We're sunsetting PodQuest on 2025-07-28. Thank you for your support!
Export Podcast Subscriptions
cover of episode SN 998: The Endless Journey to IPv6 - AI-Driven Encryption, Session Messenger, IPv6

SN 998: The Endless Journey to IPv6 - AI-Driven Encryption, Session Messenger, IPv6

2024/10/30
logo of podcast Security Now (Audio)

Security Now (Audio)
AI Deep Dive AI Chapters Transcript
People
S
Steve Gibson
网络安全专家和企业家,创立了多个影响深远的安全工具和播客。
Topics
Steve Gibson详细阐述了苹果公司提议将SSL证书有效期缩短至45天的方案,并分析了该方案的优缺点以及可能带来的问题,包括对非ACME兼容设备的影响以及对证书吊销机制的质疑。他还讨论了SEC对四家公司因淡化SolarWinds攻击严重性而处以罚款的事件,以及谷歌Messenger应用新增功能,特别是AI驱动的敏感内容警告功能。此外,他还介绍了Session Messenger应用从澳大利亚迁移至瑞士的事件,并分析了该事件反映出的加密通讯应用面临的政府监管压力。最后,他深入探讨了互联网向IPv6迁移的现状,指出尽管IPv4地址已耗尽,但由于NAT和SNI等技术的应用,互联网仍然能够正常运行,并且IPv6的普及率远低于预期,原因在于域名已成为关键资源,IP地址的重要性降低。 Leo Laporte主要与Steve Gibson就上述话题进行互动和讨论,并提出一些问题和补充说明。他参与讨论了苹果公司缩短证书有效期的方案、SolarWinds攻击事件、谷歌Messenger新功能、Session Messenger迁移以及互联网向IPv6迁移等话题,并对Steve Gibson提出的观点和分析进行回应和补充。

Deep Dive

Chapters
Apple proposes reducing maximum web server certificate life to 45 days, which raises concerns about automation and practicality for non-web server applications.
  • Apple's proposal aims to reduce certificate lifetimes gradually to 45 days.
  • Automation is crucial for managing short-lived certificates, but many devices and applications are not equipped to handle frequent updates.
  • The proposal could push everyone to the lowest common denominator of domain validation certificates, reducing security assurance.

Shownotes Transcript

0 本周安全新闻。苹果想缩短SSL证书的有效期,对此表示强烈反对。

我们将讨论一个非常棒的新信使程序,史蒂夫说它可能比Signal更好,他们还会研究IPv6。IT发生了什么事?看起来它还要再过二十年。史蒂夫解释了为什么这没关系。接下来,安全现在。

来自您信任的人的精彩播客。

安静。这是史蒂夫·吉布森的《安全现在》第九百九十八期,于2024年10月29日星期二录制。主题是通往IPv6的漫长旅程,本期节目涵盖了最新的安全和隐私新闻,包括莱格特的税收,以及我们也会略微涉及一些健康和健康问题,因为史蒂夫·吉布森先生是我们所说的一个多面手。他对所有事物都充满好奇。

嗨,史蒂夫。你好,我的朋友。说到科幻小说,这不是另一期节目笔记,但我已经读了埃克西斯·汉密尔顿的《酸性》的40%。

我不得不说,我很高兴它很长,因为它,它已经结合在一起了。有很多事情。我的意思是,我可以……

和约翰·塞利纳谈谈。

我想,因为,哇,他读完了,他再次读了它,他说第二次读的时候他知道这些人是谁,所以,我的意思是,汉密尔顿的书写风格不是那么细致,但有很多非常有趣的概念,比如,这里没有剧透,嗯……超光速旅行永远不会被发明出来。所以我们永远不会有超光速旅行。

但我们有的是,好吧,这也设定在未来五万年。所以,所以我们身处一个环境中,所谓的残余战争留下了死星和巨大的装甲技术。我们已经走到了未来,以至于我们失去了战争高峰时期的一些知识。

所以,就像他们发现这些东西一样,他们不明白,但他们有点,你知道,赋予它力量,看看它会做什么。但另一个很酷的事情是,有一个提升的古老种族创造了所谓的“天堂之门”。它们是他们的门,利用巨大的能量来源将他们的飞船加速到0.9999倍光速。

我的意思是,就像一直到光速,但还不够,因为你实际上无法知道,需要无限的能量才能完全到达那里。但这会产生巨大的相对论时间压缩,所以以0.9999倍光速旅行的人,你知道,对他们来说是一周的旅程。与此同时,四代人已经过去了。

所以,总之,我的意思是,但再一次,这只是一个全新的,他再次做到了,这是一个全新的丰富而精彩的叙事。我,你知道汉密尔顿的风格。我说了,我读了40%。

我不知道。你甚至无法猜测会发生什么。我不知道会发生什么,但我不想结束,因为它真的很精彩。

哎呀,我推迟了我的会议,就像一个本地动机。我想,它开始慢,也许前几页我们会……

旋转一点,但是的,如果你必须姐妹或屏住呼吸,你确实想阅读早期历史,因为因为,他,他,就像某人一样,是历史……

在新闻中。我听了那个,然后我到了戏剧性的角色,我正在听。

是的,好吧,一段时间了。哦,我的上帝。问题是你没有任何参考点。每个人都是根据他们之间的关系来定义的。所以……

旋转,但时间看起来很长,但我已经过去了。所以期待你。

让我告诉你,我的意思是,因为我不听,我读,我,我无法体会那种经历,但我们现在的情况非常好。我得到……

这本书的版本……

只是,我再次说,我不会开始,直到第二本准备好,但是当约翰说艺术完成了它时,我正在阅读,我再次想,好吧,我们正在谈论……

对于刚刚加入我们的朋友们。彼得·F·汉密尔顿,我们最喜欢的科幻小说作者之一。

他写了这台引擎,并且……

叫做埃克西斯。

第一部分是对话。是的。哦,哇。好的。所以我们有一期很棒的节目。苹果,作为CA浏览器组织的成员,建议我们随着时间的推移将证书最大有效期缩短至45天,对此我表示,请不要这样做。这很酷。此外,SEC已经对四家公司处以罚款,原因是他们低估了太阳风攻击的严重性,这很有趣。

谷歌已向信使添加了五项新功能,或者其中一些功能处于测试阶段,包括谷歌信使应用程序中的不当内容警告,这很有趣,因为苹果几年前也做了类似的事情。这让我想到一个有趣的问题,那就是人工智能驱动的本地设备端过滤是否能够永远解决加密难题,即解决端到端加密问题。无论如何,我们也会讨论这个问题。我,我,我因为一些我以前从未听说过的关于他们搬迁的消息而绊倒了。

一个名为“会话”的非常漂亮的信使应用程序,如果你将Signal和Union路由结合起来,就会得到它。这很有趣。我想我们的听众会对此感兴趣。

此外,我只是快速浏览了欧盟的软件责任措施。我们讨论过上周的几个其他评论。

我们发现一些假冒的朝鲜员工实际上在安装恶意软件,在一些区块链内容中,还回答了听众关于是否需要SpinRite来加速SSD的问题。不,你不需要。我们还讨论了使用ChatGPT来审查和建议代码改进。

另一个听众的建议,然后我想花一些时间来研究互联网管理机构,他们已经尝试将互联网迁移到IPv6,是的,在过去的25年里,但互联网似乎不愿意迁移。为什么?它还会迁移吗?

亚太网络注册机构对互联网的演变方式有非常有趣的见解,即从技术角度来看,我们实际上不再面临他们担心需要IPv6来解决的问题。到达地方不再是关于地址,而是关于名称。为了结束这一切,我说,这是一个很棒的播客,但本周的图片,OMG,它,我刚刚在标题中写了,真的没有词语,但当它是一个西装革履的富豪时,你必须看看它一会儿,然后想,哦。

我还没看什么?它在我的屏幕上。它准备好被弄乱并显示出来。我们稍后会一起完成,我迫不及待。

这总是很有趣,但我们应该提到,如果您想获取节目笔记,最简单的方法是访问史蒂夫的网站grc.com,然后转到播客页面。每个播客都有一个非常漂亮的PDF节目笔记,其中包含该图像。或者访问grc.com,订阅他的时事通讯。这样你就可以提前收到它。我不知道你是否查看了收到的电子邮件的日期,它是在昨天下午。

所以史蒂夫的妻子让他这样做。我想我确信,我说,你必须完成这个。所以我们出去吃饭,等等。

所以,到星期天上午,我完成了自己一直在做的项目,即电子商务系统和新电子邮件系统的整合。我还没有让它们进行通信,但它们必须这样做。所以他们看到我们没有同步数据库,对吧?所以我心想,好吧,我要开始做播客了。

事实证明,进展顺利,有很多材料。到星期一下午,我已经完成了。所以我心想,我只要……实际上,我比订阅者早一天获得了11717个订阅者。最近一直在这样做。

所以值得订阅,是的。

你做得很好。事实上,我不想打断它,但我们的一个听众提到了我之前没有想到的好处。无论如何,我们有一个很棒的播客,准备好下一周的图片,告诉我们谁在支持这项精彩的工作,播客的赞助商……

本期《安全现在》第一部分的赞助商,以及这个名字,你知道,多年来,这个想法一直存在,这是一个蜜罐。这有点合适,因为我们最早的节目之一就是关于蜜罐的,我们采访过创建第一个蜜罐的马克·切兹。事实上,几年前我们在波士顿和他一起做过一个小组讨论。

他写了第一个蜜罐。这是一项巨大的努力。蜜罐是一个看起来很有价值但实际上只是吸引黑客的系统。

当他们进入蜜罐时,他们就会被捕获,你会收到通知或发生某些事情。你不需要成为专家,就可以部署非常好的蜜罐,从思考开始。这些蜜罐可以在几分钟内部署。

它们可以模仿从电子邮件服务器到Windows服务器,IIS的任何东西。它们可以是网络设备,如Synology NAS。它们确实做得很好。

为了使这些模拟非常逼真,它们看起来与真实的东西一模一样。我的NAS有一个Synology MAC地址。

你知道,前几个数字是Synology的正确数字。所以一个经验丰富的黑客看到这个不会说,“哦,我知道那是一个假的。”它们看起来并不脆弱。

它们看起来很有价值。你还可以创建包含各种内容的文件,例如Canary、小PDF文件、Excel或Word文档等等。我们有一些Excel电子表格,上面写着薪资信息、员工地址等。我的意思是,我们没有包含社会安全号码,但你可以。关键是这些都是假的。

如果一个坏人,有人进入你的网络,访问这些文件或尝试攻击你的虚假内部SSH服务器,你会收到通知,他们会立即告诉你你遇到了问题。只有真实的积极事件,没有误报,你想要电子邮件、短信,他们支持Web钩子和API调用,无论你想要什么。但它很棒,因为它可以让你知道有人潜入了你的网络。

我确信你有很多优秀的防御措施。我们都有。我也一样。但是如果有人入侵或你的公司内部有人恶意活动,你会如何知道他们在哪里?这就是Canary的用处。

只需为你的Canary设备选择一个配置文件,将其注册到托管控制台进行监控和通知,然后你就可以放松身心。攻击者会入侵你的网络,内部人员或其他对手。他们可以帮助自己暴露出来。

他们会说,“哦,我必须进入那里。”你立即会收到通知,只有重要的通知。这是一个非常重要的安全工具。

平均而言,公司不知道他们被入侵了91天。你想要在有人入侵的那一刻就知道,这就是为什么你需要这个不可思议的蜜罐,Canary。访问canary.tools/twit。

Canary.tools/twit。大型公司可能在全球各地部署了数百个。事实上,Canary在所有七大洲都在运行。

这说明了一些问题。一家小型公司,比如一家汽车公司,可能只有一小部分。假设你需要每年57500美元。你只需要五个Canary。你将拥有自己的托管控制台,所有升级、支持和维护都包含在内。

顺便说一句,如果您使用的是Twit的Twit和“您如何听到我们的消息”框,这并不是对您的评论,顺便说一句,这是我们的网络名称。好的?Twit意识到人们需要安全,现在可能不知道,但如果你在里面输入Twitter,你将获得终身10%的折扣。

现在,这是另一件事,它会让你确信,如果你正在做这些事情,我不知道,这些事情是否真的像他们所说的那样有效?我可以观察他,但你总是可以退回你的东西。每天都有82个月或60天退款保证吗?并且对每一分钱都进行全额退款。

我必须指出,多年来,Twit一直与Canary合作,尽管我们一直在做这些广告,但退款保证从未被索取过,一次也没有,因为一旦人们得到它,一旦他们拥有它,他们就会说,“是的,是的。你必须拥有这个,Canary。访问canary.tools/twit和代码Twit,以及“您如何听到我们的消息”框。我们认为Canary正在支持本期节目,并为所有用户提供一个每个人都应该拥有的优秀安全工具。

现在我要,我应该怎么做?先向上滚动。在我向其他人展示之前,我可以向上滚动。

考虑一下你所看到的……

以及标题是“真的没有词语”。我看到一辆消防车。我看到一场大火,老伙计。好的,好的,很好。我现在向大家展示图片,史蒂夫,你想描述它……

给我们的听众。所以如果你……如果你……如果你有一家消防公司,你需要一条水管穿过车辆行驶的区域,你可能会……

我们已经看到过类似的例子,例如电线必须穿过地板,你可以在两侧放置保护装置,就像一个小斜坡,这样你就可以在上面行驶,不会卡住。你不会压碎它,你知道你会保护它。

所以我们今天在《安全现在》第九百九十八期中看到了这种情况,一条消防水管用类似的小斜坡保护着。问题是,它们不是为了防止我的汽车轮胎碾过水管,而是为了防止火车碾过。

这正穿过铁轨。任何了解火车工作原理的人都知道,它们的车轮内侧都有轮缘,这些轮缘保持车轮在轨道上。所以你最不想做的事情就是做任何事情来强制这些轮缘离开轨道。

他们认为,很有可能,火车会直接碾过它,切断并……

我的意思是切断……

对吧?

