硬核观察 #817 一家神秘公司掌握着一个主流 SSL 根证书机构

硬核老王 的头像

·

·

·

3,396 次阅读

一家神秘公司掌握着一个主流 SSL 根证书机构

据报道,Chrome、Safari、Firefox 和其他浏览器都接受一家名为 TrustCor 的根证书机构(CA)。CA 是互联网基础设施的基石,它签署的 SSL 证书可以保证网站不是假的,流量是加密的。因而,CA 可以签发“伪造”证书从而劫持加密流量。此外,该公司在巴拿马的注册记录显示,其信息与今年被确认的一家的间谍软件制造商相同,文件显示,该公司十多年来一直向美国政府机构出售通信拦截服务。Mozilla 表示它可能会取消 TrustCor 的根证书。

消息来源:华盛顿邮报

老王点评:谷歌当年就因为有根 CA 滥用而取消过该根 CA 证书,看看这次谷歌会如何?

GitHub 实验 “Hey, GitHub!” 语音编程

GitHub Next 团队宣布了一项新的实验:“Hey, GitHub!”,允许与 Copilot 进行语音互动。也就是说,你甚至不需要使用键盘就可以让 VSCode 为你提供编程建议。GitHub 称,该实验可以识别“自然语言”。除了编写和编辑代码,它还允许程序员进行代码导航和执行其它 VSCode 命令。

消息来源:The Verge

老王点评:连键盘都不用了,直接讲你要干啥就好了。

美国国家安全局敦促各组织转向内存安全编程语言

美国国家安全局(NSA)表示,建议各组织通过利用 C#、Go、Java、Ruby 或 Swift 等语言内存安全编程语言进行战略性转变。NSA 表示“内存管理问题已经被利用了几十年,今天仍然很常见。”软件内存安全问题是约 70% 的漏洞背后的原因。不良的内存管理也会导致技术问题,如不正确的程序结果,随着时间的推移程序性能的下降,以及程序崩溃。

消息来源:NSA

老王点评:建议是好的,但是 NSA 不太值得信任。

3 条回复

  1. 来自湖南益阳的 Firefox 102.0|GNU/Linux 用户 的头像
    来自湖南益阳的 Firefox 102.0|GNU/Linux 用户

    作为Linux浏览器用户,又如何鉴别开源社区的公共证书安不安全呢?
    如何默认屏蔽特定CA签名的网站呢?

    来自益阳
  2. 来自乌克兰的 Firefox 91.0|Windows 10 用户 的头像
    来自乌克兰的 Firefox 91.0|Windows 10 用户

    以Firefox为例,setting>privacy & security>certificate
    编辑信任与不信任的证书(如自带的TrustCor RootCert CA-1/2 ,…)。

  3. 来自乌克兰的 Firefox 91.0|Windows 10 用户 的头像
    来自乌克兰的 Firefox 91.0|Windows 10 用户

    安全公司开后门,司空见惯了,赚钱嘛,不寒碜

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注