Warning Signs Your App Authorization Is a Ticking Time Bomba year agohttps://www.osohq.com/post/app-authorization-warning-signs设计不良的授权机制会导致安全漏洞并拖慢功能开发进度使用字典管理权限会在应用扩展时变得难以维护分散的授权逻辑使更新困难并可能引发安全风险权限文档缺失会使SOC2、GDPR和HIPAA等合规要求难以满足企业客户的定制化角色权限需要灵活的授权框架支撑微服务架构需要统一的授权方案以避免不一致性和复杂性Oso提供声明式、可维护且可扩展的授权策略工具
Measuring Lunar North and South Polar Regionsa year agohttps://iopscience.iop.org/article/10.3847/PSJ/adbc9d需要确认以验证人类交互,确保网站安全。为无法完成验证过程的用户提供了操作指南。提供协助联系方式,包括提交问题截图。
An update on improving passkey support in Linuxa year agohttps://www.iinuwa.xyz/blog/linux-passkeys-update/作者阐述了其在Linux系统上实现通行密钥支持的工作,这一灵感源于世界密码日各大科技公司的相关公告。WebAuthn认证体系包含四个角色:依赖方(网站)、客户端(浏览器/应用)、平台(操作系统API)以及认证器(安全密钥或设备)。安全模型通过确保用户请求经由依赖方应用验证,重点防范网络钓鱼攻击。Windows、macOS/iOS和Android均已集成平台API与认证器,而Linux缺乏原生支持导致用户体验碎片化。现有Linux解决方案要求浏览器直接处理WebAuthn请求,既绕过了沙箱保护,又缺失设备绑定的通行密钥功能。作者开发的linux-credentials项目旨在构建Linux门户API,支持USB和混合/caBLE认证器,并计划利用TPM芯片实现平台认证器。技术挑战包括来源检查、应用身份验证,以及防范内核入侵的凭证访问加固。提出的解决方案涵盖完整性摘要缓存(验证软件包签名)、SELinux/AppArmor策略,并探索类似Windows VSM的基于虚拟化的安全(VBS)机制。未来规划包含凭证管理、密码/TOTP标准化接口,以及跨平台通行密钥同步功能。作者诚邀开发者协作并寻求赞助以推动项目发展。
How to Disappear: Secrets of the Greatest Privacy Expertsa year agohttps://www.theatlantic.com/ideas/archive/2025/05/extreme-personal-data-privacy-...HavenX公司CEO亚历克·哈里斯采用极端隐私措施保持隐匿,包括使用UPS商店收取邮件、虚拟借记卡和多个电话号码。HavenX为面临严重威胁的客户(如名人、超级富豪和加密货币高管)提供高端隐私安全服务,月费高达数万美元。前警察转行为隐私顾问的迈克尔·巴泽尔撰写了《极端隐私》一书,开创了数据污染、第二公民身份等技术,后于2023年神秘消失。隐私保护措施往往繁琐昂贵,需要牺牲信用卡积分、降低信用评分,甚至面临机场安检等实际困难。詹姆斯·洛普在遭遇"人肉出警"事件后,通过持续警惕、行为调整甚至说谎等手段彻底消失,证明隐私生活需要长期付出。亚历克·哈里斯的妻子埃琳和子女已适应隐私生活,但随着孩子成长和技术发展,新挑战不断出现。隐私仍是奢侈品——富豪能负担全面保护,普通人则可能要为匿名性牺牲正常生活或人际关系。
Ten Years of JSON Web Token and Preparing for the Futurea year agohttps://self-issued.info/?p=2708JSON Web Token (JWT) 于2015年5月成为RFC 7519标准,标志着为期4.5年创建基于JSON的安全令牌与加密标准的努力圆满落幕。与JWT同期发布了一系列相关RFC标准,包括JSON Web签名(JWS)、JSON Web加密(JWE)和JSON Web密钥(JWK)。JWT及其底层标准是与OpenID Connect共同设计的,旨在实现通用性功能,这一目标已获得广泛实践认可。JWT的成功体现在其应用已远超最初设想,例如在打击欺诈电话等领域的创新应用。目前正持续加强JWT安全性,包括更新《JSON Web令牌现行最佳实践》规范以应对新型威胁。同时正在修订《OAuth 2.0客户端认证的JWT配置规范》,以解决令牌受众值相关的安全漏洞问题。JWT创始人感谢各工作组的贡献,并期待该领域未来的创新发展。