是的。

因为这些区域很锋利,只是被切断了。我希望它们很短,因为你想要尽可能多地保护你的主机,而不是让火车脱轨。这是另一种选择。

必须处理另一个紧急情况。

这太不可思议了,太不可思议了。这看起来可能像英国,我不知道为什么我感觉它像英国,我们没有它,看起来像有一个铁路道口,并且灯是朝向我们的。我知道为什么它朝向我们,它在右侧。如果你在左侧行驶,它会在左侧。所以,看起来像你看到白水从后左方涌出。

我看到了,是的。那是什么?

我们不知道发生了什么,但如果火车要驶过,那就不好了。天哪。

无论如何,这是我最好的图片,我只是想说,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,我,

所以解决方法是 OCSB 钉合,网站自己的服务器会向你发出 OCSB 查询。因此,那里肯定没有隐私。然后,由于该术语是“钉合”,这意味着,你知道,它以某种方式在电子上将这些新的 oCSP 结果附加到服务器正在提供给 Web 浏览器的证书上,因此 Web 浏览器不必出去,发出第二次请求。

很棒的解决方案。但这似乎要求世界上的每个 Web 服务器都这样做,这要求太高了,因为虽然有些服务器做了,但我的服务器,呃,大多数服务器没有。因此,尽管它很有前景并且取得了一定的成功,但负责制定行业标准的 CA 浏览器论坛最近决定,我们大概一个月前就讨论过这个问题,要回退到之前的使用方式和对早期证书吊销列表系统的正式认可,这将把所有网站的证书检查工作转移到浏览器。

这样做的好处是,我们可以提供一个精彩的播客,探索布隆过滤器技术,每个人都喜欢。这项技术非常巧妙地允许用户浏览器本地且非常快速地确定任何传入证书的吊销状态,从而进行修复。好的。

所以这就是我们目前的情况。现在,要使证书有效,必须满足两点。首先,证书的有效期必须在有效期之前和之后。而且,您知道,没有任何其他迹象表明这个原本有效的证书由于某种原因已被吊销。无论原因是什么,它都不再有效。

因此,这两个要求的结合意味着证书吊销列表(这些列表将告诉我们是否例外于有效期测试)只需要涵盖那些否则会被投票否决的证书。这意味着已过期证书由于过期而自动被视为不可信,因此可以安全地从行业基于布隆过滤器的 CRL 列表的下一个更新中删除。好的。

因此,如果我们想保持布隆过滤器的尺寸较小,那么缩短证书的有效期就是方法。或者,如果您知道,如果这仍然没有发生,因为我们已经做了很长时间,我们从未获得任何真正有效的吊销机制。所以,也许缩短它总体上是一件好事。

这使我们回到了上周苹果提出的新闻,正如我之前提到的,它是该节目中排名前列的,也是 CA 浏览器论坛的积极参与者。他们建议逐步将 Web 服务器证书的最大有效期从目前的 398 天(基本上是一年零一个月)减少到仅 45 天。如果这项建议被采纳,证书的有效期将分四步减少,从明年开始,到 2027 年 4 月结束。

它将是这样的。我们目前是 398 天。这个舒适的 398 天将几乎减半,到 2025 年 9 月(从现在算起一年),减少到 200 天,然后一年后,实际上是上个月,对吧?因为我们在这里使用 10 月,与一年后 9 月 2026 年的计算方式不同。它将再次减半,从 200 天减少到 100 天。最后一步将在 2027 年 4 月(七个月后)发生,届时 Web 服务证书的最大有效期将减少到仅 45 天。

好的,现在,让我们加密 90 天证书有效期可行的原因是自动化,对吧?因此,苹果必须假设,通过设定减少证书有效期的明确时间表,任何尚未完全自动化其服务器证书颁发过程的服务器,使用的是 acme 协议(这是行业采用的允许 Web 服务器自动请求新证书的标准),都将有动力这样做,因为,你知道,它即将到来。

你知道谁想强制更新他们的证书,使其有效期少于 45 天吗?没有人。所以问题是,这可能会导致一些潜在的边缘案例问题,因为不仅仅是 Web 服务器依赖 TLS 证书。

例如,我想到一个我个人感兴趣的例子。正如我们所知,GRC 使用邮件服务器在其传出邮件上签名,该服务器已手动配置为使用与 GRC 文档域有效的相同证书文件。为了让 DK 正常工作,您必须这样做。

然后,DK、N、S、P、F、F,正如我们最近一起讨论的那样,允许您获得 D 标记证书。然后,世界会相信来自 grc 的电子邮件,实际上,因为它已签名,用与 GRC Web 服务器的证书相同的证书签名,因为它来自 GRC 文档域。目前,我只需要每年更新电子邮件副本中的这些证书。

通过电子邮件服务 UI(它为此提供机制)来做到这一点是可管理的。我不知道如果我更改了电子邮件服务器下的文件内容而服务器不知道,使用 acme 式更新会发生什么,你知道。但据我所知,它可能拥有证书的私有副本,可能保持文件打开以提高访问速度,从而防止它们被更改。

目前没有程序化的方法来通知电子邮件服务器它需要更改其搜索,因为直到现在这从来都不是问题或必要性。从没。曾经,我们有 3 年,很久以前我们有 10 年的证书有效期。

所以,你知道,我能够编写代码,所以我可能会不得不添加一个新的客户服务来监控我的 Web 服务器是否自主更改其证书,然后关闭电子邮件服务器,更新其证书副本,然后重新启动。我的重点是,你知道,这就是所谓的“皇家 F 难题”,这在全球范围内没有解决方法。毫无疑问,我的电子邮件服务器只是地平线上更大问题的微不足道的例子。

想想我们今天所有不使用 acme 或无法使用 acme 的非 Web 服务器设备,它们在过去十年中已经部署,现在也需要自己的证书。它们会怎么做?所以,也许这是我们为进步付出的代价。

但我质疑,你知道,这让我想到。我质疑为什么应该强加给我们。对我来说,这是我的证书。

它代表我的 grc.com 域名。为什么它不是我的选择?这种代表应该允许持续多久?好的。

如果我是一家像 amazon.com、美国银行或 PayPal 这样的大型组织,如果证书出现问题,可能会造成巨大的损失,我就能理解这个问题。因此,应该允许这些组织选择缩短其证书的有效期,以维护自身的安全。事实上,他们今天就可以做到这一点。

当我创建证书时,系统会提示我证书的有效期。目前允许的最大有效期为 398 天,但没有最小值,并且数字支持 acme 协议。因此,他们可以提供自动更新短有效期证书的功能。

但是,为什么 CA 浏览器论坛和行业 Web 浏览器要强迫网站使用短有效期证书?让我们面对现实吧。

正如我们所知,吊销从未奏效。它一直都是一种感觉良好的幻想。当我们只需要每三年重新颁发一次证书,而没有有效吊销它们的机制时,世界并没有因此而终结。

现在,行业希望将这一期限大幅缩短至每六周。我们不是在试图解决一个根本不存在的问题,同时创造出一系列我们从未遇到过的新问题吗?我敢打赌,像我的电子邮件服务器这样的无数其他情况,超短有效期的证书将不可行。

今年似乎是在未充分考虑其影响的情况下制造了一个混乱局面。CA 浏览器论坛的人们难道没有意识到 Web 服务器不再是唯一需要 TLS 连接和验证其身份并提供其隐私的证书的东西吗?许多需要证书来验证域的设备可能无法运行 acme 协议,因为它们是 DV(域验证)设置。

我放弃了使用 EV 证书,因为那成了浪费钱。一旦浏览器不再为使用 EV 证书的网站提供任何特殊的 UI 处理,您就不会在 UI 中获得绿色光芒。

我。酒吧。但我继续使用 OV 证书。它们是组织验证证书,因为它们比最低级别的证书高一级。域验证 (DV) 搜索,让 Let's Encrypt 使用,因为它只是验证您是否控制该域。

但是,如果我们所有人都被迫自动化证书颁发,我无法理解为什么每个人都不会降到域验证证书的最低共同分母。Let's Encrypt 已成功地自动化了这些证书的颁发。到那时,所有证书都将免费,今天的证书颁发机构将失去大量重复业务。

这对他们有什么好处?事实上,简单的域验证提供的保证低于组织验证。因此,强迫每个人都降到最低共同分母,对全球安全有什么好处?我想苹果,由于其完全封闭的生态系统,可能会从中获得一些优势。所以,好吧,他们可以随意为自己的域名使用任何超短有效期的证书。但最重要的是,我一直在思考为什么我用来验证我所有各种应用(包括电子邮件)中自己域名的证书有效期,为什么这不是我的事,为什么不留给我自己决定?

如果谷歌这么说,我可能会担心,因为谷歌有能力随时强制执行其政策。但这是苹果,谁在乎。这种做法有可能成为规则吗?

是的,请记住,当我们改为 398 天时,苹果表示他们将尊重任何有效期更长的证书,因为,嗯,所有他们的设备都检查证书的有效期,两者都必须在有效期之前和之后。因此,如果这两个日期相隔超过 398 天,苹果就会说,对不起,这不可行。

强加 45 天的限制。他们希望 CA 浏览器论坛同意。

是的。所以,在讨论这个问题的论坛上,有人建议将有效期降至 45 天。我只是看不到其中的逻辑,我看到了巨大的负面成本。

这与他们的业务有什么关系?我想我的证书有效期应该持续多久才能证明 grc.com 的有效性,我会为此负责。它在 HSM 中,安全。

它无法被盗,并且可以吊销。你知道,也许布隆过滤器会回来。我们希望如此,如果最坏的情况发生,我们仍然可以吊销。但是,如果我不能购买一个超过 45 天的信任证书,那不是一个好地方。

苹果为什么要这样做?

所以,你只能不断地保留对域和证书的控制权。

为了互联网的健康。

是的,你看到了一个大问题。当有效期是 3 年时,那里根本没有大问题,一切都很好。我们仍然在这里,我们从未遇到过有效的吊销机制,它不是问题。

所以,用一个导致更多问题的解决方案来解决一个不存在的问题。我认为...

我认为他们最终会让人们说,不。

我希望如此,因为我们...

从 3 年减少到 1 年,你知道。当时我说,我看到的唯一好处是,莱奥,每三年我都会忘记如何做这件事。你知道,中间有这么长时间,我就像,你知道,我必须让这个通过 SSL。我的意思是,哦,是的,那需要一个特定的奇怪的命令行来获得 APFX 格式。而且每...

三年我都会...

每年我都会...好的,我必须再次做这件事。但是,它有 ON 的优势。你知道,我们看到过多少次网站的证书过期,因为那是 3 年前的事情?你知道,保罗以前在这里工作。好吧,保罗现在不在这里了,他以前是做正确事情的人。

但是,我们仍然看到 Let's Encrypt 在脚本方面取得了真正的成功,哦,我的天哪。

他们几乎接管了 TLS 市场,这太疯狂了。就像四分之三或三分之二的证书都是因为,但是他想要支付,就像,等等,我可以免费获得它。

我只是,而且脚本自动完成,你甚至不必考虑它,你也不必担心保罗了,因为你只需要阅读每个人,每个人...

是 90 天,对于 Let's,对于 Let's。

我找不到任何理由要将它减半,这太疯狂了。

我也看不到。请记住,即使您使用 Let's Encrypt 来为您的 Web 浏览器颁发证书,您仍然可以获得证书。您仍然可以为其他用途购买一年期的证书。因此,所有想要进行 TLS 连接的设备,您仍然可以购买更长的证书。

所以,当我仔细考虑这个问题时,一种可能性是允许非 Web 服务拥有更长的有效期,因为每个证书中都声明了证书的使用方式。因此,自动化重新颁发可以拥有更短的有效期。但是,这并不能解决问题,因为如果您担心证书被盗,显然他们担心任何超过 45 天的证书。

我根本不明白,我再次问,为什么这是他们的事?我们有 3 年。我们除了,你知道,保罗领导公司之外,没有遇到任何问题。

保罗...

