码或其他类型的数据)的规范。谷歌的身份和安全团队产品经理Christian Brand在接受Wired采访时表示:“将来,这可以应用于移动驾驶证、驾照或护照等,任何你想导出到某个地方并导入到另一个系统的秘密。”
我们已经将通行证的大多数毛刺磨平了,但在过去一年中,主要的负面反馈之一是关于可移植性和潜在的供应商锁定。我认为,通过这项工作,我们正在向世界发出信号,表明通行证正在成长。通行证中心,一个资源存储库,同样旨在帮助生态系统扩展成熟的产品。希望实施通行证的企业或安全专业人员可能需要向高管进行业务案例演示,以获得项目预算。
FIDO联盟基本上旨在帮助他们进行演示,提供数据和沟通材料,然后通过实施和推出指南、用户体验和设计指南以及关于可访问性和故障排除的文档来支持他们的推出。CKR表示:“我们在通行证方面取得了惊人的进展。可用性和用户体验几乎已经到位,但我们确实有一个待办事项清单,我们正在积极处理。”
可移植性是该清单中的重要功能。虽然地球上最大的品牌现在都在大规模使用通行证,但还有很多公司尚未开始使用。因此,我们希望提供他们成功所需的资源和资产。Craig Newmark、L. Fu,你们……
要播放铃声吗?如果你想,我会播放铃声。
Newmark,我们大家都认识他,慈善事业,慈善事业。谢谢,Leo。网络公民防御联盟为推进通行证提供了一些资金。
在接受Wired采访时,Newmark表示,他相信通行证可以真正改变个人数字安全和整体互联网安全。当然,我们同意他们的观点。Newmark说:“网络上有很多脆弱的系统。
你需要让坏人更难破解密码方案。你需要让一切变得更安全。通行证是其中一部分。好的。
现在,考虑到这个主题缺乏实质内容,我们今天拥有的规范对这个问题和该协议预期将涵盖的应用领域提供了一个有用的介绍。事实证明,它不仅仅是通行证凭证传输,正如我们所说。因此,凭证交换协议规范(CxP)是如何介绍问题的。
它只是几个要点段落。一个要点列表。他们说,个人和组织使用凭证提供商来创建和管理凭证,以便使用更强大的身份验证因素。
这些凭证提供商可以在服务器、移动平台和桌面平台上使用,并且通常在同一提供商的不同实例之间共享或同步凭证是一项简单且常见的任务。然而,在两个不同提供商之间传输凭证在传统上一直是频繁且当前的,例如,当用户或组织尝试将凭证从一个提供商迁移到另一个提供商时。随着用户拥有和使用多个凭证提供商来创建和管理凭证变得越来越普遍,解决与迁移相关的安全问题变得越来越重要。
他们说,目前,凭证提供商应用程序通常会导出凭证以供导入,采用不安全的格式,例如CSV(逗号分隔值),这会损害提供商的安全性,并可能使凭证所有者容易受到攻击。凭证提供商没有导出凭证的标准结构,这有时会导致无法正确将一个或多个凭证迁移到新提供商。第三,由于设备策略或导入凭证提供商的算法功能不足,某些凭证可能不允许导入。最后,由于组织缺乏安全迁移用户凭证的方法,他们通常会应用设备策略,以防万一阻止将凭证导出到新提供商,选择为服务创建多个凭证。
换句话说,你知道,到目前为止,它们只是不可导出的。想法是,你知道,没问题,在苹果世界创建一个,在Windows世界创建一个。因此,他们最后说,为了支持凭证提供商的迁移能力,并提供在提供商之间更安全地传输凭证的方法,本文档概述了在离线或在线上下文中,代表用户或组织在两个凭证提供商之间导入和导出一个或多个凭证的协议,使用不同的密钥交换。
该协议允许在两个提供商之间创建安全通道或数据有效负载。好的。因此,该介绍描绘了一幅更通用的秘密交换协议的图景。
它显然很有用,而且令人惊讶的是,它在当今行业中也完全缺乏。不知何故,我们设法在没有通用定义的情况下走到了今天,即秘密所有者如何将其移动到其他地方。我认为,最终提出这一点表明了我们急需的成熟度。