ARM PANa year agohttps://blog.siguza.net/PAN/PAN(特权访问永不)是ARM芯片(A10及后续型号)的一项CPU特性,用于防止内核访问用户态内存。研究发现存在一个漏洞:仅可执行(--x)的内存映射不会触发PAN机制,导致内核仍能访问用户态内存。该问题的根源在于ARM规范中PAN仅检查读权限(忽略UXN执行权限位)。漏洞利用条件取决于操作系统是否允许仅可执行映射。Linux已通过禁用此类映射修复问题,但iOS可能仍存在风险。潜在攻击手段包括伪造虚函数表、ROP链攻击或解引用32位值(需确保内存已加载且经过签名验证)。可能的修复方案包括:更新ARM规范、禁用仅可执行映射,或使用苹果APRR功能强制剥离权限。安全措施间可能产生冲突,本例中仅可执行内存破坏PAN机制的现象,凸显了分层防护体系的脆弱性。
Why Cline Doesn't Index Your Codebase (and Why That's a Good Thing)a year agohttps://cline.bot/blog/why-cline-doesnt-index-your-codebase-and-why-thats-a-good...Cline 刻意选择不使用 RAG(检索增强生成)技术来索引代码库,这是为了追求更高质量、安全性和可靠性而做的设计决策。RAG 在处理代码时存在缺陷,因为它会对数据进行分块处理,将代码的互相关联逻辑拆解成片段,导致难以理解完整上下文。随着代码演进,索引会逐渐过时,从而导致 AI 建议基于陈旧信息并可能产生错误。RAG 会创建敏感知识产权的二次表征,扩大了攻击面,从而增加安全风险。Cline 像资深工程师那样处理代码,首先通过抽象语法树(AST)来理解代码结构和关联关系。Cline 遵循代码的自然结构,按逻辑顺序读取和探索文件,类似于开发人员浏览代码库的方式。现代大语言模型具备超长上下文窗口,使得 Cline 无需索引即可收集高质量的相关上下文。Cline 的方法能确保建议准确且符合架构,而 RAG 可能会忽略自定义框架或模式。性能不是问题,因为 Cline 直接从机器读取代码,无需依赖向量数据库。Cline 代表了一种转变,让 AI 能够自然地思考和理解代码,而非仅仅检索代码片段。
Signal to Windows Recall: Drop Deada year agohttps://www.computerworld.com/article/3994265/signal-to-windows-recall-drop-dead...微软的Recall功能持续截取用户屏幕画面以创建可搜索时间轴,引发了隐私与安全担忧。尽管更新后Recall改为选择启用并对截图加密,批评者认为其本质仍存在风险,因该功能会捕获所有显示内容。Signal通讯软件新增「屏幕安全」设置以阻止Recall截取其聊天内容,指出该功能对隐私保护类应用构成持续风险。宾夕法尼亚大学、卡巴斯基等专家机构警告用户不要使用Recall功能,因其存在安全与隐私漏洞。文章建议注重隐私安全的用户可选用Linux系统作为Windows的更安全替代方案。
Google introduces webcam "liveness check" option to reCAPTCHAa year agohttps://google.com/recaptcha/challenge/hand-gestures?d=[]需要临时调用摄像头以捕捉手部动作用户必须模仿屏幕上显示的手部动作以验证其为真实人类此过程仅会采集手部动作数据手部动作图像/视频仅用于验证用途且不会被存储需用户授权同意谷歌处理手部动作数据以完成安全验证所有数据收集将遵循谷歌隐私政策进行处理
ISC has disclosed three vulnerabilities in Keaa year agohttps://www.openwall.com/lists/oss-security/2025/05/28/8Kea DHCP服务器套件中被披露存在三个漏洞(CVE-2025-32801、CVE-2025-32802、CVE-2025-32803)。CVE-2025-32801允许通过钩子库注入实现本地权限提升。CVE-2025-32802涉及通过'config-write'命令导致的任意文件覆盖。CVE-2025-32803与全局可读的DHCP租约和日志文件有关,可能导致信息泄露。这些漏洞影响多个Linux和BSD发行版,严重程度各不相同。上游已发布修复版本(2.4.2、2.6.3、2.7.9)解决这些问题。加固建议包括对REST API强制身份验证和限制文件权限。披露过程的时间线已详细提供,从最初报告到公开披露的完整流程。