离开公司,在紧身衣里工作了半个小时?让我们谈谈 SEC 对四家谎报 SolarWinds 攻击严重性的公司处以罚款。

真可耻,他们不想对,他们竟然,这些骗子,我们的节目,他们通过专家交流带给您,那里有真相,我记得我第一次见到他们时,所以我以前经常使用你们。好吧,我们仍然在这里,他们说。我们希望更多的人了解它,尤其是在互联网上的信息中有如此多的垃圾,以及如此多的信息是 AI 生成的。

当您对技术有疑问时,能够与值得信赖、有才华的专业人士联系,他们可以回答您的问题,提供建议和行业见解,这将是多么美好,这些专业人士实际上使用您堆栈中的产品,而不是为昂贵的,说实话,有时并不那么好的企业级技术支持付费?专家交流就是关于技术社区的。对于那些厌倦了 AI 卖出的,专家交流已经准备好帮助您为人类智能的未来而战,因为专家交流中有许多聪明的人,专家,如果您愿意,他们会让您接触到超过 400 个不同领域的专业人士。

我指的是微软、AWS、DevUp、思科等。与其他网站不同,您可以说,嗯,我知道我可以提问。我知道在其他网站上,我不想点名,但因为我在一个更小的平台上,与其他网站不同,这里没有恶意。

你知道,你去那些其他网站,你问一个问题,一半的时间,有一个重复的问题,另一半的时间,他们说,嗯,我不会那样做。

这是我的做法。或者你是一个傻瓜,或者侮辱你,对吧?专家交流不鼓励重复问题。没有愚蠢的问题。

专家交流的贡献者和专家热爱技术,他们明白他们专业知识的真正回报,例如深入了解思科路由器的工作原理,回报在于能够展示您的专业知识,将知识传递下去,而不是标记某人,而是说,让我帮助你传递下去。他们乐于友好地回答您的问题。一位成员说,我以前从未在其他地方被问过问题。

但那在 EE 上发生。他们总是称之为 EE。

专家交流致力于培养一个以人类合作为基础的社区。人类,我爱你们。我爱你们。我的意思是,真的,这就是您想要的,要回答您的问题,专家目录中充满了专家,可以帮助您找到所需的内容。史蒂夫,你会很高兴地知道罗迪·巴恩哈德,一位常客,也在那里。

他是一位 VM 专家,爱德华·比琼,一位微软 MVP 和道德黑客,试图弄清楚他的名字的精确拼写,他给我们提供了很多很棒的 YouTube 视频。当然,他也在专家交流中,你知道,他说这是爱德华,或者这是爱德华,他从不透露他的姓氏。

所以,爱德华在那里,思科设计专业人士,他们的执行 IT 总监?这实际上是另一个方面,不仅仅是技术信息。您可以获得有关如何管理公司、如何管理员工和如何激励员工的建议。

那里真的有专家喜欢谈论他们所做的事情,并帮助您也做到这一点。这里有一件非常重要的事情。其他平台...

大多数其他平台通过将他们的贡献者出售给训练 AI 模型来背叛他们。阅读它。专家交流的链接是否刚刚开始这样做?您的隐私不应出售。

他们反对全球贡献者的背叛。他们从未也不会出售您的数据、内容或您的任何信息,他们会阻止并严格禁止我们的公司从他们的网站抓取内容来训练他们的盟友。主持人严格禁止直接使用允许他们内容的线程。

专家们应该有一个可以放心地分享知识的地方,而不用担心公司窃取这些知识,从而增加股东价值。人类应该有一个远离人工智能的避风港,您应该从真正的专家那里获得您提出的合理问题的真实答案。这就是专家交流的目的。

现在他们知道,您知道像我这样尝试过一段时间的人,他们知道您可能甚至从未听说过它。所以他们将在九十天内免费提供它。您不知道。

您需要在三个月内尝试使用它,看看它是否符合您的需求。我认为在e-e.com/it上,它有九十天的免费试用期。您知道,他们已经存在了一段时间。

他们有一份三页的文档。这些比鸡毛还要稀有。访问E A E A com了解更多信息。专家交流,谢谢。

专家交流支持我们当地的专家史蒂夫·吉布森先生,感谢您使用他们知道您关注的安全地址。现在,专家交流e.e.com/twit。我们继续前进。吉布森先生。

吉布森先生。因此,道路规则之一是,由公众(通过公开交易的股票)拥有的公司有义务向其股东说实话。

证人,请友好一些,是的。

当发生可能对公司价值产生重大影响的事情时,是的。例如,在2020年12月14日,也就是《华盛顿邮报》报道多家政府机构遭到SolarWinds攻击后的第二天,SolarWinds公司本身在其SEC文件中声明,其33000名客户中只有不到18000名受影响。

尽管如此,18000名受影响的客户仍然构成了一次重大的入侵,并且SolarWinds之前的和随后的行为中存在许多问题。但他们坦诚相告。他们说,好吧,发生了这些事情。但我不想谈论他们。我想分享一些来自Cyberwar的有趣报道。

标题为“SEC对四家公司处以罚款,原因是误导性披露关于SolarWinds黑客事件”的报道,换句话说,误导公众关于他们使用SolarWinds或Orion软件对业务的影响以及它如何影响他们的股东价值。副标题是“工会是通过检查点和心态”。Ast将支付罚款以解决他们对C文件披露的指控。关键在于妥协的程度。

由公众拥有的公司的管理层需要说实话。因此,他将更仔细地研究Cyberwar的报道,即美国证券交易委员会(SEC),您知道,SEC表示已与四家公司达成和解,原因是他们就2020年SolarWinds Orion软件入侵事件对他们业务的影响作出了实质性误导性陈述。监管机构指控四家公司,即Union Sis、A Via Holdings Corp、Checkpoint Software Technologies和MM Cast Limited,他们“最小化了入侵或将对内部系统和数据的损害描述为理论上的,尽管他们知道大量信息已被盗取”。

换句话说,他们直接向股东撒谎,Cyberwar报道称,SEC执行部门代理主任在一份声明中表示,正如今天的执法行动所反映的那样,虽然上市公司可能会成为网络攻击的目标,但他们有义务不要进一步伤害他们的股东或其他投资者,通过对他们遇到的网络安全事件提供误导性披露。SEC的命令发现,这些公司就相关事件提供了误导性披露,让投资者对这些事件的真实范围一无所知。作为和解协议的一部分,这些公司同意支付罚款,但未承认有错。

好的。首先,他们不必说我们撒了谎。好的,所以有这一点。但我坦率地说,金额让我感到不安。Union Sis将支付400万美元,A Via 100万美元,Checkpoint 995000美元,MM Cast 990000美元,据SEC称。

例如,到2022年12月2日,A Via已经知道至少一个包含客户数据的云服务器及其实验室网络的另一个服务器都被俄罗斯政府雇用的黑客入侵。当月晚些时候,第三方服务提供商向该公司发出警报,即云电子邮件和文件共享系统也已被入侵,很可能是由同一团体入侵。通过对SolarWinds或Orion软件后续调查的调查,发现了超过145个共享文件。

威胁行为者访问了这些文件,以及对俄罗斯团体(APT 29,又名Cozy Bear)的证据,他们监控了该公司网络安全事件响应人员的电子邮件。因此,他们受到了深刻的渗透,他们知道它。尽管如此,在2021年2月的季度报告中,几个月后,A Via用更柔和的措辞描述了影响,称证据表明威胁行为者仅访问了“少量公司电子邮件”。

好的,这有点灰色。并且有“没有当前证据表明未经授权访问我们其他内部系统”。好的。因此,您可以质疑“当前”这个词,对吧?他们知道这些陈述完全是错误的。Union Sis的调查发现,在披露使用SolarWinds或Orion入侵多个系统后,在16个月内访问了7个网络和34个基于云的帐户,包括一些具有管理员权限的帐户。威胁行为者还多次连接到他们的网络并传输了超过33GB的数据。

但是,SEC的命令指出,Union Sis“以假设的方式不准确地描述了成功入侵的存在以及未经授权访问数据和信息的风险,尽管他们知道入侵实际上已经发生,并且实际上涉及未经授权的访问和机密或专有信息的泄露”。该公司似乎也没有制定正式程序来识别和向高管领导层通报高风险入侵以进行披露,Checkpoint和MM Cast也存在类似情况。这里的问题是,我希望能够从这个故事中得出明确的教训,因为它似乎一开始就是这样,但是考虑到这些和解金额相对于每家公司的收入来说非常低,我一点也不清楚这个故事的教训是否应该在事件发生时披露更多信息。

对他们股票价格的短期影响可能比这些罚款更严重。在事件发生四年后,这变成了耸耸肩。因此,我认为这个结果不会给其他公司带来任何重要的教训,以及那些当时做得正确的事情的公司。

然后,我们因说实话而受到股东的惩罚,这实际上可能会适得其反。让我们撒谎,现在把一切都掩盖起来。然后,如果三年或四年后,您知道,我们因这样做而受到适度的处罚。您知道,世界已经继续前进,他们会很乐意支付罚款,并且比如果我们一开始就说实话所损失的钱少。我的意思是,这就是教训。

这是做生意的成本。这些公司总是说,是的,撒谎的成本是股票价值的变化。

哇,好的。上周二,谷歌安全博客发布了关于其谷歌消息应用新增的五项保护措施的消息。尽管谷歌的帖子通常对我来说有点过于营销炒作,但我认为这个值得分享,而且它不是很久以前发布的。谷歌写道,每天有超过十亿人使用谷歌消息进行沟通。

这就是为什么我们将安全性置于首要地位,在设备端构建强大的由人工智能驱动的过滤器和高级安全功能,每月可保护用户免受数十亿条可疑消息的影响。通过端到端加密的RCS对话,您可以与其他谷歌消息RCS用户私下沟通,我们不会就此止步。我们致力于不断开发新的控制和功能,以使您在谷歌消息上的对话更加安全和私密。作为网络安全宣传月的一部分,他们刚刚在万圣节前夕发布了这些信息。我们正在分享五项新保护措施,以帮助您在使用Android上的谷歌消息时保持安全。

好的。因此,我们有增强检测功能,可保护您免受包裹交付和工作诈骗。我将跳过描述段落,因为我们都知道它的含义。

您知道,他们正在查看收到的消息,并进行一些过滤以识别哪些基本上是垃圾邮件,然后标记它们。第二,智能警告会提醒您有关潜在危险链接的信息。同样,他们正在使用设备端由人工智能驱动的过滤器来处理加密消息。

而且,他们过去一年一直在测试更多保护措施,以保护谷歌消息用户在收到可能包含危险链接的短信时。他们表示,印度、泰国、马来西亚和新加坡的谷歌消息会警告用户来自未知发送者的链接,并阻止来自可疑来源的链接消息。他们表示,今年晚些时候,他们将逐步在全球范围内推出此功能。因此,今年剩下的时间不多,所以它很快就会在所有人的谷歌消息中出现。

控制来自未知国际来源的消息。另一个好处。但最吸引我注意的是第四点。敏感内容警告可让您控制、查看和发送可能包含裸露内容的图像,他们表示。谷歌的目标是为用户提供各种保护自己免受不希望看到的内容的方法,同时让他们控制自己的数据。这就是为什么我们为谷歌消息引入了敏感内容警告。

敏感内容警告是一个可选功能,它会在显示之前模糊可能包含裸露内容的图像,然后提供一个“速度提示”,其中包含帮助查找资源和选项,包括在启用该功能时查看内容,以及即将发送或转发可能包含裸露内容的图像。它还提供了一个速度提示,以提醒用户发送裸露图像的风险并防止意外共享。所有这些都在设备上进行,以保护您的隐私并保持端到端加密消息内容的私密性。

仅发送给收件人的敏感内容警告不会允许谷歌访问您的图像内容,谷歌也不知道是否检测到裸露内容。此功能仅供成年人使用,可通过Android设置进行管理,并且对于未满18岁的用户来说是可选的。换句话说,默认情况下,儿童的敏感内容警告将在未来几个月内在Android 9及更高版本设备上推出,包括谷歌消息的Android Go设备。

稍后我会再谈到这一点。第五点是关于您正在与谁聊天。基本上,他们允许进行独立的公开密钥验证,这在其他消息中,特别是3MH,在该领域处于领先地位,他们正在进行传统的标准加密,我们知道什么是公开密钥,并且验证某人的公开密钥是有用的。

这就是第五点。好的。但我想要回到第四个新功能,敏感内容警告。苹果在iOS 15中宣布了他们的敏感内容警告,其中智能手机会检测到可能包含敏感内容并警告用户,然后再显示内容。尽管这个可能侵犯隐私的功能已经存在多年,但我们仍然在这里,就像我们没有证书吊销一样。世界并没有因此而结束。

世界不仅没有结束,您知道,当智能手机开始关注用户正在做的事情时,它甚至没有放慢速度,因此设备端图像识别和检测的想法并未被证明存在问题,谷歌显然决定效仿,但我相信这里可能存在更大的故事。我认为这将是世界最终解决我们多年来一直在关注的端到端加密难题的方式。众所周知,苹果最初真的介入其中,告诉人们他们的手机将预装一个包含世界上最恶名昭著的儿童色情内容的详尽库。

没有儿童性虐待材料,没有人想让这些东西出现在他们的手机上。即使解释说这将是模糊匹配哈希值而不是实际图像,也没有改变这些情况。苹果说,谢谢。无论如何,我宁愿先拿到一部Android手机,然后再让您在我的iPhone上放任何类似的东西。苹果收到了清晰的信号,并迅速放弃了这项工作。

