整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
國中小學安全教育專題活動學校版在哪里觀看?小編為你準備了觀看操作步驟,收好!
全國中小學生國家安全教育專題活動學校版入口
第一步:廣東省學校安全教育平臺(https://guangdong.xueanquan.com),點擊“2020年全國中小學生國家安全教育專題活動”板塊
第二步:進入專題活動,點擊菜單欄“學校版”即可
時間:2020年4月10日—5月10日
參與對象:全國中小學生
主辦單位:中國教育學會
活動入口:https://huodong.xueanquan.com/2020415gjaq/video.html
來源:廣州本地寶
瀏覽器文本輸入字段中漏洞的分析表明,大型企業和政府機構網站的HTML源代碼中保存了明文密碼。發現該問題的專家報告說,他們創建了一個測試擴展程序,可以提取敏感數據并將其輕松上傳到Chrome網上應用店。
[2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields
https://arxiv.org/abs/2308.16321
Chrome extensions can steal plaintext passwords from websites
https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/
威斯康星大學麥迪遜分校的Asmitt Nayak及其同事在預印本服務器arXiv上發表的一篇論文中指出,“我們發現支撐瀏覽器擴展功能的粗粒度權限管理模型違背了最小權限原則和完全中介原則。”,并指出不必要的許可請求以及Chrome等瀏覽器缺乏徹底的安全執法導致了漏洞。
根據研究團隊的說法,這次發現的錯誤是由于擴展程序訪問網頁內部代碼的方式造成的。 許多站點都使用一種稱為文檔對象模型 (DOM) 的機制,該機制允許您以編程方式操作用 HTML 等編寫的文檔,但由于擴展可以無限制地訪問此 DOM 樹的問題, 研究小組解釋說,源代碼中的敏感數據可以很容易地提取出來。
Google 于 2023 年在 Chrome 中引入了一個名為“Manifest V3”的規范,該規范嚴格限制了擴展程序可以訪問的信息類型,但 Manifest V3 并沒有解決這個問題,因為它沒有在擴展程序和網頁之間創建安全邊界。
為了測試Chrome網上應用店檢查擴展程序的能力,研究小組上傳了一個概念驗證擴展程序,假裝是基于GPT的助手。 此擴展具有在閱讀HTML源代碼后提取用戶輸入的密碼的功能,但它顯然不包含惡意代碼,并且也符合Manifest V3,因此毫無問題地通過了審核并獲得批準。 研究小組將擴展設置為“非公開”以防止任何傷害,并在批準后立即將其刪除。
研究小組發現了190個可以直接訪問密碼輸入字段的擴展功能程序,其中也有下載數超過10萬次的人氣擴展功能程序。另外,擁有惡意利用該漏洞權限的擴展功能程序占全體的12.5%,約有1萬7300個。
更嚴重的是,研究人員發現,許多網站,包括擁有大量用戶的大型和政府網站,都以純文本格式存儲用戶的密碼。
發現問題的主要站點如下。
?亞馬遜(amazon.com):包含安全代碼的信用卡信息和郵政編碼在頁面的源代碼上以明文形式顯示
·Gmail(gmail.com):在HTML源代碼上保存了明文密碼
?Cloudflare(Cloudflare.com):同上
?Facebook(facebook.com):可通過DOM API提取用戶輸入
?花旗銀行(citibank.com):同上
?美國國內稅收廳(irs.gov):社會保障號碼(SSN)在網頁的源代碼上以明文形式顯示
下面顯示了登錄ID和密碼的實際提取方式。
“谷歌和亞馬遜等主要在線市場尚未對信用卡輸入字段實施任何保護,鑒于這些網站的規模和交易量,這些網站不受保護尤其令人擔憂,”研究小組在論文中寫道。
亞馬遜發言人在回應這一聲明時表示,“我們鼓勵瀏覽器和擴展程序開發人員利用安全最佳實踐來進一步保護使用其服務的客戶。” 谷歌發言人也表示,他們正在調查這個問題。