到目前为止,我们行业的大部分都依赖于封闭和专有的生态系统。这种封闭性首先是自豪感,在某种程度上,通过承诺和提供竞争性开源软件和开放式开发而变得开放。但利润模式根深蒂固,我们已经看到一些开源软件基础有多么不稳定。
CxP文档指出,名称可能会更改。我注意到,对于比凭证更通用的东西,例如秘密交换协议,这将很好。总之,他们简要地写道,他们说,该协议描述了在同一设备或不同设备上由同一凭证所有者管理的两个凭证提供商之间安全传输一个或多个凭证的过程,能够在在线和离线上下文中运行。
该协议不对凭证数据从源提供商传递到目标提供商的通道做出任何假设。凭证提供商在迁移后销毁凭证也超出了范围。好的。
所以很好。他们保持明确,保持极度通用,并且能够在离线系统中运行这一点很重要。该规范确实概述了该协议的工作原理。
坦率地说,它没有什么特别的,这不是批评。事实上,恰恰相反,因为我们已经超越了密码应该令人惊讶的阶段,我们现在已经建立了经过验证的方法来实现我们所需的一切。好的。因此,草图如下所示。
计划接收凭证集合的接收者……被要求创建导出请求,然后提供给凭证提供商,也就是导出凭证的提供商。导出请求包含必要的详细信息,包括挑战、接收者希望接收的信息类型、可用的加密方案集,以及除非有权访问凭证提供商的公钥,否则它还将包含并稍后返回给他们的Diffie-Hellman密钥协商的公钥部分。好的,我记得Diffie和Hellman发明了一种巧妙的方案,允许两方在任何攻击者都能看到的情况下交换公钥。
在收到彼此的Diffie-Hellman公钥后,每个人都能构建并获得相同的共享密钥。这很奇怪,违反直觉,但它有效。实际上,我在Squirl内部的几个地方都使用了该系统。
好的?因此,凭证导入者使用椭圆曲线密码学级随机数生成器来创建唯一的Diffie-Hellman密钥对。它将私钥部分存储在内部,并将公钥部分包含在该凭证导出请求中,该请求已要求生成,如果最终用户或其他授权方批准并提供此导出请求。
导出者使用这些信息来创建加密有效负载。导出者所做的类似于生成自己的Diffie-Hellman密钥对,但它不需要保留任何记录。它将自己的私钥部分与导入者的公钥部分(位于导出请求中)结合起来,以创建密钥。这自动创建了一个共享的迁移密钥,并使用导出请求中提供的其他参数对其进行加密。它对导入者提供的挑战进行签名,并将刚刚创建的Diffie-Hellman密钥对的公钥部分包含在导出的响应数据包中。因此,导出的响应数据包将通过网络传递给希望接收凭证的凭证导入者。
这包括显然是这团加密的凭证数据,旨在进行挑战响应,以及凭证提供商的公钥部分(杜夫曼密钥对),该密钥对用于创建共享迁移密钥。凭证导入程序一直持有杜夫曼密钥对的私钥部分,该部分是导出请求的一部分。因此,它验证挑战,我将在第二部分详细说明,然后它将自己持有的私钥与导出程序在导出数据包中提供的公钥结合起来。这将重新创建相同的迁移密钥,该密钥可用于安全地解密导出数据包的内容。
因此,我们有一个直接应用杜夫曼密钥协商的例子,其中双方创建了相同的共享密钥,并使用它来交换包含用户凭证的加密数据包。在每个阶段,整个过程都是最先进的,安全的。也就是说,任何拿到数据包的人都无法解密它。任何看到导出请求的人也无法。
我们可以用它来以任何方式开发数据包。当我回到导入端时,该系统绝对安全。目前,该规范缺少的是,嗯,所有其他使它真正运行的细节。我们看到了很多空段落和标题,但段落是空的。但总体机制是清晰的,经过验证的,并且它会起作用。到目前为止,我们还不知道用户体验会是什么样子。
你知道,互联网是否会以某种方式用于双方进行会面并自动交换数据包,或者这是否只是一种选择?嗯,完全有可能使用 USB 闪存驱动器和所谓的“sneaker net”来完成所有这些操作。你直接去你想导入它的地点,你要求它创建一个导出请求。嗯,你带着 USB 密钥去拥有凭证的那一方,你告诉他们这是来自导入方的导出请求,请执行它并导出微生成,然后它会将一个数据块添加到你的 USB 密钥中。然后你带着它回到你想导入它的原始一方,说,这是数据包,然后那一方就可以开发该数据包并导入凭证。