但是,就在欧洲各国政府,特别是英国公开为此问题而苦苦挣扎的中间,面对所有加密消息应用供应商的强烈反对,他们宁愿离开也不愿危及用户的安全,人工智能突然出现,并以其能力以及它对世界未来的意义让每个人都大吃一惊。如果有人明确提到人工智能可能对个人消息内容的本地高效过滤意味着什么,我错过了它,但应用似乎显而易见。

我认为这以每个人都能接受的方式解决了这个问题。政客们可以告诉他们的选民,“下一代人工智能将监控他们孩子智能手机发送和接收的所有内容”,并且我们能够采取一切必要措施,而无需干预或破坏端到端加密提供的任何保护措施。

因此,每个人都保留了他们的隐私和完整的加密,坏人很快就会发现他们不再能够使用任何现成的智能手机发送或接收这些东西。在我看来,这确实解决了这个问题。而且恰逢其时,我还要知道的一件事是,可以预见的是,基于设备过滤的人工智能行为识别最终可能会扩展到涵盖其他非法行为。

我们知道,政府及其情报机构一直在争论恐怖分子正在使用不可穿透的加密来组织他们的犯罪活动,因此如果未来的人工智能驱动的设备端检测进一步扩展到不仅仅是保护儿童,我不会感到惊讶。当然,这引发了“大兄弟”监控我们的行为和进行个人资料分析的幽灵,这本身就令人毛骨悚然,并且我们并不认为这是一件完全好事,因为它确实创造了一个滑坡。但至少我们可以应用一些校准并实施我们作为社会选择的任何政策。

一件完全好的事情是,那些坚持认为破解加密并监控人口是唯一安全途径的政府及其情报机构。好吧,我们已经通过人工智能让这些论点短路了。

这些论点最终将随着加密的完整性得以保留,并且可以说,这为情报机构提供了他们需要的东西而告终。无论如何,我刚才想到,莱奥,在之前,在现在之前。但我认为设备端的人工智能可以做的事情非常强大,并且我确实可以并且应该让每个人都满意。不。

嗯,我就像谷歌正在做的那样。我认为这似乎是一个合理的计划。是的。正如您所知,它对成年人来说是可选的,对儿童来说是不可选的,这正是我应该做的。是的,是的,很好。

是的,好的。我偶然发现了一个我从未听说过的令人惊讶的应用程序。所以我们谈论的是什么主题?加密应用程序。

一个名为Session的应用程序。任何正在收看直播的听众都希望跳过,获取Session。该网站的网址是session.org。一个名为Session的应用程序是一个小但越来越受欢迎的加密消息应用程序。Session宣布将把运营迁出澳大利亚,莱奥,在该国联邦执法机构访问并询问员工、居民以及该应用程序的特定用户之后,由于这次深夜入侵,Session将由位于瑞士的中立组织维护。是的,这令人震惊。

这就像,哇,您知道,敲门,澳大利亚联邦执法部门说您是Session公司的员工,对吧?因此,我们需要有关您其中一位用户的某些信息。好吧,等等。

他们无法回答这个问题是多么不可能。四或四家媒体指出,这一举动表明,对加密消息应用程序维护者的压力越来越大,无论是政府寻求更多有关应用程序用户的资料,还是针对消息应用程序公司本身。他们引用了去年8月在法国逮捕电报首席执行官的事件。

新成立的Session技术基金会主席亚历克斯·林顿,该基金会将从瑞士发布Session应用程序,在声明中告诉四或四家媒体,“最终,我们面临着留在澳大利亚或搬迁到瑞士等更尊重隐私的司法管辖区的选择。该应用程序仍在澳大利亚运行,但我们不会……好的。因此,直到我注意到这次离开的消息,我都不了解Session消息应用程序,但这看起来非常有趣,我想让每个人都关注它。

它似乎是将功能强大且经过验证的Signal协议与Session(在GitHub上分叉)以及我们最近再次简要讨论的分布式IP隐藏或样式路由相结合的结果。最重要的是,Session是完全开源的。正如我提到的,所有内容都存储在GitHub上。

所有这些都激起了我的好奇心。我找到了最近一份描述Session的白皮书,该白皮书写于今年7月。

它名为“Session端到端加密对话,最小化元数据泄露”。这是关键。白皮书摘要用几句话描述了Session。它说,Session是一个基于公开密钥的开源安全消息应用程序。

哪种使用一组分散的存储服务器和永不停止的协议来发送加密消息,并最大限度地减少用户元数据的暴露。它在提供主流消息应用(例如多设备、离线同步和语音/视频通话)所期望的常见功能的同时,做到这一点。好的。

我想澳大利亚联邦调查局可能对任何了解 Session 设计的人在晚上访问期间提供的答案并不满意。他们本可以解释说,Session 消息传输故意设计得像洋葱一样,通过多跳、全球分布式服务器网络隐藏每个节点的 IP 地址,并且所有消息内容都使用了 Signal 和 WhatsApp 使用的可编辑 Signal 协议来在各方之间交换身份验证消息。如果这听起来已经很棒了,那么请听听白皮书导言中该系统的使命声明。他们表示,过去十年来,即时消息的使用量显着增加,最常用的消息应用每个都拥有超过十亿用户。

许多流行的消息应用的潜在隐私和安全缺陷已被广泛讨论。大多数当前方法都专注于加密消息内容,这在一定程度上取得了成功。端到端加密的广泛部署确实增加了用户隐私。然而,它在很大程度上未能解决企业和国家行为者日益增长的元数据使用情况,作为跟踪用户活动的一种方法。

在私密消息的背景下,元数据可能包括参与者的 IP 地址和电话号码、发送消息的时间和数量以及每个帐户与其他帐户的关系。日益增长的正是这种元数据的出现和分析,对记者、抗议者和人权活动家构成了重大的隐私风险。Session 在很大程度上是对这种日益增长的风险的回应。它在现有密码学协议之上提供了强大的元数据保护,这些协议已被证明能够提供安全的通信渠道。

Session 通过三种关键方式减少元数据收集。首先,Session 在注册新帐户时无需用户提供电话号码、电子邮件地址或任何其他类似标识符。事实上,它根本不需要任何身份信息。相反,动态公钥/私钥对构成了帐户身份的基础。

其次,Session 通过使用洋葱路由协议,使将 IP 地址与帐户或用户发送或接收的消息联系起来变得困难。与之类似。第三,Session 不依赖于中央服务器。

一个由数千个经济激励节点组成的分散网络执行所有核心消息功能,在实践中,这些功能对于这些服务至关重要,例如存储大型附件和托管大型群聊频道。Session 允许用户自托管基础设施,并依赖内置的加密和混淆保护来减轻信任问题。换句话说,正如我们所知,拉,偏离。

Telegram 的负责人同意分享 IP 地址以及 Telegram 收集的任何其他元数据,以满足执法的要求,从而使自己免受指控。我们知道,Apple、Signal 和 WhatsApp 也通过尽可能地与政府和执法部门合作,避免了麻烦,并且他们能够提供 IP 地址和相关方标识符。他们可能无法窥探对话内容,但对话的事实以及对话各方的身份是显而易见的、共享的和可共享的。

我想到,自从我写下这段文字以来,另一个完美的元数据力量示例是加密货币和区块链。人们对它们是完全匿名的这一点大加赞赏,无需担心这些问题。这只是一个小问题。

你拥有你的区块链中的密钥,所有交易都是匿名的。我们知道它是如何运作的,对吧?我们能够看到资金的流动,并在资金从加密货币领域流出时进行关联。因此,我们无法看到谁,但仍然存在元数据。Session 的创建是为了尽可能减少元数据泄露。

因此,我们可能不应该感到惊讶,那些将 Signal 消息协议与洋葱路由结合起来,以故意创建高度私密消息系统的家伙,在当地联邦调查局访问之后,决定最终从澳大利亚搬走。这可能很快就会发生。该消息应用再次被称为 Session,并以多种 Android 和 iOS 智能手机以及 Windows、Mac 和 Linux 桌面版本提供。

从这里来看,这似乎是一个完美的解决方案。使用公钥/私钥对建立匿名身份正是正确的做法。他们做到了这一点,还有更多。由于所有源代码都在 GitHub 上公开维护,除了 34 页的技术白皮书外,还有一个易于访问的 5 页简报,他们称之为“简报”,其中包含他们的口号:“发送消息,而不是元数据”。URL 再次是 get-session.org,您可以在其中找到软件下载页面,以及指向 5 页简报和完整 34 页白皮书的链接。对我来说,这似乎是一个完美的解决方案。

因此,根据我们 YouTube 聊天中一些人的提问,我有一些问题要问你。我们现在在八个不同的平台上进行聊天。我正在尝试...

...监控所有这些...

...出现或我看到的出现,以便我可以在我们的 YouTube 设置中看到它。聊天说,请注意,Session 从 Signal 协议中删除了完美的正向保密性和可否认性。他们几年前就做了这件事。

他们说你不需要完美的正向保密性,因为这需要你设备的完全访问权限。如果你拥有完全访问权限,那么无论如何,事情都会变得很糟糕。可否认性也不需要,因为他们不保留任何关于你的元数据,所以你无需担心。这对你来说是否正确?

我认为,关于完美的正向保密性的担忧在于,美国国家安全局正在填充大型服务器农场。

...所有...

...是的,那个庞大的数据仓库。如果将来我们真的拥有能够破解当今公钥技术的量子计算机,那么他们就可以追溯地破解这些数据。幸运的是,Signal 已经过渡到后量子技术。因此,再次,担忧在于,如果你没有完美的正向保密性,如果你不断地与试图渗透你使用期间的公钥技术的某人断开连接,这将允许他们获得对称密钥。目前尚不清楚,在使用 Signal 协议(其中你同时使用前量子和后量子公钥技术)的情况下,是否真的有办法做到这一点。

所以,这真的重要吗?

他们需要这样做才能添加他们想要的特性。

...这很有意义。好吧,我认为唯一的真正失望之处是你家人中只有你一个人使用它。

你能吗?是的,是的。因此,这将是你在想要与特定的人进行真正保证的私密对话的情况。

你知道,这不会像“你知道你的 Signal 昵称,然后你将其添加到 Signal”那样。但对于真正想要进行真正私密通信的人来说,这比我们以前见过的任何东西都更进一步。他们拥有 Signal 中最先进的最佳消息加密技术,并将其与永不停止的洋葱路由结合起来,这非常聪明。

没有服务器拥有完整的消息。这就是有趣的地方。

对吧?是的,它完全是分散的。

我认为这太酷了,我一直对 Signal 中的电话号码感到困扰,我只是...

...感觉...是的,我认为他们正在...

...从用户名中退缩。

他们说,是的,是的,就像,好吧,你知道,这是否会是多对多。我知道我想要它们在一个电话和一个死亡陷阱上,但我无法在两个电话和多个死亡陷阱上使用它。因此,在某些任意限制下,我下载了这个东西,它在我的所有电话和桌面上都有,然后他们...

...使用相同的私钥找到了它。是的,因此你能够在其他设备上传播它。

是的,这很酷。是的,创建它时,它会给你一个二维码。它会以这种词语沙拉形式显示给你,你知道,兔子,去享受美味的朝鲜蓟体验。

然后我复制了它,然后将其粘贴到另一台设备上。我发现我在这里,我得到了我的图片,一切正常。我现在要安装它。

这很流畅。再次,所有三个桌面平台(Windows、Mac 和 Linux)以及两个手机平台都支持它。很好。让我们休息一下。然后我们将简要地重新讨论软件可靠性,然后结束讨论,并深入探讨互联网的未来。还有人关心 IPv6 吗?

