SSL Configuration Generator6 months agohttps://ssl-config.mozilla.org/Mozilla SSL配置生成器为各类服务器软件提供SSL配置方案。服务器选项包含Apache、AWS ALB、Caddy、Nginx等多种类型。提供三种配置级别:现代(TLS 1.3)、通用(平衡兼容性)、旧版(向后兼容)。额外选项包括服务器版本、OpenSSL版本及HTTPS强制跳转功能。
Fuzzing DNS Zone Parsers6 months agohttps://www.cambus.net/fuzzing-dns-zone-parsers/Frédéric Cambus使用AFL模糊测试DNS区域解析器,最初从statzone开始,随后扩展到其他解析器如validns、BIND、NSD和Knot。对validns 0.8的模糊测试快速暴露了name2findable_name()和nsec_validate_pass2()函数中的空指针解引用问题。NSD的nsd-checkzone被发现存在两个关键问题:一处越界读取和一处基于栈的缓冲区溢出(CVE-2019-13207)。针对NSD的模糊测试持续运行超过16天,产生167次独特崩溃,经分析后确认了有效漏洞。NSD中发现的这两个问题均已修复,并计划在NSD 4.2.2版本中发布更新。对ldns的ldns-read-zone进行12天模糊测试仅触发断言崩溃,未发现可被利用的漏洞。作者强调了从大量崩溃中筛选有效问题的挑战性,并指出分析第三方代码的教育意义。
Magic Links6 months agohttps://fusionauth.io/articles/identity-basics/magic-links魔法链接于2010年左右问世,因其对用户和管理员的双重便捷性而迅速流行。该流程通过邮件或短信发送唯一令牌/验证码,用户点击或输入即可登录。魔法链接通过免除记忆多密码的需求,有效解决了密码管理难题。通过降低密码重复使用、盗取及弱密码风险,显著提升了安全性。相比传统密码系统,魔法链接实现更简单且资源消耗更少。简化的登录流程优化用户体验,可能提升用户参与度。临时性且绑定用户邮箱/手机号的特性,使安全性得到强化。开发者能降低代码复杂度,并规避密码存储漏洞风险。缺点包括依赖邮箱/手机安全性,及潜在的钓鱼攻击风险。实施需配合HTTPS、安全令牌生成等网络安全措施。需通过测试与优化确保功能、体验及安全性的平衡。持续监控与更新是维持魔法链接系统有效的关键。魔法链接标志着向无密码未来的演进,实现了安全与易用的平衡。
Why are you (still) using OpenBSD?6 months agohttps://www.tumfatig.net/2025/why-are-you-still-using-openbsd/OpenBSD是一个从NetBSD分支出来的免费类UNIX操作系统,创建于1995年,专注于可移植性和安全性。支持10多种硬件架构,并包含OpenSSH、LibreSSL和pf等广泛使用的软件。OpenBSD是开源的,可自由获取,并兼容Qemu、KVM和VMware等虚拟化平台。安全特性包括权限分离、堆栈保护、随机化技术以及pledge(2)和unveil(2)等机制。服务器应用场景:防火墙(pf)、路由器(bgpd)、堡垒机(sshd)、DHCP/DNS服务(dhcpd/nsd/unbound)、邮件服务(smtpd/spamd)。工作站工具链:xenodm显示管理器、Xorg服务器、窗口管理器(fvwm/cwm)、终端模拟器(xterm/tmux)及编辑器(vi/mg)。为amd64/arm64架构提供约12,000个二进制包,涵盖Apache、Go、MariaDB、Chromium、Firefox和LibreOffice等软件。安装简单,提供详尽的man手册页,采用规范化目录结构(/存放系统文件,/usr/local存放第三方软件)。通过pkg_info/pkg_add/pkg_delete进行包管理,使用syspatch打安全补丁,通过sysupgrade完成系统升级。倡导RTFM(阅读文档)文化,提供邮件列表、技术博客和教程等多种学习资源。
Call Me Maybe: Eavesdropping encrypted LTE calls with ReVoLTE (2020)6 months agohttps://montsecure.com/research/revolte-attack/VoLTE(长期演进语音)是一种集成于LTE网络的基于分组的电话服务,被各大电信运营商广泛采用。VoLTE使用流密码加密语音数据以防止密钥流重用,但实现缺陷使得ReVoLTE攻击成为可能。ReVoLTE利用同一无线连接中后续通话的密钥流复用漏洞,可窃听加密通话内容。该攻击通过录制目标通话及后续密钥流通话,推导出密钥流进而解密目标通话。测试显示15个基站中有12个存在漏洞,主要分布在德国,其他国家也有发现。缓解措施需安装厂商提供的补丁,德国运营商在论文发表时已完成修复。研究人员开发了Android应用(Mobile Sentinel)检测漏洞基站,需root权限和高通芯片组支持。在商用网络中,通过商用手机及Airscope、ADB等工具验证了攻击可行性。
