问:最近无论Mac还是iOS都出现重大保安漏洞,而这个保安漏洞很可能会危害不少异见人士安全,必须即时对Mac或iOS作业系统作出更新,到底这个保安漏洞到底有多危险,而更新了作业系统,又是否安全?
李建军:这次由开发赛风的多伦多大学公民实验,联同美国一间网络保安公司发现,以色列政府利用Safari的一个漏洞,可以在iOS和Mac植入间谍软件,监视阿拉伯社运人士的活动。苹果在接获有关报告后,先更新iOS到9.3.5版,再对Mac的10.11和10.10两个作业系统发出紧急更新。iOS用家可以用iTunes或系统内置的更新功能更新,而10.10和10.11就可以透过Mac App Store的更新功能更新,而系统亦会主动提醒用家更新。由于这保安漏洞用家并非一般黑客,而是政府,因此所有听众应立即更新,以策安全。
之所以Mac和iOS同时会出现危机,Mac和iOS虽然中央处理器的硬件上截然不同,但很多核心技术和代码都是一样的。而这次受聘于个别国家政府的科技公司,偏偏以两个作业系统的共同核心技术作为攻击目标。因此,Mac和iOS都同时出现问题。而苹果公司已经针对这个漏洞作出作业系统更新,暂时未收到任何有被再一个黑客技术入侵的报告。
问:那在Mac,又如何透过App Store去更新作业系统?李建军:Mac与iOS最大不同的地方,iOS在系统设定上更新作业系统,或透过iTunes去更新作业系统,但Mac的作业系统更新部分,却在App Store之内,在App Store有专门按钮,只要你同意要重新启动电脑更新作业系统,就会展开更新作业系统程序。
这次翻墙问答,有视频示范如何更新作业系统,欢迎听众浏览本台网站收看。
问:不少网民都有翻墙使用Dropbox的云端服务,只不过,Dropbox最近都传出有大规模的保安事件,有大批用户的资料库流出,其中包括了用户的密码,会引发极大的保安风险,请问能否介绍一下?李建军:Dropbox最近有六千八百万用户的密码流出,这批密码主要是2012年保安事故所流出的密码,如果在2012年后有更新密码,应不受事件影响。但如果你在2012年前登记Dropbox,而一直都未有更新密码的话,就应尽快更新密码,特别你有使用Dropbox的收费服务的话,就更需要更新密码,否则的信用卡资料就可能会外流。
问:最近中国的数码证书签署者又发现有问题,有部分沃通所签发的数码证书发现有问题,请问能否介绍一下?如果遇上用沃通签署的数码证书,又应抱持什么态度?
李建军:最近有人发现,纵使个别人士向沃通申请个别附属网域的数码证书,但沃通竟然签出适用同一网域所有附属网域的数码证书,而未核证过对方是否真的拥有其他附属网域的控制权,GitHub以及美国一间大学因此受影响。这个保安漏洞最大问题在于,黑客会先申请个别网站的附属网域,然后利用沃通的证书进行中间人攻击,拦截其他网域的通讯,这种数据偷窃行为是黑客常用手段,相当危险。
因此,沃通所签出的数码证书,应该一如看待CNNIC的数码证书一样,视为不安全的数码证书,不信任由沃通所签的数码证书。如果你打算申请网站数码证书的话,海外有其他更实惠的证书签发公司,不必冒保安风险使用由中国公司发出的证书,连中国的国有银行都用美国公司所签证书,反映中国的证书认受性之低。
via 细节的力量 http://ift.tt/2g75h7d
No comments:
Post a Comment