Write Terraform policies in natural language instead of Rego / OPAa year agohttps://github.com/diggerhq/infrabase-rulesInfrabase是一款GitHub应用,用于检测基础设施即代码(IaC)拉取请求中的安全问题和错误配置。策略可直接用自然语言编写,无需处理OPA/Rego/Sentinel的复杂语法。安装步骤包括创建账户、fork示例仓库(可选)以及安装GitHub应用。Infrabase采用LLM模型(gemini-2.5-pro-preview-05-06)根据策略检查基础设施配置。示例策略:禁止出现重复的AWS安全组入站规则。支持Terraform、OpenTofu、CDK、CloudFormation和Pulumi等多种IaC工具。特性包含智能默认值、无需访问状态/云资源、与GitHub高级安全功能集成。策略以Markdown文件形式存储在policies目录中,通过清晰标题和结构化内容呈现。规则可按主题分组(如security.md、style.md)实现更好管理。
Infisical (YC W23) Is Hiring Full Stack Engineers (TypeScript) in US and Canadaa year agohttps://www.ycombinator.com/companies/infisical/jobs/vGwCQVk-full-stack-engineer...Infisical正在招聘全栈工程师来构建开源安全基础设施。工程师将负责密钥轮换、动态密钥、PKI、SSH和KMS产品线开发。职位要求:精通JavaScript/TypeScript、注重细节、需在美国/加拿大居住。加分技能:Go语言、DevOps经验、初创公司经历及开源贡献。成长机会包括技术领导力和平台所有权。团队来自Figma、AWS和红帽前员工;支持远程办公,旧金山设有办公室。Infisical月管理15亿+密钥,获YC、谷歌及顶级天使投资人支持。使命:从密钥管理开始,为开发者简化安全流程。
Kea DHCP: Local Vulnerabilities in Many Linux and BSD Distributionsa year agohttps://security.opensuse.org/2025/05/28/kea-dhcp-security-issues.htmlKea DHCP存在多个影响众多Linux和BSD发行版的本地漏洞通过钩子库注入可实现本地提权(CVE-2025-32801)通过config-write命令触发任意文件覆盖漏洞(CVE-2025-32802)日志文件可被重定向至任意路径(与3.2共享CVE编号)/tmp目录下的套接字存在服务欺骗和拒绝服务问题(与3.2共享CVE编号)DHCP租约和日志文件全局可读(CVE-2025-32803)加固建议包括强制REST API身份验证和限制文件路径Kea 2.4.2/2.6.3/2.7.9版本已修复这些漏洞受影响发行版涵盖Arch Linux、Debian、Ubuntu、Fedora、Gentoo、openSUSE、FreeBSD、NetBSD和OpenBSDCVE编号包含CVE-2025-32801、CVE-2025-32802和CVE-2025-32803
Microsandbox: Virtual Machines that feel and perform like containersa year agohttps://github.com/microsandbox/microsandboxmicrosandbox 提供了一种安全运行不可信代码的方式,具备真正的虚拟机隔离能力,启动时间低于200毫秒该系统支持自托管,兼容OCI标准,内置MCP支持可实现AI集成支持多种编程语言,提供Python、JavaScript、Rust等SDK工具包采用基于项目的开发模式,通过Sandboxfile配置文件和类包管理器的工作流临时沙箱可实现完全隔离的洁净执行环境,退出后不留痕迹已安装的沙箱支持系统级启动,并能保持会话间的持久化状态赋能AI代理构建真实应用、处理数据、浏览网页及安全部署演示程序采用客户端-服务器架构,不可信代码在隔离的微型虚拟机中执行基于Apache 2.0开源协议,提供开发者贡献指南欢迎社区参与
Why 'wrench attacks' on wealthy crypto holders are on the risea year agohttps://apnews.com/article/crypto-bitcoin-kidnapping-wrench-attack-ddc7263c25ba5...扳手攻击通过肢体暴力胁迫受害者交出加密货币密码。加密货币的主流应用增加了扳手攻击的普遍性。加密货币赋予用户对资金的完全控制权,但一旦被盗则无法追索,这使得持有大量加密货币的人成为主要目标。私钥是访问加密货币资产的关键,其安全性在加密货币社区中备受重视。区块链交易不可逆转,被盗的加密货币只需点击几下即可轻松转移。冷钱包可以防止黑客攻击,但无法防止通过身体胁迫获取密码。全球范围内已发生多起高调的扳手攻击事件,包括法国一名加密货币高管被切断手指的案件。缓解策略包括使用多重审批钱包和在加密货币社区中保持匿名性。