哇。现在使用事件,先生。他就像特朗普一样,敲响了鼓。我们的 IP 地址即将用完。我们将耗尽 IP 地址,然后转向 IPv6。

美国采用情况的图表非常有趣。我们会到达那里的。

我迫不及待,好吧。但是现在,让我们先听听我们的赞助商,那些很棒的人,我与他们交谈过,ThreatLocker。ThreatLocker 是进行端点安全并解释其工作原理的一种非常有效的方法。

稍等。但首先,让我提出一个准确的问题,因为我真的知道答案。零日漏洞和供应链攻击是否让你彻夜难眠?它们确实。

如果你负责网络,对吧?不用担心,因为你可以通过 ThreatLocker 全球加强你的安全。我的意思是,真正加强它。

例如,像捷蓝航空这样的公司信任 ThreatLocker 来保护他们的数据,并让他们的业务运营保持高水平,如果你愿意的话。ThreatLocker 的关键在于零信任,这是一种处理这个问题的非常聪明的方法。想象一下,采取一种主动的,这些是关键。

默认情况下,访问被拒绝。我采用默认方法来实现简单的安全措施。你阻止所有操作,阻止所有进程,阻止所有用户,除非你的团队授权。

因此,ThreatLocker 帮助你做到这一点,并提供所有操作的完整审计,这对于风险管理和合规性非常有用。当然,我们有 24/7 的美国支持团队,将全程支持你,从注册到之后。你可以阻止组织内受信任应用程序的利用,并保护你的业务免受勒索软件攻击,所有这些都使用一个非常简单的概念:零信任。

或者,如果你在谈论太阳风,请听听这个。任何行业的组织都可以从 ThreatLocker 的好处中受益,它通过隔离关键和受信任的应用程序来防止意外使用,从而限制攻击者在网络中的横向移动。ThreatLocker 的隔离功能成功阻止了许多攻击。

它们没有被传统的 EDR 阻止。具体来说,我们谈论的太阳风技术正是被隔离功能阻止的。如果你考虑一下,这很有意义,因为你正在阻止未经明确授权的横向移动。

哦,ThreatLocker 适用于所有平台,所以你的网络是什么并不重要。ThreatLocker 可以帮助你保持安全,快速、轻松且经济高效地获得前所未有的安全控制能力。ThreatLocker 的零信任端点保护平台提供了一种统一的方法,用于保护用户、设备和网络免受零日漏洞利用。

这是一个很棒的解决方案。免费试用 30 天。了解 ThreatLocker 如何帮助你减轻未知威胁,同时遵守合规性,请访问 threatlocker.com。

很容易记住,你把所有东西都放在 ThreatLocker 中。threatlocker.com。非常感谢他们的支持。

我们之前在节目中讨论过零信任,你知道它如何帮助你。但现在有一种简单的方法来做到这一点。顺便说一句,这可能非常昂贵。

你应该检查一下。它不仅仅适用于大型公司。你也可以轻松地将其用于小型公司。greatlocker.duck.com,史蒂夫,你的回合。

因此,感谢你。欧盟提出的软件责任问题的大规模修订,不出所料,引起了科技新闻界的极大关注。我们上周在这里已经足够关注它了,但我很高兴我没有错过或误解了这项新欧盟指令的影响和意图。

正如一位记者所说,它确实看起来像它所呈现的那样。欧盟和美国对软件产品责任的引入采取了截然不同的方法。虽然美国将问题推迟到以后,但欧盟正在将手榴弹扔进去看看会发生什么。

软件行业在很大程度上免受缺陷或问题的责任,这导致了产品安全方面的系统性不足。当局认为,让软件公司对因糟糕的产品而造成的损害负责,将激励这些公司改进产品安全。当然,我们只能希望...我也想分享另一位作者的记录部分。他写道,国会让一群网络安全专家重新构想美国在数字安全方面的做法已经六年了。猜猜看,该小组几乎所有建议都已经实施。但有一个明显的例外,尤其困扰着政策制定者和倡导者,即建议让软件公司对由有缺陷的代码造成的重大故障承担法律责任。

他写道,软件可靠性是网络空间钠委员会的一个里程碑式的建议,这是一个由议员和外部专家组成的跨党派团队,通过一份有影响力的报告极大地提升了政府对网络政策的关注,该报告的 82 条建议中有大约 80 条已被采纳。最近的网络攻击和停机事件,包括对微软和 CrowdStrike 等供应商的攻击,证明了让软件公司对软件可靠性标准负责的紧迫性。但尽管有太阳能委员会的高度支持以及坏政府的兴趣,这一长期讨论的想法并没有结果。

对法律专家、技术人员和科技行业的采访揭示了为什么软件责任的设计非常困难,存在多种相互竞争的方法,并且该行业警告称,这将阻碍创新,甚至破坏安全。斯坦福大学关于地缘政治、技术和政府的项目高级政策顾问 Jm Dempsey 表示:“太阳能委员会和国会知道,要完成这项工作需要多年的努力。这是一个非常非常困难的问题。”

最近一系列大规模网络攻击和全球中断,包括太阳风供应链攻击、移动 IT 勒索软件活动、哈瓦那黑客攻击、CrowdStrike 停机和微软的漏洞,突出了世界对广泛分布但有时编写不当的代码的脆弱性。Desi补充说:“人们普遍认识到,我们对依赖漏洞过多的软件的依赖程度过高,需要改变。”

反复出现的故障激怒了专家,他们认为解决根本问题没有紧迫性,但让公司承担责任将非常困难。弗吉尼亚大学法学院专门研究网络安全和平台责任的副教授表示:“我们实际上从该行业成立的几十年开始就全面保护软件免受几乎所有形式的责任。这就像一个黄金时代的行业。”

几乎所有软件许可证都包含免除供应商责任的条款。政策制定者最初接受这种做法,因为这是帮助一个利基行业蓬勃发展的代价,但现在该行业已经成熟,其产品支持各种关键服务,因此,解开 Dempsey 所称的“隔离软件开发人员免受其产品缺陷后果的相互交叉法律原则”将是一场艰苦的斗争。所以,莱奥,我们这个播客当然不是唯一一个在过去二十年里观察到这一点的人。

就像这样,这不对。这必须改变,但改变是困难的。换句话说,IPv6 不是。好的。我想到的最后一个有趣的小点是...

众所周知,最近网络安全新闻中反复出现的一个事件是,该行业意外雇用了虚假的 IT 专业人员,通常这些专业人员声称是本国公民,但实际上是为朝鲜或至少为朝鲜利益工作的。希望这没有长期未被发现,因为似乎有大量此类事件发生。也许我们只是突然开始关注它。所以我们看到了很多这样的事情。

我分享了最近在与数字代理进行单向视频会议期间必须克服的希望,按照他的指示,我在脸上移动我的手,你知道,举起政府发放的身份证,证明我是我本人。据我所知,对朝鲜身份伪造的报道并没有揭示这些朝鲜员工以前有任何不当行为。当然,雇用他们是非法的,但他们只是伪造了身份。

事实证明,情况发生了变化。Cosmos 区块链的创建者承认该公司的确意外雇用了一名朝鲜 IT 专业人员。该公司表示,联邦调查局通知了该项目有关朝鲜员工的情况,但...

...负责接收通知的公司员工没有向其经理报告此事。什么?此外,Cosmos 表示,朝鲜员工提交的代码至少包含一个主要漏洞。该公司现在正在进行安全审查,以检查其他问题。

所以我们只能希望这些持续不断的披露能够导致更多实时视频会议,就像我与数字进行的那次会议,以证明我确实是本人,你知道,只是发送、转发一些没有必要再进行IT操作的头衔照片。嗯,想象一下,在开头,一位听众建议了一些我之前没有想到的事情。他的名字是布莱恩。

他说,请把我添加到您的安全现在播客GRC列表中,他说,我是一个偶尔的听众,非常感谢您分享的所有信息和技巧,谢谢布莱恩。它只是这样说的,但我希望分享这一点,因为布莱恩是那种能够从GRC每周播客中获得价值的听众,一些我从未考虑过的邮件选项,我经常从那些在收听方面落后的听众或无法总是抽出时间来收听的听众那里收到。所以布莱恩的笔记让我意识到,每周的邮件,正如我在节目开始时所做的那样,昨天下午发送给了11717人,在这种情况下,在确定如何分配时间时非常方便。

你看看这个列表,你会说,哦,这里有一些事情我想听听,然后,嗯,你已经抓住了播客。所以谢谢布莱恩,谢谢你提供这个想法。

我们记住,有些人并没有收听每一期节目,这很好。是的,我认为这是……

今天一个很好的观点。人们的时间和注意力有很多竞争。

我一直担心,你知道,如果人们无法收听所有节目,他们可能会放弃收听这个节目。你知道,我订阅了《纽约客》。想象一下,要阅读这么一大堆杂志。而且,就像你必须阅读每一期一样,有一种内疚感,而不是只是简单地进入它。你不会感到内疚,没关系,而且你不需要收听每一集。

对吧?而且,如果你订阅GRC,只需访问GRC.com/mail,然后注册,将自己添加到安全现在列表中,我们有两个列表,一个是专门为安全分析师准备的,另一个是普通的GRC新闻。

我相信我会谈论我在GRC中做的事情,啊,对了,我忘了提到,因为我昨天晚上完成了播客,我更新了播客编号的四位数技术,所以当我们从999到1000时,一切应该都能顺利进行。所以现在已经到位了。所以,嗯,好的,还有两点。

马丁和丹麦说,史蒂夫,非常喜欢这个播客,从第一集开始就一直和你们在一起。不幸的是,我希望我们从零开始。莱奥,我只是没有想到,你知道,我们从绿色……

回来,我们认识新成员。

我当时想,我们永远不会达到999。我们甚至没有达到300集。所以我们现在在这里。

但我只想指出,作为一名程序员,我非常喜欢一种语言,在所有方面都称为Julia。我最大的抱怨是它的计数从1开始,而不是0。我觉得很抱歉,我做不到。在其他方面,我真的很喜欢这门语言。但这已经超出了我的能力范围。

是的,它应该是一个偏移量。这是一个数字还是一个偏移量?

对,对。

哦,所以马丁和丹麦说,我有一个关于SpinRite的问题,对吧?当他说“加速SSD”时,他说我的电脑需要重新格式化和重新安装Windows。Windows运行速度变慢了。

就像它总是那样,但似乎比平时更糟。他说。所以我想我的SSD可能需要一些帮助,因为我无论如何都要更换硬盘。有没有办法做到SpinRite做的事情,但不用SpinRite?他说,我假设使用Windows安装程序或磁盘分区工具只是擦除文件系统/分区表,而没有做其他任何事情。

我是否正确,一个穷人的解决方案是删除驱动器上的分区,创建一个新的分区,然后用随机数据填充它?我不知道,SpinRite?他说,出于经济原因,只是想知道是否有其他方法,因为我不关心驱动器上的数据,谢谢马丁和丹麦。

所以这是我回复马丁邮件的内容,他的邮件发到了[email protected],这是任何注册GRC的人都可以使用的邮箱。

电子邮件系统能够像我刚才读到的那样发送邮件给我。我写道,嗨马丁。你根本不需要SpinRite。

SpinRite做的唯一神奇的事情,除了可能在过程中帮助你从任何问题中恢复之外,就是重写SSD上的数据。但关键在于重写,而不是重写。所以,如果你要重新安装Windows,重新安装本身就会覆盖数据。而这种覆盖正是目标,我说,我们发现SSD在不抱怨的情况下,随着时间的推移,其速度会出人意料地变慢,而其介质区域从未被重写过。

SpinRite可以轻松地用数据刷新SSD,但如果不需要保留SSD当前的数据,那么也不需要SpinRite,标准的Windows重新安装将完全达到你的目的。所以,对于任何处于马丁这种情况的人,我想分享这个信息。

嗯,我们看到一个又一个的例子,人们说,哦,天哪,我不敢相信我的笔记本电脑在运行SpinRite之后速度有多快。所以当然,在几个小时内这样做要比重新安装Windows容易得多,但是马丁无论如何都想这样做。哦,我忘了提到他昨天下午收到了节目笔记。

他看到了节目笔记中我的回复,然后回头说,只是想让你知道,我已经重新安装了Windows。天哪,速度更快了。他说,比我预期的还要快。所以确实如此。

他在YouTube上。他在YouTube上观看,在聊天中说,这就是我的问题。是的。

丹麦现在几点钟?

现在几点?是的,很晚了,快到午夜了。

好的。我们最后一点反馈,艾伦·盖耶。哦,莱奥,他也是一位业余无线电爱好者。

好的,六、A、C、G,这是他的呼号。他说,嗨史蒂夫,我真的很喜欢电子邮件而不是X。谢谢您切换。

他说,我做很多Python编程,真的很喜欢代码创建过程,所以我不用ChatGPT来编写我的初始代码,但我用它来编写函数之后。我只是输入,并要求ChatGPT描述它做了什么。如果我喜欢结果,我会问它是否有改进我编写的代码的方法。

他说,我已经让ChatGPT定制,使其优先考虑可读性、描述性函数/变量名,而不是更短或可能更神秘的代码。这个过程很好地融入到我的开发流程中,并产生更高质量的代码。他说,我希望这能帮助其他人。

对我来说效果很好。艾伦,好的。人们经常被告知的一件事是,提高自己的技能没有比花大量时间阅读其他人的代码更好的方法了。

成功的作家总是花大量时间阅读其他作家的作品,作曲家从小就认真聆听过无数先前的作品。所以,阅读其他人的代码对程序员来说同样有价值,这一点也不奇怪。正因为如此,我认为艾伦的想法非常有趣且有用。

ChatGPT已经通过阅读大量其他人的代码进行了训练。所以,我认为问像ChatGPT这样的AI,你是否能看到改进你刚刚编写的代码的方法,这比首先要求它完成工作更有意义,如果你只是为了享受编程的乐趣,就像艾伦所说的那样。而且,在这样做的时候,不要放弃,也要抓住机会,通过将你的作品与之前发布到互联网上并影响ChatGPT训练模型的所有人的智慧进行测试来学习。我认为这很有意义。

是的,事实上,我做的时候,顺便说一下,代码十二月活动正在进行中。首先,我们每年25天的编码挑战,我去年只完成了22天。

我希望今年能完成25天。但我经常做的事情是,我首先编写代码,而不查看任何人的代码。但是,然后我会查看所有其他解决这个问题的人,看看他们是如何完成的,并且经常会获得很多好主意和见解。

如果我发现一些人用相同的方法做这件事,那就太好了。我喜欢看看他们是如何做的,因为这确实是我改进自己技能的最佳方法,就是看看这些大师是如何做的。而且,在他们所做的事情中,不仅很聪明,而且非常聪明。

我喜欢。是的。在我们进入IPv6之前,你想休息一下吗?

