| 会员登录 立即注册

搜索

硬核观察 #583 新的 BitB 攻击形式仿造 OAuth 窃取用户凭证

[复制链接]
3AAA 发表于 2022-3-26 08:21:27 | 显示全部楼层 |阅读模式
3AAA
2022-3-26 08:21:27 1074 0 看全部




新的 BitB 攻击形式仿造 OAuth 窃取用户凭证


成千上万的网站使用 OAuth 协议,让访问者使用他们在谷歌、Facebook 或苹果等公司的现有账户登录。“浏览器中的浏览器”(BitB)技术利用了这个方案。BitB 不是真正打开第二个浏览器窗口,以连接到用于登录或付款的网站,而是使用一系列 HTML 和 CSS 技巧,显示一个欺骗窗口。其显示的 URL 可以显示一个有效的地址,也有一个挂锁和 HTTPS 前缀。窗口的布局和行为看起来与真实的东西完全一样,除了不能不能被调整大小,完全最大化或拖到主窗口之外。

老王点评:真是防不胜防,一时不注意还真难以发现。



高通公司正在计划为其芯片增加 AV1 支持


发布于 2018 年的开放视频编解码器 AV1 的普及一直很慢,主流视频供应商在等待更广泛的设备支持,而设备厂商则在等待视频供应商提供更多的 AV1 视频。但现在这种情况已经在逐步改变。据称高通公司正计划在其即将推出的旗舰产品 Snapdragon 移动处理器中加入对 AV1 的原生支持。预计该芯片最早将在今年年底推出。除了高通之外,三星、联发科、博通也都推出了支持 AV1 解码的芯片组,而像谷歌等流媒体设备厂商也在推动其设备增加 AV1 的支持。

老王点评:AV1 什么都好,就是不普及,希望能看到普及吧。



老式 IPv6 设备会泄露你的隐私


在 IPv6 网络中,每个设备都有一个公开的 IPv6 地址。这些地址应该定期换成新的地址。这样当你再次访问一个网站时,仅从你的 IPv6 地址来看,网站并不清楚你的设备已经回来了,这可以给予你一定程度的隐私。在分配地址时,路由器会发送一个网络前缀给客户,然后客户选择一个主机地址。曾经这个主机地址基于设备的硬件 MAC 地址编码,这被称之为 EUI-64。但早在 2007 年就提出的 IPv6 隐私扩展要求随机化地址的主机部分,也就是禁用 EUI-64。而在 研究中发现,大约不到 1/5 的设备仍然默认使用 EUI-64,这造成了隐私泄露。同时,许多 Linux 发行版并没有默认启用隐私扩展,使用 Linux 的产品很可能在不知不觉中将其用户的隐私置于危险之中。

老王点评:协议设计的很好,奈何现实比较可怜。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 返回列表

3AAA 当前离线
白银会员

查看:1074 | 回复:0

关于我们  |   侵权投诉受理  |   联系我们  |   Archiver  |  
免责声明:邳州信息网所有言论只代表发表者个人观点,与本站无关
Copyright © 2009-2022 pzxxw.com 版权所有:邳州金银杏文化传媒有限公司  

苏公网安备 32038202000401号

快速回复 返回顶部 返回列表