所以要点是,用户要求凭证接收方为凭证中心创建一个导出请求。然后将该导出请求提供给凭证中心,凭证中心使用它来准备加密的数据包。当该加密数据包返回给凭证接收方时,接收方在原始导出请求中保留的剩余信息允许你安全地解密发送方的数据包。嗯,杜夫曼密钥协商的一个众所周知特征是,它缺乏对中间人攻击的保护。虽然杜夫曼密钥协商巧妙地创建了两个参与方之间的密钥协商机制,但它没有身份验证机制。
我描述的任何内容都不会阻止攻击者以某种方式插入参与方之间,从而冒充对方,因为你注意到此时双方没有什么特别之处。他们只是共享他们假设对方生成的密钥。但可能有一些东西设法插入其中。
因此,如果发生这种情况,冒充者就可以在数据包通过时解密它。现在,我们从规范中知道的是,凭证导入程序将包含一个供导出程序签名的挑战。这就是它说的全部,这就是我们今天所知道的一切。我们确实知道挑战的签名者需要使用私钥,而凭证接收方需要使用匹配的公钥验证该签名。但是凭证接收方从哪里以及如何获得凭证发送方的公钥?也许来自 DNS,也许来自某种中央 FIDO 注册表,其中包含已知 CXP 用户的公钥。
密钥在密钥 P、G、B 密钥服务器中。
确切地说,这需要某种权威的公钥来源。这样,一方就可以验证另一方。这将完全消除中间人攻击的任何漏洞。好的,这是第一部分。另一部分是关于这个中央网站的公告,即 pastecentral.org。嗯,仔细阅读该网站后,很明显,它主要旨在促进 PKI 的采用。
这花了些年头,但 PKI 已经发展到足以解决任何阻碍组织发展的摩擦,现在可能是应用一些润滑剂的时候了。早期,任何人都可以原谅自己觉得 PKI 还没有准备好,或者我们还没有准备好,或者它被证明是另一个失败的尝试,就像第一次尝试一样,它从未达到临界质量,或者我们已经拥有的东西已经足够好,并且使用多因素身份验证或密码管理器,可以轻松使用非常强大的密码。
你可能会认为这个问题已经得到了很好的解决。PKI 中心网站及其配套的 PKI 开发者网站有力地证明了 PKI 密钥已经到来。对于那些不急于采用它的人来说,在某个时候,不拥有某种机制来验证 PKI 公钥将被视为做错了事。
这就是关键区别。正如我们最近讨论的那样,Meta 最近探索了不进行任何哈希处理,直接存储用户密码的可能性。任何传统秘密保管身份验证系统(例如静态密码,甚至一次性密码,它们仍然要求服务器保管秘密)固有的不安全性和使用基于非对称密钥的身份验证系统(例如 PKI)的极端安全性之间的区别,它根本不需要保管任何秘密。
这意味着在某个时候,任何不使用免费、广泛可用且日益普及的 PKI 密钥的人,很可能会引起人们的关注。你仍然使用密码,无论如何存储它们的哈希值,它们都不安全。所以我的观点是,我已经说了几年了。
我认为一旦 CXP 规范出现,我们真的看到苹果愿意让我们在密码管理器之间移动我们的凭证集合,并且我们能够将它们聚合在一起,PKI 将达到标准。该系统的优势已经足够强大,以至于问题已经从“是否”转变为“何时”,而“何时”应该尽快。你还在等什么?因为现在没有任何合理的论据可以支持再等下去。
PKI 中心网站现在应该提供足够的润滑剂来克服任何剩余的采用摩擦。PKI 开发者网站提供 Rust、TypeScript、Java、.NET、Go、Python 和 Ruby 的示例代码,以及在 webauthn.io 和 webauthn.mi 上可用的 PKI 密钥测试站点,Uber 和 Acoma 也在 PKI 密钥可用后提供测试设施。嗯,凭证交换协议已经完善了。
而且,请不要误会,它仍然需要走很长的路,尽管其总体形状已经很清晰。PKI 解决方案集的最后一部分已经到位。鉴于所有主要参与者都已承诺支持 CSP,我认为进一步采用 PKI 的最后障碍已经消除。
是的。
是的,我们已经...