谷歌正在推出一項功能,當Chrome中安裝的擴展程序從網上商店中刪除或被發現包含惡意軟件時,它會警告用戶。 此功能將在Chrome 117中正式實現,但據IT新聞網站BleepingComputer報道,最新的Chrome 116可以通過在地址欄中輸入“chrome://flags/#safety-check-extensions”來激活這個功能。
1月9日,由騰訊聯合各方共同打造的第二屆主題為“智慧安全 連接賦能”的中國互聯網安全領袖峰會(Cyber Security Summit,簡稱CSS安全領袖峰會)在北京正式拉開帷幕。本屆CSS安全領袖峰會上,騰訊安全聯合實驗室、中國電子技術標準化研究院和騰訊網絡空間研究中心共同發布了《“互聯網+”企業網絡安全生態研究報告》,首次提出“輕足跡”安全管理理念。基于該報告,大會還舉辦主題為“信息安全之于現代企業的戰略價值”的圓桌論壇,由來自騰訊、滴滴、京東和綠盟科技、啟明星辰等互聯網巨頭公司的權威安全專家從信息安全威脅升級、安全生態對企業信息安全的賦能作用、共建企業安全生態三個維度展開討論。
(圖:《“互聯網+”企業網絡安全生態研究報告》發布)
本報告在權威性、參考性、理論性和實戰性上都有較大的意義。權威性在于報告本身由中國互聯網巨頭騰訊和中國電子技術標準化研究院共同完成,并在CSS安全領袖峰會上聯合發布;參考性在于報告是基于對國內1000家主流企業在信息安全領域的投入狀況的摸底得出的數據,每年一期實時更新,對行業進行及時準確深度把脈;理論性在于報告本身不僅發現問題,還高屋建瓴提出“輕足跡”的安全發展觀對行業發展方向和趨勢做出精準判斷;實戰性在于報告本身除了發現問題,還建設性地提出了如何構建企業網絡安全新生態的具體實施舉措,而且大會還組織滴滴、京東等一線互聯網公司的安全專家基于自身從業經驗對報告進行深入探討,并形成構建企業安全生態需要各行業深度連接廣泛合作的共識。
報告劍指問題核心:輕處理+安全生態應對安全威脅升級
報告結合當前網絡環境,重點分析了“互聯網+”時代企業面臨的網絡安全挑戰,提出“輕足跡”的安全發展理念,并對如何加速構建網絡安全新生態提出建設性意見。該報告不僅為國家的網絡安全戰略提供重要的價值參考,給網絡安全企業帶來詳實可靠的數據支撐,同時也增加了互聯網企業的網絡安全憂患意識,為加快企業網絡安全新生態建設提供重要指引。
互聯網與各行業產生神奇“化學反應”帶來產業轉型升級的同時也形成隱憂。隨著云計算、大數據等技術的運用,基于網絡安全的問題也越來越突出,而且相比傳統變得更加復雜,呈現出“VUCA”四大新特性(即易變性、不確定性、復雜性和模糊性)。分區分域的防護理念因為模糊的邊界而不再有效,安全威脅與安全事件的后果充滿不確定性,后果和威脅更加嚴重。
這背后的原因,除了企業網絡安全外部生態的先天不足和自身生態的不健全,還有新技術新應用帶來的新安全挑戰。自身生態的不健全,主要體現在自身網絡安全意識有待提升、體系急需完善、培養網絡安全人才等;外部生態的先天不足,則是法律法規不完善、資源與技術落后,尤其是關鍵信息技術產品嚴重依賴國外等。與此同時,以云計算、大數據為代表的新技術新應用也增加了網絡安全的復雜性和挑戰性。
針對當前復雜的網絡環境,構建企業網絡安全新生態顯得尤為重要。報告提出“互聯網+”時代企業網絡安全生態的愿景:在“互聯網+”時代中,好的企業網絡安全生態環境本質上就是要保障“線上和線下高效、持續、安全的服務”。想達到這一目標,報告提出科學的“游戲規則”、明晰的企業生態位、開放的共同進化體和閉環的生態平衡系統四大基本要求。保障網絡安全對于保障公民、企業網絡空間權益、保證國家安全和社會穩定至關重要,需要協同各界力量共同抵御。
基于此,報告首次建設性提出“輕足跡”的安全管理理念。該理念特色主要體現在四個方面:防護手段模塊化、應急管理扁平化、防御機制協同化以及處理過程快速化。防護手段模塊化可降低網絡防御手段和技術之間的依賴性,根據網絡安全的變化不斷調整安全措施;應急管理扁平化則做到第一時間獲取終端的網絡資源使用情況和安全狀態;防御機制協同化可以實現對全網的協同防御、關聯分析、信息共享;處理過程快速化則是利用云計算、大數據的平臺,迅速有效地解決安全問題。四方面入手,高效靈活地應對出現的新型網絡安全難題,加快構建網絡安全新生態。