让我们这样做。所以我们不要因为最后几分钟而误解。我认为每个人都会发现这很有趣。这里有一些新的想法很有趣。

我的意思是,我现在拥有的所有设备几乎都支持IPv6,我可以使用IPv6地址等等。但这似乎并没有那么大的压力要放弃……

因为目前不到一半的全球前1000个网站可以使用IPv6访问。

有趣。

不到一半的前1000个……

是的,我之前也遇到过很多。文斯和其他一些人没有预料到运营商和网络服务提供商使用IPv6的成功……

在他们那一边。是的。

所以,无论如何,我们稍后会讨论这个问题。但首先,我们的赞助商要插播一段广告。安全现在这个部分由OnePassword的优秀团队赞助。

我希望每个人都知道OnePassword。但是OnePassword是一个非常酷的新东西。它非常聪明。让我问你一个问题。你,你,这是一个多么愚蠢的问题,亲爱的,我爱我问的每一个问题。而且用户,他们总是使用公司自己的设备,对吧,使用公司批准的应用程序,对吧?然后他们还会把手机和……

笔记本电脑带到办公室,对吧?

所以很明显,他们没有。对吧。那么,当这些未经管理的设备上可能存在公司数据时,你如何保护公司数据?OnePassword有一个非常酷的解决方案,他们称之为扩展访问管理。OnePassword扩展访问管理可以帮助你管理每个应用程序的每个设备上的每个登录,它解决了传统和MDM无法解决的问题。

如果你将公司的安全比作大学校园,那么公司拥有的设备、经过批准的应用程序以及管理员工身份的系统之间有漂亮的砖砌小路。一切都很好,对吧?但是,总有一些……

人们实际上使用捷径,穿过草地,实际上他们并不笨。他们实际上是连接建筑A和建筑B的最奇怪的路线。人们会做他们会做的事情。

这就像你的一张照片,史蒂夫。这些是未经管理的设备、影子IT应用程序以及网络上的承包商等非员工身份。大多数安全工具都认为我们生活在一个充满快乐砖砌小路的世界上,但许多安全问题都发生在捷径上。

让我们面对现实,这是捷径。这就是为什么你需要OnePassword扩展访问管理。这是第一个将所有这些设备、应用程序和身份置于你控制之下的安全解决方案,确保每个用户凭据都安全可靠,每个设备都已知且健康,每个应用程序都是可见的。

这是我们今天工作方式的安全解决方案。现在已经普遍可用。对于使用Octave或Microsoft和Truf身份验证的公司,它会增加一些功能,在谷歌Workspace客户之后,我认为你需要检查一下,访问OnePassword.com/security。

现在是OnePassword,OnePassword.com/securitynow,OnePassword扩展访问管理。这是一个现在已经成熟的想法。说到一个想法……

……它的时间还没有到来。

……它一直在到来,但还没有到来。IPv6,史蒂夫,好的。

我知道我们的大多数听众不需要了解IPv4和IPv6之间的区别。但我希望分享APNIC实验室最近发表的一篇精彩博文。由于它假设你完全了解IPv4到IPv6的逆向转换,我想快速介绍一下。

IP代表互联网协议,互联网协议的第四版是最初的版本,并在20世纪90年代中期成为全球标准。创建这个成功的互联网的人们已经开始担心它的增长,因为那时增长是指数级的。所以他们开始着手开发它的继任者,也就是众所周知的IPv6,或互联网协议的第六版,尽管IPv6在许多方面都与IPv4有所不同。

最突出和最重要的……互联网地址以二进制位表示,任何二进制位组合都只能有这么多可能的组合。最初的IPv4协议使用32位。最初的……

……点分十进制表示法是256的八位数,……

……四个八位数的集合。正是如此。所以,在互联网出现之前,当它还只是一个假设实验时,人们认为这32位,可以支持42亿94967296个独立的互联网地址。

你永远不需要更多。

不,几乎是43亿,对吧?这意味着我们有5台大型计算机……

……以及莱奥的报告中所预料到的,他家里会有100个IPv4设备。

这是真的,对吧?嗯,所以你知道,他们认为这比苹果公司还要多,对吧。但正如我们今天将要发现的那样,大约有200亿台设备连接到互联网,许多人认为互联网面临问题。

如果有人想知道这是如何可能的,请考虑一下普通家庭中连接到互联网的设备数量。莱奥,感谢网络路由、网络地址转换和NAT的奇迹,它们都能舒适地共享家庭单一ISP分配的IPv4地址。所以,思考这个问题的方式是,IPv4协议还为端口号预留了16位。

因此,在任何给定的32位IPv4地址中,附加的16位用于指定该地址上的端口号。所以,当你这样想的时候,如果你将互联网视为通过端口号而不是主机IP进行公共寻址,基于端口的寻址会产生48位总寻址,32位用于IP,加上该IP上的16位端口。因此,网络路由所做的就是借用IPv4端口号中的位,并将它们用作额外的寻址位。这确实有效,但它确实激怒了互联网纯粹主义者。这些人非常讨厌这种想法……因为他们只是说这不是我们设计它的方式。

我不知道……

……他们并不高兴。事实上,我这里有一些他们的评论。他们并不高兴。好的,现在让我们回到今天的主题。每个人都同意IPv4正在被过度使用,远远超出了其预期寿命。

但是,为什么在90年代没有IPv6?现在的问题是什么?距离第1000集播客还有两集。

我们的听众中有人会惊讶地发现,这仅仅是因为阻力、惯性和端口寻址工作得足够好?好的。首先,是谁写了这篇博文?

APNIC是什么?APNIC是亚太地区区域互联网地址注册机构。因此,APNIC……

……是全球五个区域互联网注册机构之一,缩写为RIR。所以我们可以将其视为IP地址分配的来源,因为,嗯,它就是来源。

所以,这是负责IP地址空间的人们在一周前的上个星期二写这篇博文时所说的话。由于杰夫以第一人称写,所以用他的名字介绍他似乎很合适,杰夫·休斯顿。

他是APNIC的首席科学家,研究互联网基础设施、IP技术和地址分配策略等主题。他被广泛认为是IPv4耗尽方面最杰出的研究人员。国际机构经常引用他,媒体也经常引用他。

所以,杰夫是我们想听听他关于这个问题的意见的人。上个星期二,他说,我在2022年5月写了一篇文章,询问我们是否已经准备好过渡到IPv6。

我在文章的结尾持乐观态度,指出我们可能还没有结束过渡,但我们正在接近。我认为我们不会以轰轰烈烈的结局结束这次向IPv6的过渡,而是几年后以一种平淡的方式结束。我想用一些不同的想法来修改这些结论,讨论我们未来的方向,以及为什么公众互联网中向IPv6的过渡状态仍然让我们困惑。

RFC 2460,IPv6协议的第一个完整规范,于1998年12月发布。二十五年多年前,IPv6的全部意义在于指定IPv4的继任协议。由于IPv4地址池耗尽的可能性。

我们十多年前就耗尽了可用的 IPv 地址池。然而,互联网很大程度上仍然依赖 IPv4。向 IPv6 的过渡已经持续了 25 年,尽管 IPv4 地址的耗尽应该引发紧迫感,但我们已经与它相处了这么久,以至于对这个问题变得麻木了。

现在可能需要再次提出这个问题:APNIC 实验室的 IPv6 过渡还要持续多久?我们已经对 IPv6 的采用率进行了十多年的测量。我们使用了一种测量方法,从互联网用户群的角度来看待网络。

我们测量的是,当唯一的方法是使用 IPv6 时,用户能够访问已发布服务的比例。数据是通过嵌入在线广告中的测量脚本收集的,广告位置配置为持续地抽样各种终端用户。下图显示了 2014 年至今互联网用户中 IPv6 采用的测量结果。这是我目前在顶部显示的图表。

所以,从 2014 年到 2020 年,IPv6 采用率看起来非常不错。嗯,2020 年之前基本上是十年。现在我们接近 2024 年末。所以差不多 11 年了。起步有点慢,然后在 2017 年有所提升,之后基本上呈直线上升。

继续上升。这是一个很好的采用曲线。那些奇怪的峰值是什么?我想……

那些只是测量结果。

就像……

不起作用。哦,好的。所以他说,一方面,该图是那些经典的向上向右的互联网曲线之一,显示了 IPv6 采用的持续增长。

问题在于 y 轴的刻度。

这里的问题是,在 2024 年,我们只达到一个水平,略高于三分之一的互联网用户群能够访问仅使用 IPv6 的服务。其他人仍然使用仅 IPv4 的互联网。只有三分之一的人能够访问。这很好。不。

这令人震惊。实际上,他们正在查看机器、路由器。他们正在查看什么?

所以,这是一个仅接受传入 IPv6 流量的服务器,所以他们……

正在查看接收器与发送器,我的机器,我兄弟的机器,他们正在查看……

服务是否正确。所以,再次,你提出了一个很好的观点。我们可以用多种不同的方式来考虑 IPv6 采用率的含义。

所以他们具体说的是,他说,我们将绘制能够通过 IPv6 访问的服务的互联网用户群的百分比。而现在,正如他所说,三分之一的互联网用户能够联系到只能通过 IPv6 访问的服务器。我认为他们的方法非常巧妙。

他们将广告散布在互联网上,作为在用户浏览器中运行自己脚本的一种方式。该脚本可能查询了两个服务器,一个使用 IPv4 地址,另一个使用 IPv6 地址。而且,访问这些广告并运行脚本的浏览器的访问者应该非常多样化。

无论如何,杰夫继续说道。他说,这似乎是一个完全异常的情况。自 IPv4 地址供应耗尽已经超过十年了。也就是说,已经没有更多可分配的地址了。他说,互联网不仅在空转,还在被要求扩展连接设备的数量,而不会在 2024 年末崩溃。据估计,大约有 200 亿台设备使用互联网,但互联网 IPv4 路由表仅包含大约 30.3 亿个唯一的 IPv4 地址。

请注意,32 位地址总数(接近 43 亿)与互联网当前路由表(30.3 亿)之间的差异是由于网络分配总是留有余地。你知道,你可能主机太少,你可能主机太多。

所以,这里来了论证的精华部分。杰夫写道,原始的端到端互联网架构假设每台设备都有其自己的 IP 地址。

然而,国际互联网现在平均将每个 IPv4 地址共享给 7 台设备。而且,如果端到端是互联网架构的维持原则,那么只要 IPv4 基于访问和服务的用户而言,一切都结束了。他写道,IPv4 本来是为了解决这些问题而设计的。

协议中的 128 位宽地址字段具有足够的地址空间,允许每台连接设备使用其自己的唯一地址。IPv6 的设计故意非常保守,这意味着他们做得很大。他说,我们不会犯同样的错误两次。

从根本上讲,IPv6 只是 IPv4,只是地址更大。还有一些对分段控制、地址获取协议(ARP 与邻居发现)以及 IP 选项字段的更改。但是,运行在 IP 之上的上层传输协议,IP 数据包保持不变。

IPv6 的目的是对协议堆栈中的单一级别进行几乎看不见的更改,而不是以代表 IPv4 的非常小的增量更改的方式,对整个全新的网络范式进行巨大的转变。IPv6 设计达到了其目标,但在这样做时,它在协议使用和性能方面几乎没有提供任何改进。IPv6 既不比 IPv4 快,也不比 IPv4 更安全。

IPv6 的主要好处是减轻未来 IPv4 地址耗尽的风险,在包括互联网在内的许多市场中,未来风险通常被严重低估。换句话说,没有人真正关心未来。结果是,部署此第二协议的支出没有带来降低成本、增加收入或增加市场份额的实际好处,因此进行此过渡的动机水平差异很大。

在网络环境中,个体行为的市场协调至关重要,关于运行双栈网络价值的观点差异导致个体参与者不愿采取行动,以及过渡到共同结果的进展缓慢。结果,没有共同的紧迫感。请注意,当他提到双栈时,他指的是使用同时运行 IPv4 和 IPv6 协议的机器,这是完全可能的。今天运行现代桌面计算机的所有人都运行双栈。是的,如果我打开……是的。

我的意思是,这就是我的路由器。在我的测试顶部,我可以选择 IPv6,对吧?我只需要……

即使对我来说,如果我在我现在面前的 Windows 7 机器上打开命令提示符并输入命令 ipconfig,我会看到我的机器同时具有 IPv4 和 IPv6 地址,以及 IPv4 和 IPv6 默认网关。

这意味着我的 ISP 电缆同时提供 IPv4 和 IPv6 支持,这通过我的调制解调器流向我的防火墙路由器,该路由器将互联网的两种版本分发给我的本地网络中的所有机器,从而形成双栈。所以杰夫的重点是,除了边缘的一些小修复之外,IPv6 的唯一重要目标是提供更大的地址空间。而这不足以推动其采用。

我的猜测是我们看到的是我称之为磨损式采用,就像我们获得 Windows 11 一样,当 Windows 10 机器失效并且无法再获得 Windows 10 机器时,换句话说,除了需求或需求之外的其他原因。杰夫说,为了说明这一点,我们可以查看下图中显示的时间序列,并提出这样一个问题:如果 IPv6 采用的增长趋势保持当前速度,那么需要多长时间才能让每台设备都支持 IPv6?