OneDrive File Picker Flaw Provides Apps Full Read Access Entire OneDrivea year agohttps://www.oasis.security/blog/onedrive-file-picker-security-flaw-oasis-researc...Oasis Security发现微软OneDrive文件选择器存在漏洞,允许网站访问用户整个OneDrive内容,而不仅是选定文件。受影响应用包括ChatGPT、Slack、Trello和ClickUp,可能导致数百万用户面临数据泄露和合规风险。漏洞根源在于OAuth权限范围过广及用户同意提示表述模糊,导致过度授权。敏感信息(如令牌)以明文形式存储在浏览器会话存储中,进一步加剧风险。缓解措施包括审查已授权应用权限、检查OneDrive文件选择器使用情况、避免使用刷新令牌。Oasis建议在微软提供安全替代方案前,暂时通过OAuth移除OneDrive上传功能选项。
Implementing TOTP two-factor authentication in 2025a year agohttps://feeding.cloud.geek.nz/posts/totp-in-2025/TOTP(基于时间的一次性密码)是目前最流行的双因素认证方式(由于SIM卡交换漏洞问题,已排除短信验证方式)。2019年一项分析显示,许多验证器会接受非标准参数,导致生成错误代码,迫使服务商为保持兼容性而采用默认安全参数。2025年测试表明,各类验证器对SHA1和SHA256算法的支持参差不齐,即便指定SHA256,部分仍默认使用SHA1算法。iOS版谷歌验证器会拒绝52字符密钥的SHA1算法,但接受32字符密钥的SHA256算法,突显了实现标准的不一致性。对网站运营者的建议仍与2019年一致:采用SHA1算法、32字符密钥、30秒有效期和6位数验证码以确保广泛兼容性。额外安全措施包括:避免明文存储TOTP密钥、实施备用验证码等恢复机制,以及记录已使用的验证码。在URI中添加'image'和'color'等可选参数可提升用户体验,多数客户端会忽略这些非必要参数而不会引发问题。
OAuth 2.0 Flowsa year agohttps://www.workflows.guru/resources/oauth2-flows-explained课程重点讲解面向开发者的OAuth 2.0授权流程OAuth 2.0实现了无需共享凭证即可安全委托访问受保护资源客户端应用必须在授权服务器注册以获取客户端ID和密钥根据客户端应用类型选择不同的OAuth 2.0流程授权码流程适用于具有安全后端的应用程序PKCE(代码交换证明密钥)增强了移动应用等公共客户端的安全性设备码流程专为输入能力有限的设备设计OpenID Connect(OIDC)在OAuth 2.0基础上添加了用户认证的身份层OAuth 2.0是应用程序授权领域广泛采用的标准
Red Hat just transformed enterprise server Linuxa year agohttps://www.zdnet.com/article/how-red-hat-just-quietly-radically-transformed-ent...红帽企业Linux(RHEL) 10采用不可变架构,重塑企业级服务器Linux生态不可变Linux发行版通过原子化系统更新,显著提升安全性与稳定性CoreOS(红帽2018年收购)开创了容器化环境中不可变Linux的先河Fedora CoreOS与Fedora Silverblue分别是红帽针对容器和桌面场景的不可变版本不可变系统简化了大规模部署的维护工作并确保环境一致性其代价是需要适应新工作流程,且特定定制需重启生效红帽认为不可变Linux对企业场景的优势远超过其局限性
Meta and Yandex are de-anonymizing Android users' web browsing identifiersa year agohttps://arstechnica.com/security/2025/06/headline-to-come/Meta和Yandex通过滥用互联网协议将追踪代码嵌入网站,使访客匿名失效。Chrome等浏览器向原生应用发送唯一标识符,实现网页ID与移动应用用户身份的持久关联。Meta Pixel和Yandex Metrica追踪器绕过了Android及浏览器的沙盒隔离、存储分区等安全防护机制。该追踪行为破坏了沙盒原则,实现了移动端与网页环境的跨上下文交互。Yandex自2017年、Meta于2023年9月开始采用此技术,将浏览历史与应用账户持有者关联。