在那里。当然,你的 Squirl 解决方案,它类似,但更好,除非你让微软突然说“嗨”,你知道,Squirl 比 PKI 更好,它已经被取代了。但是,PKI 缺少哪些 Squirl 拥有的功能,你希望它拥有?恢复功能是正确的。
那...
那运作方式完全不同。现在,在 Squirl 中,你只有一个秘密,对吧?
是...
一组秘密。所以它完全不同,是的,它完全不同。而且,嗯,如果你的密钥丢失了,你基本上就完蛋了,Squirl 提供了一种从密钥丢失中恢复的机制,是的。所以这意味着 PKI 将始终有密码作为后备。我想,我想,对吧?
我想所有身份验证都将始终拥有它。我的意思是,这是一个根本性的弱点,你总是会说,“我,我的,我的狗吃了我的作业”,对吧?
很多人不使用密码。他们输入一个随机的垃圾字符串,每次访问该网站时都说“我忘记了”。他们依靠电子邮件作为密码。从道德角度来看,这有什么问题,这是一种恢复方法。
正如我所说,密码应该被视为登录加速器,对吧?因为我们总是会有“我忘记了我的密码”的后备方案。所以它很强大,就在那里。事实上,这是我在 Squirl 中构建的另一件事,在你习惯了它之后,你知道它如何运作,你可以勾选一个复选框,在每次访问网站时在你的身份上放置一个信标。这样说,它说,请禁用所有后备方案,这样如果坏人拿到你的电子邮件,它就不会帮助他们,对吧?
所以这是一个很好的例子,有时完美是好敌人的敌人,或者类似的东西,你创建了一个完美的系统,但也许足够好就足够了。
我同意。我的意思是,我现在正在使用我用于论坛的软件。我落后了一个点版本,因为我们使用 Squirl,我还没有要求 Thomas 更改以支持它。
下一个点,我之所以提到这一点,是因为下一个点版本支持 PKI。我想让 GRC 论坛使用 PKI,对吧?因为这就是世界将要使用的。我的意思是,当它们工作时,它们确实有效。
它们真的非常有效。它们应该以这种方式透明。是的。
史蒂夫·吉布森,正如我们迅速接近选举日一样。/9...
/9。
但好消息是,对于那些不知道的人,史蒂夫同意使用数字。我们不知道他会怎么做。现在还是个谜。他可能不知道他会怎么做...
...他需要很快做出改变。嗯,我们...
