安全相关文摘___

[killgfw]

Firefox扩展:用HTTPS Everywhere扩展加密Web

EFF和Tor Project宣布公开测试名为HTTPS Everywhere的Firefox扩展。 HTTPS Everywhere受到了Google推出加密版搜索的启发，它的目的是让用户在访问多数网站时能一直保持加密通信状态。绝大多数网站对HTTPS加密的支持相当有限，或者默认不使用加密，或者加密网页中嵌入大量非加密链接。HTTPS Everywhere扩展就试图解决这一问题，它支持的网站包括了Wikipedia、Twitter、Facebook、Google搜索等等。

                    hXXp://software.solidot.org

[killgfw]

"Google 曾表示要将加密搜索转移到一个新的域名下，官方blog也予以了确认。现在看起来已经悄悄启用。原有加密搜索，仍然可用：https://www.google.com。而新加密搜索域名如下：https://encrypted.google.com/

                         solidot.org/

[killgfw]

    FBI在经过一年的尝试后，还是未能破译被巴西执法机构指控金融犯罪的巴西银行家的加密文件。巴西一家葡萄牙语报纸报道（葡萄牙语），巴西联邦警察在2008年7月展开的Satyagraha行动中，在银行家Daniel Dantas位于里约热内卢的公寓内收缴了5个硬盘。文章提到硬盘使用了两种加密程序，一种是Truecrypt，另一种是不知名的256位AES加密软件。在专家未能破解密码后，巴西政府在2009年初请求美国提供帮助，然而美国联邦警察在一年不成功的尝试后，退还了硬盘。巴西现有的法律中不存在强制要求Dantas交出密码的规定。

                    solidot.org/

[killgfw]

乔治亚理工学院的计算机科学家开发出一项技术，允许中国或朝鲜等国的公民通过隐蔽的信道在审查严密的网络内交换信息。 助理教授Nick Feamster领导的研究小组提出了名为Collage的新技术，他们将在下月举行的Usenix安全会议上首次对外演示，他们还在开发一个可工作的版本供用户下载测试。软件预计将在未来几周内释出。Collage与现有的反封锁软件不同之处是，它不需要代理服务器，因此不会容易被发现或封杀掉。Collage由两部分组成：一个用于在掩护流量（Cover Traffic）中嵌入内容的载体层；一个允许发送者接收者在掩护流量中发布和接收信息的会合机制。Collage利用用户生成内容网站如Flickr去隐藏信息。研究显示Collage用于发送小容量文件如电子邮件和网页，其性能开销是可以接受的。Collage用Python编写，使用了图像隐写工具Outguess和文本隐写工具Snow在图像和文本中嵌入内容。

                                               solidot.org

[12f3rety]

关注一下collage

[killgfw]

假如您的設備剛好是用 Web 頁面管理，採用 DD-WRT 或 OpenWRT Linux-based 的韌體，那麼快趁這僅存的幾天想好對策吧。因為 Seismic 的 Craig Heffner 宣稱他利用千年傳統．全新感受的入侵方法 - DNS rebinding，成功地入侵了許多台分享器，並且預計在下個星期於 Black Hat 2010 中發表這項研究成果，屆時地球上將會有數以百萬計的分享器生活在隨時被入侵的陰影之中。

目前 Heffner 嘗試攻擊了 30 種不同型號的分享器，一半以上都應聲而倒，裡頭還包括數款常見的分享器，如上圖的 Linksys WRT54G。雖然一般而言，換掉預設的密碼就可以預防大部份的駭客入侵。然而 Heffner 相信根本的解決之道還是得由廠商盡快推出修正程式，才能讓普羅大眾免受這場災難。延伸閱讀經測試過的分享器列表，各位不妨看看家裡使用的那台是否也在名單之中。