Mysterious drones spotted at airports across Europe. How worried should we be?6 months agohttps://www.bbc.com/news/articles/crkl3d6pegpo欧洲多国机场出现神秘无人机,引发对俄罗斯混合战争战术的担忧波兰等北约国家近期无人机入侵事件暴露空域安防漏洞欧洲拟建'无人机墙'防御系统应对跨境无人机威胁乌克兰战场无人机主攻,西欧地区疑遭侦察破坏北约欧盟总部所在地比利时成神秘无人机活动重点目标反制措施含侦测干扰摧毁手段,但规模部署与成本控制存挑战无人机墙计划面临资金技术双重障碍,有效性引发争议专家建议打击起飞基地比单纯防御更有效北约空防优先,但无人机墙可行性及时间表受质疑无人机技术快速迭代催生新型军备竞赛,防御体系面临考验
AI slop security engineering: Okta's NextJS-0auth troubles6 months agohttps://joshua.hu/ai-slop-okta-nextjs-0auth-security-vulnerability10月向Okta的auth0/nextjs-auth0项目报告了两个安全问题。其中一个漏洞是oauth参数注入,可能导致令牌范围滥用和令牌泄露。提交了一个简单的PR来修复该问题。3周后PR被关闭,维护者通过AI生成的提交将修复归功于他人。维护者承认使用了AI,导致错误的归属和AI生成的道歉。请求更正提交归属被拒绝,引发版权担忧。AI生成的细节包含不存在的电子邮件,表明AI使用质量低下。第一个允许账户劫持的漏洞已修复,但未被视为安全问题,因缺少演示视频。维护者Tushar Pandey未更正归属错误。Okta安全团队要求提供漏洞视频证明才予认可,这一要求被认为不合理。
Researchers discover security vulnerability in WhatsApp6 months agohttps://www.univie.ac.at/en/news/detail/forscherinnen-entdecken-grosse-sicherhei...维也纳大学和SBA Research的IT安全研究人员发现WhatsApp联系人发现机制存在隐私漏洞。该漏洞允许通过每小时查询超1亿个电话号码,枚举出35亿个WhatsApp账户。泄露数据包括电话号码、公钥、时间戳及公开资料信息,还能推断出操作系统和账号注册时长等附加信息。研究发现在中国、伊朗、缅甸等官方禁用WhatsApp的国家仍存在数百万活跃账户。这项研究提供了人口层面的洞察:全球安卓设备占比81% vs iOS设备19%,并揭示了不同地区的隐私行为差异。2021年Facebook数据泄露中近半数电话号码仍在WhatsApp活跃,凸显长期风险。Meta公司(WhatsApp母公司)已实施速率限制和更严格的资料可见性控制等防护措施。研究遵循伦理规范,所有收集数据在发布前删除,且未获取任何消息内容。该研究是即时通讯软件安全系列研究的一部分,此前已针对送达回执和密钥管理开展过研究。研究结果强调需要持续进行安全评估,并通过学界与业界的协作来保护用户隐私。
Verifying your Matrix devices is becoming mandatory6 months agohttps://element.io/blog/verifying-your-devices-is-becoming-mandatory-2/Element将于2026年4月起要求对加密消息进行设备验证未经验证的设备存在安全风险,可能遭到入侵设备验证可确保消息来源可信且通信安全用户必须验证设备并设置恢复密钥才能继续使用加密消息功能更新后,未验证设备将无法在加密会话中发送或显示消息内容此次更新将全面提升Element消息平台的安全性和可信度
Go Cryptography State of the Union6 months agohttps://words.filippo.io/2025-state/2025年Go密码学国情咨文报告涵盖了Go加密库的更新,重点包括后量子密钥交换、FIPS 140合规性以及安全性改进。Go 1.24版本引入了后量子密钥交换,在TLS和SSH连接中采用ML-KEM-768与X25519混合加密方案实现双重安全保障。通过原生Go模块实现FIPS 140-3合规认证,既无需依赖BoringCrypto和cgo,又完整保持了安全标准。安全记录保持优异:自2019年以来零关键漏洞('ouch'级别),Trail of Bits安全审计未发现任何问题。密码学性能与API易用性显著提升,包括AES-CTR加速、SHA-3优化及改进的RSA密钥生成算法。测试方法论全面升级:新增汇编代码变异测试,积累的测试向量实现全覆盖验证。未来规划包含简化配置的TLS预设方案,以及探索将Passkey集成至标准库的可能性。项目支持方Geomys团队新增维护成员,持续获得Smallstep、Ava Labs和Tailscale等企业的技术支持。
