浏览器

qwertydvorak:国内互不联网公司的调性,一次性说完好了

1.残废的移动web端。中国互不联网公司的移动web端经常不显示完整内容,疯狂弹窗逼用户下载app。视频内容只能试看6分钟,文字内容默认折叠。这里根据网站的不要脸程度又分成几类。 较克制的网站,比如正经新闻网站,会在“展开全文”按钮下面再放一个“打开XXX app阅读,体验更佳”,但你点击“展开全文”就会直接展开全文,没有其他废话。...

阅读更多

美国之音|中国三大浏览器被指开安全后门 用户隐私堪忧

一份最新的关于网络安全的报告指出,中国三大网络浏览器被指存在安全隐患,以不加密或极易被破解的加密方式收集并传输用户数据,其中包括大量隐私信息。发布这一报告的加拿大人权组织多伦多公民实验室认为,这种安全漏洞可能会被政府或第三方用于网络审查和监控。

人权组织多伦多公民实验室3月29日发布报告称,腾讯公司开发的QQ浏览器在传输用户个人数据至服务器时,不经加密或使用极易被破解的加密方式。报告认为,此种漏洞使得在升级软件时,用户数据容易被间谍或恶意软件植入。在上月和去年5月发布的报告中,该实验室披露百度和阿里巴巴UC浏览器也存在相同的问题。

阅读更多

公司安全部门通知:“百度浏览器过度收集用户隐私信息,请在任何情况下都避免使用”

来源:http://www.v2ex.com/t/263898?r=flied文中提到的国外百度安全问题技术细节:https://citizenlab.org/2016/02/privacy-security-issues-baidu-browser/今早整个中国区收到公司总部安全部门经理的邮件,要求停止使用百度浏览器。邮件部分原文如下:It has recently come to my attention that the Baidu Browser is collecting excessive personal information and transmitting it back to Baidu. While many browsers such as Google Chrome collect data, they generally do it anonymously or allow the user to opt-out.

阅读更多

今天,你被运营商 “上” 了么?

来源:http://weibo.com/ttarticle/p/show?id=2309403947881995354308如今这年头,没被运营商“上”过(劫持)都不好意思说自己是中国网民!抱歉今天用这个粗俗的标题,因为谈起这个话题,我相信很多人的心中只有愤怒与无奈。据《中国互联网络发展状况统计报告》统计称,截止2015年12月,中国互联网用户数已达6.88 亿,互联网普及率为50.3 %;同时显示,我国手机网民规模达6.20亿,有90.1%的网民通过手机上网。这是什么概念?相当于每两个中国人中,就有一个人给宽带运营商付费并使用其提供的上网服务,而且几乎每人都使用移动终端。巨大的商机下暗流涌动,怎可能收个宽带费就满足?!所以,网络流量劫持也成了中国互联网成长过程中撇不清的话题。如利用DNS污染、JS投毒、特定请求重定向等手段对搜索结果、广告、网页内容甚至下载文件进行劫持。轻则对正常网络体验造成影响,重则对网络信息真实性甚至我们账号安全造成泄露风险(一会儿在看这个: 你们以为运营商只是HTTP插点广告而已么,图森破啊 )电脑端的流量劫持已屡见不鲜。但随着移动互联网的崛起,一双双的黑手也伸向了移动终端用户,体现比如明明在官方可信渠道(商城)下载的手机软件,结果安装后发现竟然是其他毫不相干的APP!这种抱怨简直不能太多,有位白帽子的朋友被劫持,然后他亲自帮朋友调查了下这个过程,报告到了乌云 疑似某基于运营商流量的APK劫持推广系统存漏洞(每天高达百万计的劫持数据统计) ,今天就是解读这位白帽中其中所发现的细节。事件起源是白帽子某位唐山的兄弟说自己下载小米商店应用,无论是手机端还是 PC 端,下载到本地都会变成了 『UCBrowserV10.9.0.703XXX_(Build151211143335).apk』– UC 浏览器,如上图。白帽通过抓包发现在该运营商网络下,所有的apk请求(Android软件安装包)都会被重定向到一个神秘的系统,然后下载地址就被悄悄的替换掉了。不管怎样这个系统就是问题的关键,白帽打开这个IP后看到了一个『安装分发平台』。乌云君曾想象做这种流量劫持苟且之事的系统都是非常隐秘并且简陋的,这个系统这么高调并且似乎已经成熟化了,简直不能理解。这个互联网太没有安全感。可惜,信息安全上还没那么成熟(存在明显的SQL注射漏洞),这系统上所做的事情和记录都是可以轻易访问到。白帽子发现这个系统对每天对用户的劫持行为都进行了详细的记录。记录包括:来源地区、用户关键字、用户下载的apk、被替换的apk、用户IP、劫持时间等,这个应该是用来做费用结算的。上图是一些下载小米商店和爱奇艺客户端的用户,都被悄悄的替换为UC浏览器安装包了。通过这系统自己的统计得知,每日的成功劫持数量少则六七十万、多则一百多万的劫持量,这只是一个准二线城市的量级。社区里的白帽子还提供过更大的运营商劫持记录,百万其实也算少的,如果这种系统被黑客通过漏洞控制,批量下发恶意手机木马,那会是谁的责任?好说这么多,这到底是哪家运营商做的劫持?CNCERT对该漏洞的通报与反馈来看,你们说是哪家?已经转由CNCERT向中国电信集团公司、中国移动集团公司、中国联合网络通信集团有限公司通报,根据反馈情况,已经由中国电信进行后续处置。翻墙技术博客订阅地址及社交帐号

阅读更多
  • 1
  • 2

CDT/CDS今日重点

十月之声(2024)

【404文库】“再找演员的话,请放过未成年”(外二篇)

【404媒体】“等帘子拉开,模特已经换上了新衣”(外二篇)


更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间