他说,这与将线性趋势线放在第一张图中使用的数据系列上相同,基本上是外推,对吧。他说,寻找这条趋势线达到 100% 的日期,使用从 2020 年 1 月至今的数据集的最小二乘最佳拟合,并使用线性 AR 趋势线,我们得到了第二张图。莱奥,你可以在屏幕上看到它,并且它在演示文稿中。

这项练习预测,我们将在 2045 年末或未来 20 年左右看到过渡的完成。我对此表示异议,但稍后会详细说明。我认为我们永远不会达到那里。

他说,必须指出,这项预测没有对各种服务提供商、消费者和网络实体的行为进行深入建模。驱动这项预测的唯一假设是,塑造最近过去的那些力量在展望未来时不会改变。换句话说,这项练习只是假设明天会很像今天。

第二张图中的预计日期不如观察到该模型预测过渡将持续另外 20 年,如果 IPv6 的目标是恢复所有互联网连接设备的统一地址系统,那么重要。但是,这种独特的寻址模型的延迟时间从大约 2015 年到 2045 年,引发了人们对这种自由工作的相关性和价值的疑问。史蒂夫。

我想指出,你和我有关于 20 年意味着什么的某种想法,它比你……

……认为的要快,对吧?这意味着我们正在接近……

……第 1002 集。

这意味着世界将……

……在 20 年内。

在 20 年内,当……

……IPv6 最终可以将所有内容转换为冷……这是什么?科林?性?我讨厌这些地址。

莱奥。它们只是让你的眼睛交叉,它们的哈希。

首先,它们的哈希,以及它们由分号分隔的四个数字,以及……

……这些六组数字很长,以至于它们很奇怪,就像以前的系统一样……

……为了创建,我以前创建过,因为许多 IPv6 地址中有很多零。所以你可以简化它们。是的。

不好,不好。他说,如果我们可以在没有如此一致的设备寻址架构的情况下运行功能齐全的互联网长达三十年,那么为什么我们会在未来的某个时间点感到需要恢复地址一致性呢?如果它没有解决地址问题,IPv6 的意义何在?他写道,IPv6 过渡出了很大的问题。

这就是我想在这篇文章中探讨的内容。好的。所以……他继续深入探讨,甚至超过了本播客所能处理的内容。所以我将跳过一些内容,但我会分享一些重点。

让我们回顾一下 1990 年代互联网先驱们看到了什么,他说,到 1990 年,很明显 IP 存在问题。当时互联网仍然很小,但增长模式呈指数级,每 12 个月翻一番。现在发生了两件事,他们没有预料到,而这两件事解决了这个问题。

这只是其中之一,不仅在客户端,嗯,他说,我们对 IPv4 类 B 地址池感到压力很大,如果没有纠正措施,这个地址池将在 1994 年耗尽。好的。

所以,他们在 1990 年,他们正在绘制类 B 网络分配消耗率的图表。我这里有一张图片,它是从 1990 年 8 月的 IETF 会议记录中截取的。而且,因为他们仍然用手画图,所以相当有趣。

嗯,你知道,就像从我的手中写出来的一样。我真的很喜欢。哇。

回到 1990 年,我记得我们真的没有激光打印机,所以我们必须像在餐巾纸上一样用手画图,是的,以及……

……这些来自官方会议记录。标题是弗兰克·斯基的互联网增长。IETF 会议记录,1990 年 8 月。

1990 年最少。弗兰克用尺子画图。

是的,他确实。是的,但不是标题,你知道,以及其他产品。所以杰弗里解释说,IETF……

……在 1990 年代初期感到恐慌,因为互联网的原始设计注定要崩溃,永远不会有乐高积木。当时,网络分配只有三种类型,这是一个大问题。他说,IETF 采取了一系列短期、中期和长期措施来解决这个问题。短期内,IETF 放弃了基于类的 IPv4 地址计划,转而采用可变大小的地址前缀模型。

他说,包括 BGP 在内的路由协议很快被修改为支持这些无类地址前缀,可变大小的地址前缀增加了地址分配过程的负担,中期,互联网社区采用了区域互联网注册机构结构,允许每个区域管理其日益复杂的地址分配和注册功能。这些措施提高了地址分配的精确性,并使分配过程更精确地确定了足够的资源分配,从而允许更谨慎的地址分配实践。这些措施实现了地址实现效率的显著提高。

使用网络地址转换 (NAT) 共享地址的概念也在 ISP 世界中获得了关注。这不仅极大地简化了 ISP 中的地址管理流程,而且还在很大程度上减少了整体地址消耗的压力。这些措施在 1990 年代初期的采用将两年内即将到来的危机转变为更易于管理的十年决策情景。

然而,它们不被认为是稳定的长期解决方案。当时人们认为,有效的长期解决方案实际上需要扩展 IPv4 中使用的 32 位地址字段。当时,从大型机到笔记本电脑的转变……

……现在只有几百个员工了。

所以,从大型机到笔记本电脑的转变在计算领域已经开始,并且在未来几年计算领域可能出现的进一步小型化和部署小型嵌入式设备的可能性很明显,而 40 亿的地址空间对于未来几年计算领域可能发生的事情来说还不够大。当然,如果你绝对需要每台设备……是的,拥有自己的地址,这绝对是真的,我们现在有 200 亿台设备,而且还在快速增长。

是的。我的意思是,我可以想象有人说,天哪,他们正在给烤面包机分配互联网地址。

我们这里有问题。这将是灾难性的。我的意思是,笔记本电脑……

物联网呢?我的意思是,这即将爆炸。你甚至有……

……带有 IP 地址的灯开关。是的,完全正确。是的,所以……所以,回到他关于类 A、B 和 C 网络的观点,我们应该记住,原始互联网将整个网络空间……

……划分为 32 位字节边界。IPv4 地址,正如我们所说,有 8 位字节。所以,类 A 网络通过其最高有效位进行编号。最高有效字节是网络号,所以你不能有太多。然后,剩余的 24 位位于该最高有效位右侧,用于该大型网络中的主机机器……

……有 254 个。

5 个类……

……网络。

类 B 网络使用两个字节作为网络 ID,然后使用 6 位作为每个类 B 网络中的单个主机机器。最后,类 C 网络使用三个字节作为网络 ID,然后只使用一个字节作为主机机器。所以它们只能有 254 个,因为你需要零。你知道,所有零和所有一都保留用于广播等。所以,无论如何,杰夫指的是,这创建了巨大的粒度,网络分配非常不均匀。

采用所谓的无类域间路由 (CIDR),其中网络 ID(左侧)和该网络中主机机器编号(右侧)之间的划分现在可以落在任何位边界上,而不是仅落在字节边界上,这极大地增加了互联网路由器和路由表上的负载。但回报是,单个网络分配的大小现在可以更精确地跟踪并更好地适应该网络中的主机机器数量。所以这是一个巨大的胜利,基本上让事情持续了十年,因为我的意思是,否则,你一天之内就无法拥有那个网络,更不用说那么多机器了。但杰夫提到了网络路由的出现,我一直很感兴趣,那有什么问题?

它有效。是的,杰夫,这就是杰夫……

哦,天哪,我们必须让IT部门听听杰夫关于NAP的意见。他说,在这个时候,互联网别无选择,只能持续增长IPv4网络。虽然我们一起等待IPv6,但网络的势头又回到了网络,或者说,对于IETF来说是一个具有挑战性的课题。整个连贯通信的概念是让网络中的主动中间件发挥作用。

他们想要一切,拥有独特的风格,网络上的每一件事物都独一无二。

最初的概念是点对点,嗯,地址对地址。他们不想放弃这一点。

电话号码没有区号。它只是……

你们,他们说这是错误的。这不是应该的方式。所以他说,这在该模型中创造了一个破坏点,产生了对网络元素的严重依赖。他们从网络中去除了网络灵活性,同时将传输选项减少到TCP、UDP。当你想到这一点时,你无法支付网络路由器后面任意设备的费用,而你应该能够支付互联网上的任何设备。

这真的让你思考,如果他们从一开始就采用IPv6,那会是多么不同。

哦,那会完全不同。

还有很多其他事情可以实现。

是的,还有很多很多其他事情。完全正确。

你可以找出每个设备是否正常工作,但是……

你可以查询……

设备,所有设备都可以公开作为安全……

会是……

可能有点更具挑战性。我的意思是,这保护了我们。

它不保护我们身后的东西。哦,天哪,这是一种很棒的防火墙技术。所以他说IPv4,但它作为副作用的防火墙特性是他们的抱怨。

是的,他们不喜欢如果可以有一个,但它不应该像……没有什么是不能有的。是的。正如我们所知,今天你不能将一台机器连接到原始互联网上。它会在几秒钟内被接管。好的。

所以他说,IETF 抵制任何规范网络行为的努力,担心标准化网络行为规范可能会赋予网络使用权,并产生IETF参与者和,你知道,他们非常热衷于避免的负面结果,他说。这种厌恶并没有降低其背后的发展动力。

换句话说,抱歉,我们不管你们需要什么。我们需要它们。是的,他说我们已经用完了IPv4地址,IPv6仍然遥遥无期。

所以这是最方便的解决方案。这项行动所取得的成就是创造了各种实现中网络协议行为的大量差异。换句话说,由于他们不愿意标准化它们,我们得到的就是一团糟,因为每个人都必须自己发明这些东西。

每个人都做了一点不同的事情。他说。这项行动所取得的成就是创造了各种实现中网络协议行为的大量差异,特别是关于UDP行为。这在软件复杂性方面带来了成本,如果应用程序想要执行比简单的两方TCP连接更复杂的操作,则需要动态地发现网络路径中的网络类型。尽管存在这些问题,但网络协议仍然是对IPv4地址耗尽的一种低摩擦响应,个人部署可以在不产生外部依赖的情况下进行。

另一方面,IPv6的部署依赖于其他网络和服务器也部署IPv6,这使得客户端的地址空间得到了高度有效利用,因为网络不仅可以使用16位源端口字段,而且通过时间共享,NAT实现了更高的地址效率。基本上是重用这个空间。我们能够维持数十亿连接设备的互联网的一个主要原因是网络协议的广泛使用。

好的。所以这是连接客户端一侧的情况。行业在服务器端发展出的解决方案是我们之前讨论过的,但在这种情况下从未真正考虑过。杰夫指出,随着Web服务器中传输层安全(TLS)的引入,服务器架构也在不断发展。在TLS会话建立期间添加了一个步骤,其中客户端会告知服务器它打算连接到的服务名称。

这不仅允许TLS验证服务点的真实性,还允许服务器平台从单个平台和单个平台IP地址托管大量服务,并通过此TLS服务器名称指示(SNI)执行各个服务选择。结果是,服务器平台通过名称执行服务选择,在会话握手期间区分DNS名称,从而允许单个服务器平台为大量单独的服务器提供服务。客户端广泛使用网络协议以及服务平台中服务共享的使用,缓解了整个IPv4地址环境的压力。

我有一个完美的例子,GRC。我没有从三级获得无尽的IP地址。你知道,我紧紧抓住我珍视的那些,但多年来,我想提供的服务范围由于服务器名称指示而增长,我刚刚检查了13个不同的Web服务,它们共享一个IP地址,DNS指向13个不同的域名到一个IP。

任何希望连接的Web浏览器都在连接握手期间指示机器正在寻找的内容。所以这确实是我没有关注的事情。但这是绝对正确的。

IPv4连接的两端,客户端端有网络协议,这从实际意义上讲,允许客户端端无限扩展,在服务器端允许托管提供商拥有少量IP地址。DNS现在冗余地将大量域名指向少量IPv4地址。

所有这些,从域名到IP地址的这种模糊性,都发生在TLS SNI握手期间,其中浏览器说这是正在寻找的主机,我被告知这是一个IP地址。是的,还有数百个其他地址。这是一个非常酷的方案,而且它确实有效。

好的。杰夫在更详细的说明中继续讨论,为了节省时间,我故意跳过了很多杰夫的讨论,但最终他开始探讨这个问题,他说,现在我们已经处于过渡阶段,这个问题变成了,这个过渡还要持续多久?他说,这个问题看起来很简单,但需要更详细的解释。

当我们能够宣布这次过渡完成时,终点是什么?是在互联网上不再有基于IPv4的流量的时候吗?是在互联网上的公共服务不再需要IPv4的时候吗?或者我们指的是IPv6服务成为唯一可行服务的时候吗?或者我们应该看看IPv4地址的市场,并在IPv4地址获取价格完全崩溃时定义这次过渡的终点。

也许我们应该采取更务实的做法。与其将完成定义为完全消除IPv4,不如考虑在IPv4不再必要时完成。这意味着当服务提供商能够仅使用IPv6运行可行的互联网服务,并且根本没有支持IPv4访问机制时,我们就完成了这次过渡。

这意味着什么?当然,ISP需要提供IPv6,显而易见,但同样,所有连接的边缘网络和这些网络中的主机也需要支持IPv6。毕竟,在过渡完成时,ISP没有IPv4服务。

这也意味着,此ISP的客户端使用的所有服务都必须通过IPv6访问。是的,这包括所有流行的云服务和云平台,所有内容流媒体平台和所有内容分发平台。这也包括诸如Slack Zero Asia之类的专用平台,以及互联网协会脉搏报告中发布的类似数据,表明今天只有47%的顶级1000个网站可以通过IPv6访问。