Data-at-Rest Encryption in DuckDB6 months agohttps://duckdb.org/2025/11/19/encryption-in-duckdbDuckDB v1.4 引入了使用 AES-GCM-256 和 AES-CTR-256 算法实现静态数据加密的数据库加密功能。加密范围涵盖数据库主头文件、数据块、预写日志(WAL)及临时文件。密钥管理采用从用户提供密钥派生的安全密钥,并安全存储于内存中。加密对性能影响极小,尤其在使用支持硬件加速的 OpenSSL 时。DuckDB 支持对现有数据库加密、新建加密数据库以及数据库重加密操作。该加密功能显著提升了 CDN 分发和云存储等部署模式的安全性。
Moving Beyond the NPM Elliptic Package6 months agohttps://soatok.blog/2025/11/19/moving-beyond-the-npm-elliptic-package/elliptic JavaScript包存在未修复的加密漏洞elliptic的维护者对安全问题不予回应超过3000个NPM包依赖elliptic,构成安全风险引入过渡包elliptic-to-noble,用noble-curves替代elliptic该过渡方案可实现快速迁移,既无需破坏性更改,也不对维护者施压建议用户迁移至noble-curves以获得更佳安全性
New .env file support in 1Password environments6 months agohttps://1password.com/blog/1password-environments-env-files-public-beta1Password在其环境功能中引入新的.env文件支持,增强了开发者安全存储与协作能力。新功能允许开发者在1Password桌面应用中安全使用和管理.env文件,避免明文存储在磁盘上。1Password环境为项目密钥提供专属工作区,并可集成AWS Secrets Manager用于生产环境。该方案解决了.env文件的常见问题:明文存储、意外提交至Git仓库及团队协作繁琐。开发者可虚拟挂载.env文件,确保密钥不会写入磁盘,即使离线也能保持安全。设置过程快速,且与现有dotenv库兼容,无需修改代码。未来计划包括扩展对Windows系统的支持,并根据测试反馈增加更多目标平台。
GrapheneOS accuses compeitors of sabotage, exits France over police threats6 months agohttps://piunikaweb.com/2025/11/21/grapheneos-accuses-murena-iode-of-sabotage-pul...GrapheneOS宣布将其服务器基础设施撤出法国,原因是负面新闻报道及对法国当局潜在威胁的担忧。GrapheneOS点名Murena和iodé为竞争对手,指控其策划抹黑行动。法国媒体声称GrapheneOS被犯罪分子利用开发'虚假Snapchat功能',团队予以否认,认为可能是与非法改版系统的混淆。出于安全考量及反对法国监控政策,GrapheneOS正将服务器迁移至加拿大、德国和美国。团队考虑为安卓开源项目(AOSP)贡献代码,修补执法部门利用的漏洞,此举或提升所有安卓设备安全性。GrapheneOS批评Murena和iodé提供'隐私表演',指其安全标准低下且可能存在政府合作。
Libpng 1.6.51: Four buffer overflow vulnerabilities fixed6 months agohttps://www.openwall.com/lists/oss-security/2025/11/22/1libpng 1.6.51版本发布,修复了四个缓冲区溢出漏洞包含两个高危漏洞(CVE-2025-64720、CVE-2025-65018)和两个中危漏洞(CVE-2025-64505、CVE-2025-64506)漏洞类型涉及堆缓冲区越界读取和边界外读取所有漏洞均需处理恶意PNG文件,可能导致信息泄露、拒绝服务或任意代码执行GitHub安全公告为每个CVE提供了具体的提交修复方案建议用户立即升级至libpng 1.6.51版本
Chinese drone impersonates British Typhoon fighter jet6 months agohttps://ukdefencejournal.org.uk/chinese-drone-impersonates-british-typhoon-fight...一架中国军用飞机在海南岛附近被追踪,广播了英国皇家空军台风战斗机的识别信息。飞行模式和特征表明这是一架中国无人机,而非欧洲战斗机。该事件凸显了ADS-B系统的漏洞,该系统缺乏身份验证机制。中国军机使用英国皇家空军十六进制代码引发意图质疑——是在测试身份伪装还是系统配置错误。英国政府批准中国在伦敦建设巨型使馆引发安全担忧。批评英国各政党在处理来自中国和俄罗斯等外国威胁时表现软弱。关于英国是否做好充分准备并决心防御潜在冲突的讨论。围绕支持乌克兰的辩论,部分人主张继续提供援助,另一些人则呼吁进行和谈。