除了理論建設,報告在實踐層面也給出了建樹性的舉措。為了協同作戰提高效率,加快構建“互聯網+”時代企業網絡安全生態,報告認為應從以下五方面著手:加強法規政策建設,完善網絡安全生態頂層設計;健全網絡安全產業標準體系,構建統一協調的發展模式;借助熱點加速全產業鏈融合,提高生態綜合防御能力;打造健康開放共享交互平臺,建立可信可控高效保障機制;鼓勵不同領域技術碰撞,加快技術帶動生態安全升級速度。
行業領袖把脈企業安全:深度連接與生態“賦能”勢在必行
報告是基于大量的事實調研得出的理念結晶,不僅對中國企業信息安全的狀況做出了全面診斷,為各行業企業深入快速了解中國安全網絡環境提供索引,在本屆CSS安全領袖峰會上,也成為大會議程設置中圓桌會議討論的重點。
(圖:“信息安全之于現代企業的戰略價值”圓桌論壇環節)
在報告發布當天,主辦方特別舉辦了主題為“信息安全之于現代企業的戰略價值”的圓桌論壇。來自滴滴出行信息安全戰略副總裁弓峰敏、京東首席信息安全專家Tony Lee、綠盟科技高級副總裁葉曉虎三位知名一線企業大咖以及騰訊安全玄武實驗室負責人于旸、騰訊安全科恩實驗室總監呂一平兩位騰訊安全專家,針對報告結論從信息安全威脅升級、安全生態對企業信息安全的賦能作用以及共建安全生態三個維度進行了更深入的討論。
作為業界領先的互聯網安全從業者,騰訊對新時期的網絡安全趨勢有著深刻的理解。今年9月,騰訊安全科恩實驗室宣布以“遠程無物理接觸”的方式成功入侵了特斯拉汽車,這在全球尚屬首次,這既是白帽黑客在推動企業修復安全漏洞方面的典型案例,也讓我們看到企業網絡威脅升級的端倪。呂一平表示,隨著新技術新應用的出現,網絡安全也不斷呈現出新形態,不確定性和復雜性都在升高。作為全球頂級白帽黑客現在騰訊安全玄武實驗室負責人,于旸認為要改變“被動防守”地位,需要迅速建立起快速、透明、有效的響應機制。綠盟科技作為領先的安全產品和解決方案提供商對此也深有感觸,葉曉虎表示,移動互聯網安全問題、APT攻擊、云安全問題、以及應用軟件漏洞問題,正成為“互聯網+”時代企業安全問題的焦點。
除了專業的網絡安全廠商,互聯網公司對遭受到網絡安全威脅和攻擊的感受也越來越強烈,他們迫切希望借助大平臺和安全生態體系來實現對企業的“賦能”。滴滴作為中國最大的出行平臺,掌握了海量的用戶信息和資源。弓峰敏表示,新技術導致網絡安全對抗不斷升級,對滴滴而言,除了自建網絡安全體系,還需要與有實力的安全實驗室深度連接與合作。作為中國第二大電商平臺,京東平臺聚攏眾多中小商家, Tony Lee表示,新時代的網絡安全攻防,不僅需要安全廠商、運營商深度連接,還需要政府的高度參與和賦能;此外,加強與國際大廠商的技術交流和合作,引進相關的技術人才也是一大著力點。以“開放”為起點,構建橫向跨越企業、行業邊界與國界,縱向跨越人、企業、機構、產業、政府的全連接已經成為行業共識。
報告長效價值:方向指引,加速企業安全生態構建
除了成為大會看點和為大會提供理論支撐,《報告》還具有深刻的政策指導意義和行業影響力,在網絡安全決策層面具有重要的戰略指導價值。報告是基于對國內1000家主流企業在信息安全領域的深入研究得出的結論和數據,來源于一線的鮮活數據和實例,報告的結論和趨勢探討不僅讓現場與會的全球500家企業受益匪淺,更對整個網絡安全行業企業在未來的方向聚焦和施力點上提供重要的坐標指引。同時,報告本身也增加傳統企業轉型互聯網的憂患意識,強化網絡安全問題刻不容緩的行業認知,為加速推動企業網絡安全新生態提供理論依據。
此外,作為CSS安全領袖峰會的重要理論依據,每年的安全生態報告已經成為全行業的一大期待。在2015年首屆CSS安全領袖峰會上,騰訊安全團隊發布了《2015網絡生態安全報告》,報告顯示了同年網絡詐騙呈高發態勢,網絡犯罪呈現趨利化、產業化、移動化趨勢,并開始走從線上到線下蔓延的“O2O”模式。針對報告內容,騰訊副總裁丁珂倡導全球行業打破壁壘,“連接”在一起,構建安全新生態。
本屆CSS安全領袖峰會,基于《報告》對動態發展的網絡安全環境變遷進行深度探討。除了與全球頂尖科技企業達成共建安全生態的共識,還明確了安全生態需具備深度連接、人工智能協作、智慧防御三大基因。并提出深化連接,打破合作壁壘;建立常態化的互聯網安全國際合作機制;建立人才與技術的標準化等國際安全新秩序的三大實現路徑。全球化問題必然需要全球化應對,在報告的參考指導下,一個無邊界全連接的企業網絡安全新生態也正在加速成型。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