显然,许多服务平台已经努力做到这一点,这将需要更多时间。当我们查看美国的IPv6采用率数据时,还有一个奇怪的异常情况。

莱奥,这是我之前提到的最后一张图表。看看它。我认为这很有趣。

它保持不变。

它在20年代左右保持不变。它停止增长了,老兄,它在2014年开始增长,大约在超过5%、可能6%的增长后,达到大约55%、60%左右,然后是水平线。

这个……

是网站,不,这是他们的探测,显示线性增长。相同的探测显示,对于美国,它保持不变。哦。

这是我们与我们之前观察到的全球采用率图相比的情况。我知道……

我们之前观察到,世界其他地区,例如发展中国家,互联网接入正在获得,自然而然地获得了IPv6接入,因为他们没有IPv6的惯性,当然可以获得IPv6。但是,我们之前观察到全球整体采用率令人惊讶地呈直线上升趋势,而图表只显示美国的采用率,在过去六年中,从2019年初到2024年,美国的IPv6采用率保持不变,没有增长,一点也没有。杰夫得出了一个非常有趣的结论,即互联网的服务和服务模式正在发生变化。

而且,从某种意义上说,DNS已经演变成我们的路由协议,这与我之前提到的内容有关。他解释说,域名充当服务标识符。它本应是IP地址。

不,域名充当服务标识符,就在这里。这是他说的,域名支撑着用户对在线服务的真实性测试。DNS越来越多地用于引导用户到内容或服务的最佳服务交付点。

从这个角度来看,IPv4或IPv6地址并非服务及其用户的重要资源。这种CDN网络的货币是名称。是的。

那么,2024年我们处于什么状态?今天的公共互联网主要是一个使用CDN将内容和服务尽可能推送到用户边缘的服务交付网络。将多个服务多路复用到底层服务平台上是一个应用程序级功能,主要与TLS和服务选择相关。

使用TLS握手中的SNI字段,我们使用DNS来选择最接近的服务平台,旨在让CDN直接连接到用户所在位置的接入网络。这导致CDN路由表具有平均路径链接设计,以收敛到一个。从这个角度来看,DNS已经承担了路由的角色,虽然我们今天在互联网上不路由名称,但它的运作方式在很大程度上等同于命名数据网络。

换句话说,不再是地址,而是名称。这种架构变化对互联网TLS等方面有一些不同的含义,无论你是否喜欢,都有很多值得批评的地方。DNS的健壮性是互联网真实性的唯一基础。

到目前为止,DNSSEC并没有获得太多动力。DNSSEC过于复杂、脆弱,并且对于大多数服务及其用户来说速度太慢。

一些价值足够高,足以让他们接受其缺点,但对于大多数域名所有者和大多数用户来说并非如此。任何关于DNSSEC的热情洋溢的陈述都无法改变这一点,它不支持将名称映射到IP地址的观点。这是关键。

关键是命名服务能够证明它是由名称所有者运营的,换句话说,证书。其次,路由PKI,用于保护BGP路由协议中传递信息的框架,在没有路由的网络中实际上并没有多大用处。这些观察结果的含义是,向IPv6的过渡进展非常缓慢,并非因为该行业存在长期短视问题。

这里还有其他事情在发生。IPv6本身并非大型最终用户服务交付环境的关键。我们能够将20世纪80年代基于地址的架构扩展超过十亿倍,方法是将对地址的依赖改变为对名称的依赖。

尝试跳跃到另一个20世纪80年代基于地址的架构,即IPv6,除了更长的地址之外,几乎没有真正的持久好处。因此,总结一下,发生的事情是互联网已经成为Web网络。它主要与万维网有关。

即使它不是,大多数关键点仍然由Web的TLS保护。发生的事情是,Web的两端都独立地解决了IPv4资源耗尽的问题。

在客户端端,我们有网络路由,正如我们之前提到的,它有效地从16位地址中借用访问位,允许许多客户端设备共享单个公共32位IPv4地址。在服务器端,我们有服务器名称指示(SNI),它允许GRC等从单个IP地址托管13个不同的命名服务。名称是关键,这是关键。

这就是我认为杰夫出色地观察到的要点。我们现在使用名称而不是地址来访问我们需要的服务,并且看到,你知道,今天不到一半的顶级1000个网站可以通过IPv6访问。

当然,所有这些都通过IPv4访问,但IPv6访问不到一半。这表明大多数人仍然不太愿意投资于在他们提供的服务中实际上不会产生任何区别的东西。最后,甚至在看到这一点之前,美国

IPv6的采用率在过去五年中一直保持不变。我们知道,没有一条直线会一直延伸到终点。这只是世界运作的方式。

这条线是IPv6采用的百分比。因此,采用率绝对会放缓。而且,可能很快,任何事情都不会达到100%。所以我的猜测是,它将开始趋于平缓,并在未来几十年内渐近地接近90%。这也没关系,我认为很明显,IPv4永远不会消失。

我……这应该出现在节目的标题中。IPv4永远不会消失。嗯,你知道,你是对的。

我当时在想,史蒂夫真的能把这个作为有趣的东西呈现出来吗?它实际上相当有趣。互联网绕过这个问题并以这种有机有效的方式解决问题的方式非常有趣。所以,没有压力要转向IPv6,没有……没有衡量标准。美国在这里落后。

不。注意,它在我们桌面上。我们不需要它,对吧?但它就在那里。所以,很容易构建它吗?

我的意思是,这种东西运行得很好吗?我们可以在客户端轻松实现它。

是的,我的意思是,有开源代码。所有各种作业,你知道,IP堆栈现在都支持它。所以它就在那里,所以它最终会被使用。

当两者都可用时,会优先使用它。如果IPv6可用,则选择IPv6。所以IPv4现在变成了备用方案。

我听说过,这可能是虚构的。IPv6更快。它不是更快的。

它说,它没有关于它的任何说法。你可能会争辩说它稍微慢一点,因为它有更多的地址开销。

是的。是的,是的。

这就是重点。如果它更快,它就不会消失。

对吧?没有真正的……没有……

它正在提供一些我们最终不需要的东西。

所以你认为我们永远……

不会到达那里?嗯,我仍然对客户端端感到担忧,因为我们仍然需要数十亿个客户端。现在,运营商网络,正如你所说,运营商网络现在解决了这个问题。

我有一个公共IPv4地址。Cox是关于……关于……或70,不是什么,什么。所以我有公共IPv4地址。

有些人从他们的ISP那里获得了10.x地址。所以因为我做了,ISP正在做网络。哇。

所以它是双重网络。ISP被注意到,他们获得一个IP。然后他们的住宅网络路由器正在进行网络。但是,如果ISP的客户数量超过其上游供应商能够提供的IP数量,它只需应用运营商网络。很棒的网络。

令人着迷。现在我知道有人在看。我能感觉到,因为我看到TikTok上的东西。

莱奥,我开始关注你,我当时16岁,现在35岁了。我知道有人在看,莱奥,你在TikTok上,所以我知道有人在看,可能还没有看过我们的播客。史蒂芬,我们已经做了20年了。我在其他节目中也提到过。Twitch已经超过了1000集,我们很高兴你能观看。我们最近才弄清楚如何将节目流式传输到8个不同的平台。

非常酷。

让我看看,YouTube、Twitch和TikTok上有671人观看。欢迎TikTok。

这真是太棒了。额外的链接在Facebook上。当然,我们自己的社群和我们自己的Twit Discord社群也做到了。但是,如果您正在观看直播版本,那太好了,这就像提前一天收到史蒂夫的电子邮件一样,真正的成品已经可以下载了,因为它最终是一个播客,史蒂夫有自己的版本,在64位音频文件中,这有点像规范的音频版本。他还提供16千比特音频,因此下载速度更快。

至于那些带宽有限的人,当然,他还有文字稿,他委托人来完成,这需要几天时间。但这些是人类写的,不是AI。所以是人写的,不是AI。

所以它们真的很好,并且做得很好地捕捉了节目。所有这些都在grc.com上。

现在,当您在那里时,不要忘记他赖以为生的东西,这不是现在正在使用的SpinRite 6.1。当前版本刚刚发布了6.1版本,为之前的用户提供了升级。

但是,如果您是新用户,请访问grc.com,自己下载一份副本。如果您有大量存储,您需要它。它是一个用于大容量存储的维护、恢复以及我们之前谈到的性能增强工具,每个人都应该拥有。

所以下载一份SpinRite的副本,在grc.com上。订阅他的电子邮件。实际上,他很聪明。他……嗯,这是通过电子邮件发送的。默认情况下,如果您访问那里,我将注册您的电子邮件,以便您可以给他发送电子邮件,因为其他人他不想收到我的邮件。

因此,grc.com上的Security Now,没有发布在任何地方,也没有人或我们所有人都在做。

任何未经验证的内容都会被此系统弹回。我曾经在grc.com上收到过电子邮件,但您会注意到一些新订阅选项。但是,您必须选中该框,因为史蒂夫非常注重选择。

他不想偷偷摸摸地给您发送电子邮件。因此,如果您想获取所有节目的时事通讯,可以从他的网站下载节目说明,但您也可以通过电子邮件提前一天收到,所以您会非常满意。他们都是朋友。因此,我知道所有关于Carry on的细节。我已经阅读了节目说明。

当然,我们有。

在我们的网站上,有节目的副本。Twitter.tv/sn(Security Now),很聪明。嗯,在说之前,我想我们的网站上有一个视频版本,史蒂夫没有。

因此,如果您想看看它的样子,看看我们拥有的图片等,我们也有音频版本。我们还链接到YouTube频道,它当然是视频,但这是一个很好的工具,您可以与老板、客户或朋友家人分享。如果您听到史蒂夫说了一些您认为应该分享的内容,YouTube可以轻松地剪辑。

它和YouTube一样,没有障碍,可以轻松地分享节目。顺便说一句,这样做有助于我们,因为它向史蒂夫的优秀作品介绍了新的人。

我们也有播客。因此,您可以订阅您最喜欢的播客播放器,但您可以选择音频或视频或两者兼得。为什么不呢?它们都是免费的。

它们由我们的广告商支持。如果您想在没有广告的情况下收听,您可以访问twit.tv/clubtwit加入我们的俱乐部。您不仅会获得节目的三个版本,还会获得俱乐部会员资格,以及Twit Discord,这是一个很棒的交流平台。

可爱的人们。他们都和您一样聪明,一样友好。这是一个很棒的TikTok交流平台。所以只有这些。

这些都是人工的。不。

你知道,这很有趣。几乎所有其他节目。Discord都滞后于动画礼物。

Security Now的参与者非常注重文字。看看那。没有图片,只有文字。这群人非常不同。这很有趣。很多好的对话是一个很好的学习方式,如果您记得俱乐部,您会加入Discord。

并且它会帮助大多数人。

我说话太快了,就像互动……

播客列表,他们……

实际上在倾听。能有所有俱乐部成员,所有观看直播并订阅节目的朋友,这真是太好了。您不想错过任何一集,猜猜怎么样?下一集?

第九九。哇。

对于那些不认识我们的人来说,这将是多年来的最后一场节目。

史蒂夫说。

我正在修改为999。我没有四位数的房间。

没有人需要更多。

但我们继续,史蒂夫·布莱恩说。

现在是四位数的节目……

两周后开始。所以本周的最后一集将是下周。很好。

很好。是的,史蒂夫,您做什么?打扮成万圣节是什么样的?您有什么不同?

不,我们住在一个没有孩子或如果他们有,他们会去更安静的地方的社区。是的。

和……

我们度过了一个美好的一周,阅读……

更多汉密尔顿的彼得,我们将在两日后再次与您见面。我们很快就会结束休息时间。大约是下午5点。东部时间,因为我们终于从夏令时改为标准时间,所以UTC时间为22:00。

这个周末吗?

是的,我想是的。哦,不,不是这个周末。是下个周末。

等等。不,这个周末是什么?我想,哦。

我不知道它是否会发生。以前这很重要,但现在我们的设备,不,只是做……这真是太神奇了,就像是否重置任何东西一样,以前我们忘记了,微波炉在最初的几个月半里出了问题。

一切都会自行修复。多亏了网络逆转。我预计……

在本周的这个时候之前,我会宣布我开始着手开发一个新的商业产品。哇,不是SpinRite 7?

哦,是的。好吧,让我们看看下周收听的原因。

我认为我会,我会处于一个可以开始工作的状态。我正在做一些有趣的事情,我们以前从未谈论过,也无法回忆起。所以……

我以为我……因为我们已经谈论过……

记录之外,在之后,然后花时间在SpinRite 7上。但我首先要做一些我认为会很有趣的事情。

有趣。所以,我们必须说史蒂夫身体健康,所以他很可能会……

这很有趣,因为正如您所说,您唯一能做的就是,好吧。

所以,面包和黄油,好的。哦,我迫不及待地想下周见到您。加入我们,收听Security Now。

第九九九。Security Now。

您已经努力将您的业务变成现实,但实现您的下一个业务电话可能会让人不知所措。如果您有可以讨论下一步的选项的人,并且希望看到您成功,同时让您安心,那该怎么办?这就是银行家、商人行动的原因,在每一步都与您同在。让我们一起梦想,访问Merchants Bank网站开始。Merchants Bank是联邦存款保险公司(FDIC)的骄傲成员。