403 Forbidden

Copilot Recall 将是隐私和安全噩梦 2024-06-03 22:13 by 第七元素 微软上个月宣布的新 AI 功能 Copilot Recall 引发了广泛争议，以至于很多人表示认真考虑迁移到 Linux——虽然未必所有人会真的付诸实施。Copilot Recall 被视为将是隐私和安全的噩梦，微软官方博客在解释其功能也承认，它不会有选择性的收集信息，它会将用户的密码等敏感信息都记录下来。微软声称 Recall 的快照是在本地储存和处理，使用了加密，但如果有人掌握了用户的电脑开机密码，那么 Recall 的快照无疑会是巨大的信息宝藏，相比没有 Recall 的电脑它泄露的信息将会多得多。安全研究员 Kevin Beaumont 表示，黑客不需要物理访问机器也能通过其它方法窃取到 Recall 的快照。用户删除的敏感信息也会留在 Recall 的快照里。WhatsApp、Signal 之类端对端加密消息应用的阅后即焚功能对于 Recall 而言就是笑话。 https://tech.slashdot.org/story/24/06/02/190205/is-the-new-recall-feature-in-windows-a-security-and-privacy-nightmare #安全

6/3 起，安装了 Manifest V2 插件的非稳定版本 Chromium 用户将收到警告横幅。 接下来的几个月，Chromium 将逐渐禁用 Manifest V2 插件。2025 年六月，Chromium 将完全无法使用 Manifest V2 插件。 https://blog.chromium.org/2024/05/manifest-v2-phase-out-begins.html #Manifestv3

OpenVPN 容易被指纹识别 2024-05-30 14:23 by 被掩埋的巨人 ISP、广告商和政府日益破坏、操纵和监视网络流量，VPN 的普及率因此大幅增长。为了应对 VPN 的流行，ISP 和政府都在设法跟踪和阻止 VPN 流量，以确保网络流量的可见性和对其的控制。方滨兴形容这一情况为“永恒之战”。印度和俄罗斯最近也都以国家网络安全的理由禁止使用 VPN。OpenVPN 是最流行的 VPN 协议，研究人员在 CACM 期刊（《美国计算机学会通讯》）上发表论文，分析了 OpenVPN 的指纹识别能力，寻求回答两个疑问：(1) ISP 和政府能否实时识别 OpenVPN 流量？(2) 能否不会因误报而造成附带损害？他们模仿了防火长城的架构，与一家地区 ISP 合作，通过镜像流量识别其中的 VPN 连接。结果显示，OpenVPN 非常容易被指纹识别，即使使用了混淆层加密 OpenVPN 流量也无法隐藏指纹。研究人员称，绝大多数 OpenVPN 流量和服务容易遭到被动过滤和主动探测。top10vpn.com 排名前 10 的 VPN 服务有 8 家使用了某种形式的混淆服务，但由于加密不足和数据包长度混淆不足，所有这些流量都能被标记为可疑流量。研究人员建议 VPN 服务商采用更有弹性和标准化的混淆方法。 https://cacm.acm.org/research/openvpn-is-open-to-vpn-fingerprinting/ #审查

Google 不小心将内部 API 发布到 GitHub 上 2024-05-28 15:25 by 摩若博士岛 Google 今年 3 月 27 日不小心将其部分内部 API 发布到 GitHub 上，这些文件直到 5 月 7 日才被删除。内部 API 文件披露了 Google 搜索引擎相关的敏感信息。Google 很早就发现，为了改善搜索质量它需要完整的点击流数据，也就是通过浏览器访问的 URL，这是它开发 Chrome 浏览器的一大动机。名叫 NavBoost 的系统最初从 Google 的 Toolbar PageRank 收集数据，它使用给定关键字的搜索次数识别趋势搜索需求、搜索结果点击次数以及长点击和短点击。Google 利用 cookie 历史记录、登录的 Chrome 数据和模式检测作为对抗手动和自动垃圾点击的有效手段。在 Covid-19 疫情期间 Google 会使用白名单让特定网站出现在 Covid 相关搜索的结果前列；在选举期间 Google 也会对网站使用白名单显示选举信息。 https://github.com/googleapis/elixir-google-api/commit/078b497fceb1011ee26e094029ce67e6b6778220(内容已删除) https://sparktoro.com/blog/an-anonymous-source-shared-thousands-of-leaked-google-search-api-documents-with-me-everyone-in-seo-should-see-them/ #Google