Native Secure Enclave backed SSH keys on macOS6 months agohttps://gist.github.com/arianvp/5f59f1783e3eaf1a2d4cd8e952bb4acfMacOS Tahoe 可以生成并使用基于安全隔离区的SSH密钥,替代了Secretive等项目。共享库`/usr/lib/ssh-keychain.dylib`现在支持通过`SecurityKeyProvider`直接从安全隔离区加载密钥。创建需要生物识别的安全隔离区密钥,使用命令:`sc_auth create-ctk-identity -l ssh -k p-256-ne -t bio`。列出已创建的密钥:`sc_auth list-ctk-identities`,或使用`sc_auth list-ctk-identities -t ssh`查看SSH指纹。删除密钥:`sc_auth delete-ctk-identity -h <公钥哈希值>`。从安全隔离区下载公钥/私钥对:`ssh-keygen -w /usr/lib/ssh-keychain.dylib -K -N ""`。使用`ssh-copy-id -i id_ecdsa_sk_rk localhost`将公钥复制到授权密钥文件中。通过`ssh-add -K -S /usr/lib/ssh-keychain.dylib`让密钥直接对`ssh-agent`可用。在`.ssh/config`中配置`SecurityKeyProvider`,或在`.zprofile`中设置`export SSH_SK_PROVIDER=/usr/lib/ssh-keychain.dylib`以获得更广泛的兼容性。
When Fake Security Is Mandated Real Security Becomes a Crime6 months agohttps://techrights.org/n/2025/11/25/When_Fake_Security_Back_Doors_Disguised_as_S...UEFI被描述为一种后门程序,实质上是强制终止开关。保密性与安全性正被腐败集团私有化,他们掌握着加密系统的后门密钥。手机存在固有安全漏洞,其中部分无法修补,例如基带操作系统中的漏洞。Telegram和Signal等安全通讯工具的开发者正遭受针对性攻击、勒索或渗透。安全通讯对保护民主制度与举报人免遭权力滥用至关重要。
New Version of the MCP Specification6 months agohttps://modelcontextprotocol.io/specification/2025-11-25模型上下文协议(MCP)是一个开放协议,用于将大语言模型应用与外部数据源和工具集成。MCP通过JSON-RPC 2.0消息标准化大语言模型与上下文数据、工具和工作流之间的连接。关键组件包括主机(LLM应用)、客户端(连接器)和服务端(提供上下文和能力的服务)。MCP的灵感来自语言服务器协议,旨在标准化AI应用集成。服务端提供资源、提示和工具等功能;客户端提供采样、根节点和引导功能。安全原则强调用户同意与控制、数据隐私、工具安全性和LLM采样控制。实施者应注重健全的同意流程、清晰的文档说明和安全最佳实践。
Show HN: Safe-NPM – only install packages that are +90 days old6 months agohttps://github.com/kevinslin/safe-npmsafe-npm 是一个注重安全的 npm 安装工具,它通过仅安装已公开发布至少90天(默认值)的软件包版本来保护项目免受被篡改软件包的影响。该工具通过过滤掉新发布的版本来缓解供应链攻击,为安全社区留出检测恶意更新的时间。主要功能包括:- 软件包版本的最低存在时长门槛(可通过 --min-age-days 配置)- 可为受信任软件包绕过年龄要求(--ignore)- 严格模式:若依赖项不符合年龄要求则终止安装(--strict)- 控制依赖类型的选项(--dev, --prod-only)- 预安装模拟模式(--dry-run)安装方式:- 通过 npm install -g @dendronhq/safe-npm 全局安装- 直接使用 safe-npm install 命令- 克隆仓库并链接二进制文件的本地开发设置适用场景:- 需要最高安全级别的关键生产系统(可设置更高年龄阈值)- 具有严格依赖要求的 CI/CD 流水线- 需要较新功能但可接受略高风险的项目(设置较低年龄阈值)局限性:- 无法防范初始即恶意的软件包- 会延迟获取合法更新- 需信任旧版本的安全性安全建议:- 结合定期安全审计(npm audit)- 添加依赖前进行审查- 监控安全公告- 使用锁文件确保构建可复现- 在沙箱环境中运行系统要求:Node.js 18+ 和 npm。