...会继续下去,因为你知道,现在不是停下来的时间。不,我们需要你比史蒂夫·乔布斯更多。如果你喜欢这个节目,请加入 Club TWiT。
这个 TV/Club TWiT 是支持它的另一种方式。你可以在 iTunes 上单独购买该节目。你可以购买一个,我想是 2.99 美元。
我记不清了,已经有一段时间了。但你必须使用 iTunes 或苹果播客来做到这一点。无论如何,每周收听你的支持都深受赞赏。
每周二,在 Meet Brick Weekly 之后,大约是太平洋时间下午 2 点,东部时间下午 5 点,UTC 时间 21:00。我们会继续。我们仍然使用夏令时。
我们直到万圣节之后才会切换到标准时间,这样孩子们就可以在晚上出去玩而不必担心糖果。所以我们还会继续使用夏令时,我想再播两集。第三集,我们会切换。
但你不需要记住所有这些东西,如果你想现场观看,这就是你需要知道的。我们现在在八个平台上直播。多亏了 Club TWiT 和 Retreat,我们现在可以在 YouTube 上直播。
我们可以在 YouTube 上看到频道。我在 Twitch 上有合并的频道。很高兴看到你们都在那里。
X 股票,等等。我们也在 Kick 上,我看到 TikTok 和 Kick 上的聊天。
我想我无法回复其中一些,但这又是我们正在努力解决的问题。在 LinkedIn、Facebook 以及当然,我们的 Club TWiT 社区和 Discourse 上。现在有八个不同的直播频道。现在有 698 人在观看这八个直播频道,我们对此表示感谢。
但绝大多数听众,这可能只有 10% 的总人数,不,不是 10%,1% 的总人数。谢谢。所以 99% 的你们在事后收听,当然有很多方法可以做到这一点。
当然,你可以去史蒂夫的网站 grc.com。他提供 64kbps 音频,但对于那些想要的人,他提供两种独特的格式。对于那些想要更小文件的人,有 16kbps 音频版本,听起来有点刺耳,但文件很小。
对吧?所以这是针对那些按位付费的人。还有一个由人类撰写的转录版本,链接在页面上。她做得很好。所以,这是 grc.com,你可以在那里找到 SpinRite,对吧?这是史蒂夫的生计,世界上最好的磁盘维护和恢复实用程序。
如果你有任何类型的存储设备,包括 SSD,你真的应该拥有 SpinRite 6.1,当前版本刚刚发布。去那里,获取它,grc.com。那里也有很多免费的东西。Shield DS 当然是一个长期畅销产品。这是每个人...
...在看到另外 500,000 次使用后使用的产品。1.07 亿 500,000 次。
令人难以置信。而且这是一个免费服务。史蒂夫,谢谢你的提供。只是为了测试你的路由器,确保它安全。那里有很多东西。
去浏览一下,包括如果你想发送反馈、电子邮件、图片,供他每周的图片使用。最好的方法是访问 grc.com,发送电子邮件,并进行验证。一旦你的电子邮件被添加到验证堆中,你就可以给他发送电子邮件。
在那之后,如果你想的话,你也可以注册他的新闻通讯。但你必须明确勾选框,当然,这是史蒂夫。我想要这个新闻通讯,但它值得。
你可以在我们的网站上找到节目笔记和音频,以及 64kbps 音频和视频。在 twit.tv/sn 上的 Security Now,你可以在那里找到我们专门用于安全性的 YouTube 频道链接。
如果你想和你的老板分享关于内存安全语言之类的东西,你可以在 YouTube 上剪辑视频,这很容易做到,而且它适用于所有人。每个人都可以播放 YouTube 视频。所以这是另一种方法。
我认为最好的方法是订阅。这是一个播客。如果你订阅,你将获得播客捕获。
你将自动获得它,一旦它可用。所以你总是拥有它,它会添加到你的收藏中。你真的想拥有所有 997 集。
老实说,这是一个很棒的收藏。关于这个,关于这个,播客链接都在网站上。好的,你只需打开播客客户端,搜索 Security Now。
我想你会找到它的。我们已经做了 19 年了。如果他们还没有注意到,我不知道该怎么办。祝你有一个美好的一周。我开始阅读彼得·汉密尔顿的新书。
我也很享受。我读到一半了,我觉得它开始结合起来了。
所以今年是...
35,000。它离我们很远。是的,我也在读...
...鲍勃·阿弗斯的小说第五本书,也在读。有点令人困惑。我必须选择一本读完,然后继续下一本。
事实上,如果你喜欢 Stacy 的书,你可能会喜欢我们这个星期五下午 2 点(太平洋时间,下午 5 点(东部时间))的 Stacy 的书俱乐部。Stacy 会谈论它们。我将讨论 Adrian Chiotes 的一本非常有趣的关于 AI 驱动的机器人及其对人类的影响的书,名为“服务模型”。
它从机器人的角度讲述的,所以很有趣。谢谢。
祝你有一个美好的一周,我的朋友。下周,我肯定会有更多。998。安全现在。
今天,这个节目由 Progressive 保险公司赞助。你有没有想过更换保险公司,看看你是否能省点钱?Progressive 让轻松查看你是否可以在捆绑你的房屋和汽车保险时省钱。在 progressive.com 上尝试,Progressive 互助保险公司附属公司。潜在的储蓄将有所不同,并非所有州都适用。