Google 修改搜索算法，Reddit 是大赢家 2024-05-26 23:16 by 时间回旋 去年 9 月和今年 3 月 Google 调整了搜索排名算法，Reddit 成为这一修改的大赢家，但很多独立网站备受打击，流量大幅下降。提供空气净化器独立评测的 HouseFresh.com 报告在去年 9 月修改之后其评测不再出现在搜索结果前列，而今年 3 月修改之后日访问量从数千人减少到数百人，他们被迫裁员。Google 则坚称它调整搜索算法对用户有益。分析工具 SEMrush 的数据显示，Google 修改搜索排名算法后过去半年 New York Magazine 网站来自 Google 的流量减少了 32%，GQ.com 减少了 26%，英语俚语网站 Urban Dictionary 访问量下降了 1800 万次。与此同时，Reddit 来自 Google 搜索的流量增长了 126%。Quora、Instagram、LinkedIn 和维基百科等网站的流量也出现大幅增长。Google 发言人否认它与 Reddit 的内容合作协议包括将 Reddit 的内容放在搜索结果的前列。但 Google 的搜索结果是一个零和游戏，某个网站的流量增加了，必定有另一个网站的流量下降。Reddit 等大型网站是赢家，而小型独立网站则是输家。Google 将 AI 的答案放在搜索结果的最前列也在打击小型独立网站的流量。HouseFresh 网站的创立者 Gisele Navarro 表示，Google 不欠任何人流量，但它控制着路，如果它明天决定路不会通过一座小镇，那么整个镇将会死亡，它拥有的权力太大了。 https://www.bbc.com/future/article/20240524-how-googles-new-algorithm-will-shape-your-internet #Google

Meta 将利用欧洲用户的数据训练人工智能 美国 Meta 公司近日宣布将开始使用欧洲用户的数据来训练自己的人工智能。公司声称此举具有合法利益。用户可以反对使用他们的数据。如果用户提出反对，则必须填写表格，详细说明数据处理对他们的影响。Meta 公司表示将评估所有的退出请求，只有在请求被批准后才会停止使用这些数据。这些数据处理和相关隐私政策的变化将于6月26日生效。该通知已通过 Facebook 的应用内通知系统发送给欧洲用户：“我们正在为您规划新的人工智能功能。了解我们如何使用您的信息。” —— Meta 隐私政策、Stackdiary

苹果定位服务可能被用于追踪部队行踪 苹果公司的定位服务被安全博客Krebs on Security爆出存在漏洞。该服务依赖于WPS（Wi-Fi定位系统），在城市高楼密集区域辅助卫星定位。WPS通过检测Wi-Fi路由器的BSSID并查询全球数据库来确定位置。苹果和谷歌都使用自己的WPS数据库，苹果通过API返回多个BSSID的地理位置，而谷歌则计算位置并与设备共享。 马里兰大学的研究人员发现，利用苹果API的冗长功能，可以绘制设备进出任何指定区域的移动地图。他们通过查询API，获取了大量BSSID的位置信息，并监控Wi-Fi接入点的移动。这一漏洞可能被用于监视俄乌冲突区域军队的设备移动，从而暴露部队行踪。 研究报告 | Krebs on Security 关注频道 @ZaiHuaPd 频道投稿 @ZaiHuabot 🫥会员/Apple/Plus券合集️

10 名 Twitter 超级传播者传播了逾三分之一虚假信息 2024-05-23 23:04 by 树上银花 根据发表在《PLOS ONE》期刊上的一项研究，10 名 Twitter 超级传播者传播了逾三分之一的虚假信息。这项研究针对 2020 年 1 月到 10 月之间发表的推文，当时 Twitter 还没有被收购并更名为 X。研究人员分析了448,103 位用户发送的 2,397,388 条包含低可信度内容的推文。1000 个账号发表了其中七成以上的推文，34% 的推文来自于 10 名用户，他们被称为超级传播者。超级传播者的账号包括了 Breaking911.com，反对新冠疫苗的 Robert F. Kennedy Jr 是疫苗相关虚假信息的最大传播者之一。其他还有否认气候变化的 Steve Milloy，散播阴谋论的 Sean Hannity。他们中绝大部分都是保守派。 https://journals.plos.org/plosone/article?id=10.1371/journal.pone.0302201 #Twitter

Mozilla 对 Windows Recall 表达担忧 2024-05-23 14:00 by 巴比伦Ⅲ：终结 微软刚刚宣布的 Windows Recall 引发了隐私方面的担忧和争议。它的工作原理十分简单：Windows 系统每数秒钟截取用户活动屏幕的快照，将其储存在硬盘上。用户之后可以浏览快照，选择某些内容进行互动。Mozilla 首席产品官 Steve Teixeira 对此表达了担忧。他表示，从浏览器角度，有些数据应保存，有些不应该。Recall 不仅储存浏览器历史记录，还储存用户在浏览器上输入的数据。虽然数据以加密格式储存，但这些储存的数据代表了网络罪犯的新攻击矢量和共享计算机的新隐私担忧。微软再次扮演了看门人角色，它决定了 Windows 上哪些浏览器是赢家和输家，它显然更青睐自家的浏览器 MS Edge。Edge 允许用户阻止 Recall 看到特定网站和私密浏览活动。其它基于 Chromium 的浏览器也能防止 Recall 查看私密浏览活动，但无法阻止其快照敏感网站如金融网站。微软没有为 Firefox 等浏览器提供相同程度的保护，也没有在 Recall 上与 Mozilla 进行合作。 https://www.theregister.com/2024/05/22/windows_recall/ #隐私