一周开源新闻:Let's Encrypt 给钓鱼网站颁发了 15000 份欺诈安全证书
| 2017-03-30 08:00:00 评论: 0
免费和开放的证书颁发机构 Let's Encrypt,给钓鱼网站颁发了将近 15000 份包含了 “PayPal” 关键字的证书。
这是由加密专家 Vincent Lynch 发现的。他说,Let's Encrypt 去年签发的包含 “PayPal” 关键字的 15,270 份安全证书中,有 96.7% 发给了钓鱼网站。数据显示,证书签发高峰是从 2016 年 11 月开始的。
Let's Encrypt 出现的时间并不长。事实上,它是 2015 年 12 月进入公测,2016 年 4 月推出 beta 版。它提供服务的目的是通过加密网站用 TLS 保护用户数据不被窃听。这些证书是为使访客确信站点的网页是安全的。为钓鱼网站发放证书,意味着 Let's Encrypt 证实这些站点的合法性。
Vincent Lynch 认为,提供免费证书的政策确实为钓鱼网站创造了非常诱人的环境。
此报告发布的几周前,Lynch 请求 Let's Encrypt 停止签发 PayPal 证书,因为这些证书被用于钓鱼目的。那时,他估计包含 PayPal 的证书数量在 1000 以下。 显然,现在根据他的完整调查,情况在迅速恶化。
“鼓励 HTTPS 使用的各种动机对钓鱼网站同样有吸引力,有一些性能的好处 (例如 HTTP/2) 只对使用 HTTPS 的站点有效。此外,对使用有效 SSL 证书的站点,浏览器也会给出信任的 UI 提示(如 Chrome 中的安全标签,浏览器的小锁图标等),这些都使钓鱼网站看起来更合法”,Lynch 在报告中写道。
Ilia Kolochenko,一家 Web 安全公司 High-Tech Bridge 的 CEO 认为,Let's Encrypt 本应该预见到对其服务的滥用,并采取一些至少很基本的验证,例如拒绝包含流行品牌名的域名申请 SSL 证书。
“加密所有 web 流量的想法仍有争议,因为它允许恶意软件轻松绕过各种安全机制,从而给最终用户和公司带来巨大损失。我很确信,如果我们可以看到有多少 Let’s Encrypt 的 SSL 证书被恶意软件利用来泄露盗窃的数据,结果肯定会是惊人的。因此,很难预期 Let’s Encrypt 未来将怎样调整其发展战略,避免它想使 web 更安全的愿望被网络罪犯滥用,”Kolochenko 说道。
Fedora 26 再次延期发布,延至 2017 年 6 月 27 日
(出于传统,)上周,Fedora 团队宣布由于发现最新的障碍 ,原定 3 月 21 日发布的 Alpha 版本,重新安排到 3 月 28日。
现在,根据最新的发布时间表,可以发现所有发布日期再次延迟,Alpha 版本推迟至 4 月 4 日,Beta Freeze 从 5 月 16 日开始,Beta 版本推迟至 5 月 30 日,最终版 Freeze 定于 6 月 13 日,最终版本推迟至 6 月 27 日发布。
微软称 Linux 上 OneDrive 运行缓慢问题已解决
上周就有报导,Linux 系统通过浏览器连接到 Microsoft OneDrive 时,很多人报告遭遇性能问题。用户抱怨浏览文件夹,编辑文档都非常缓慢,而同样的网络连接在 Windows 上却正常。
Microsoft 一位发言人 确认这只是一个 bug,性能问题决不是像一些用户猜测的那样故意为之,目的是为了支持自己的 OS Windows,而仅仅是“忽略了”。微软承诺将对 Linux 系统做更多测试工作。目前,微软已对此问题进行了修复,预期在 Windows 和 Linux 上将有相似的性能体验。
Ubuntu 16.04 LTS 和 Ubuntu 16.10 Linux 游戏玩家现已可用 Mesa 17.0.2
Canonical 的 Timo Aaltonen 早些时间宣布最新的 Mesa 17.0.2 3D 图形库包已可用,Ubuntu 16.04 LTS 和 Ubuntu 16.10 用户可从他们的 PPA 中获得。
Mesa 17.0.2 可以从 "Ubuntu-X" 团队 PPA中安装,用户可在终端 app 中运行下述命令来安装它:
sudo add-apt-repository ppa:ubuntu-x-swat/updates -y
sudo apt update && sudo apt dist-upgrade
MKVToolnix 10.0.0 发布, 改进了 H.264 and H.265 解析器
MKVToolnix 开发人员 Moritz Bunkus 宣布他的开源跨平台 MKV 操纵软件升级到一个新的主版本, 10.0.0。
根据发布信息,MKVToolnix 10.0.0 改进了 AVC/h.264 和 HEVC/h.265 解析器。
你可以点击链接,下载其在 GNU/Linux, macOS, 和 Microsoft Windows 操作系统的版本。