Privacy

PSA: 如何给自己的信用记录上锁

| Security | #Credit Freeze | #Security | #Privacy | #Identity Theft | #Finance | #信用 | #安全

根据洛杉矶时报报道,骇客可能窃取了全部美国人的社会安全号

社会安全号码(Social Security Number, SSN)是依据 42 U.S.C. § 405(c)(2) 发给一部分美国纳税人(包括公民、永久居民,以及有工作许可的临时居住在美国的人员)的一个九位数字。 目前,这个号码是由社会保障署(Social Security Administration)发给这些纳税人的, 尽管社会安全号码的设计本意是帮助社会保障署区分这些纳税人的,但由于它是由联邦机构签发的终生不变的数字, 因此它成了事实上的美国全国身份证识别代码,并且在税务以及许多其他地方都有使用。

阅读全文…( 本文约 666 字,阅读大致需要 2 分钟 )

iCloud 的 Advanced Data Protection

| Security | #iCloud | #Apple | #Security | #Privacy | #Encryption | #E2EE | #安全 | #隐私 | #加密

最近 Apple 的一系列更新中的一项新的安全特性是 iCloud 的 Advanced Data Protection, 大概看了一下还是挺有意思的。

阅读全文…( 本文约 1473 字,阅读大致需要 3 分钟 )

Telegram Premium

| Life | #Telegram | #Privacy | #Security | #Subscription | #IM | #即时通讯

Telegram 最近宣布了其订阅付费计划。 说起来我也不是特别信任其安全/隐私方面的特性(*),不过作为一个跨平台即时通讯软件来说, 其在不同平台上的功能基本上做到了完全一致,并且在这个礼崩乐坏 的时代,能够在不同平台上都做到不狂吃CPU/内存,在不同平台上的界面行为上高度一致, 并且完全没有各种令人抓狂的智障设计(举例来说:随便干什么事情都弄个二维码还非让你扫描一下借此获得摄像头权限、 多机登录时以手机为主并且时不时就得再扫描一次二维码、完全无法回溯的会话引用、 没头没脑地给一条「有人@你」的通知,却无法迅速定位到消息等等),并且公开客户端源代码以便第三方进行代码审计, 确实是十分难得的。

阅读全文…( 本文约 797 字,阅读大致需要 2 分钟 )

我现在还在用的 Google 服务

| Life | #Google | #Google+ | #privacy | #data ownership

📜 历史文件已不具备现实意义

连 Google+ 都没了。

Google 在一篇关于 Google Maps 更新的 blog 中提到, Google Latitude 即将关闭 并转入 Google+。(另外话说,这事有必要这么偷偷摸摸的吗?)

阅读全文…( 本文约 244 字,阅读大致需要 1 分钟 )

为什么输入敏感数据(如登录信息)的页面也要做成 https?

| Security | #HTTPS | #security | #web security | #privacy | #SSL

有一种错误的观念是,对于不太敏感的内容(例如论坛之类),只要用 https 保护登录过程中提交密码的部分就足够了。例如国内非常流行的网易邮箱,很早以前便提供了"SSL安全登录"的选项,这样做显然是比完全不提供SSL登录选项的新浪邮箱要强多了[注1],但是仍然是不够的。

阅读全文…( 本文约 467 字,阅读大致需要 1 分钟 )

密码阴谋论

| Security | #password | #security | #privacy | #product management | #conspiracy theory

大家都喜欢阴谋论,所以今天说个关于密码的。话说,假如你拿到了一个大网站的密码数据库,然后恰好这个数据库里面的密码又都是明文,但这个数据有点旧了,怎么样才能立即得到其中的活跃用户的密码呢?

假设你可以控制若干家网络公司所使用的网络基础设施,例如事先装了一些监控非法活动的防火墙的话,方法就很简单了:公布这个数据库,或者公布至少其中的一部分,然后做简单的监听就可以了。这个过程不但可以知道他们的新密码是什么,而且可以知道旧密码是否是对的,还可以知道他们的安全习惯如何,要知道,假如没有这个事件,绝大多数人可能正靠着他们的简单密码睡大觉。

当然,攻击者显然还会注意到,这些网站,以及很多其他网站,多数还都没有对用户做最起码的保护,即使用 https 来保护登录过程。

阅读全文…( 本文约 1356 字,阅读大致需要 3 分钟 )

为什么在酒店要拨VPN回家/公司而不是直接访问Internet?

| Security | #VPN | #security | #public Wi-Fi | #privacy | #networking

这其实是一个很严肃的话题。

我在酒店或者提供免费wireless访问的地方一般都会拨VPN回家/公司,然后通过那里的路由访问Internet。这个习惯不能完全消除运营商进行的攻击,但能减少能够实施这种攻击的人的范围。

阅读全文…( 本文约 568 字,阅读大致需要 2 分钟 )

互联网时代没有隐私

| Security | #Internet | #privacy

之前和 A core 聊过这个问题。整理一下发出来。

这个话说的可能比较绝对,有人说,缺少信任的社会是可悲的—-而我想说的是,现今,被过度滥用的信任则是可怕的。通过各式各样的社交网站,如 FacebookLinkedIn开心网天际网等等(我想有人会提到 豆瓣,但是我个人认为豆瓣算是一个比较另类的社交网站,因为上面的人很少使用真名),很多人之间的联系被轻易地挖掘和利用。

阅读全文…( 本文约 1377 字,阅读大致需要 3 分钟 )