2015年12月13日 星期日

12/13 晨摘

  • 資訊安全:
1.Xboxlive数字证书私钥泄露,用户或被中间人攻击 by Freebuf

微软确认*Xboxlive.com域名的SSL/TLS数字证书私人密钥遭到泄露,可被攻击者用于尝试发动中间人攻击,但私人密钥不能被用于签发其他证书或代码,或假冒其他域名。

Xboxlive证书包含在所有的windows支持版本中,影响范围非常广,但微软目前还没有发现利用私人密钥发动攻击的案例。

微软正在更新Certificate Trust list (CTL) 撤销对该证书的信任,希望每个人都能自动收到撤消Xboxlive SSL服务器证书的通知。微软公司并没有说明已经有多少人看到过证书,但很不希望密钥已被用于发动攻击。

2.注意!Win10的11月更新重启数据收集功能 by Freebuf

一位Reddit的用户指出了Windows自动更新后会启用之前用户通过第三方应用程序——DisableWinTracking(Win10追踪禁用工具)关闭的数据收集功能。

Windows以某种方式收集来自用户系统的数据是为了提高Windows本身的性能而不是将这些信息转卖给其他的机构组织。可就是由于Microsoft并没有官方公布或解释他们数据收集的行为目的而导致用户的怀疑。

3.安卓恶意软件是如何攻击安卓机,并窃取用户银行账户信息 by Freebuf

恶意软件會定期检查设备上运行的app并通过getPackageName() API调用检索应用程序相关的界面名称然后把这个来自这个API的返回参数和这个目标应用程序名字列表进行比较。如果匹配的应用程序被发现正在受感染设备上运行,负责回应的类会显示伪造的登录页面。

银行经常把短信作为一次性密码(OTP)发送给用户作为用户ID和密码之外的登录凭证。获取这种额外的登录凭证需要攻击者进入受害者的设备获取接入OTP的权限来获取OTP。恶意软件通过把自己注册成安卓操作系统的SMS广播接收方来完成OTP获取工作。

在这种理论中,只要受害者在安装时授予了软件合适的执行权限,恶意软件就能很轻松的完成这项工作,这种权限在清单文件中被明确的指出了。因此,所有接收的SMS都可以被很容易的劫持,SMS的内容可以被发送到攻击者的C&C服务器。

  • 自我成長:
1.如何用一年的時間脫胎換骨? by 渡邊薰

在習慣徹底灌輸到我們心中之前,隨時保持意識,不斷重複進行。所謂的習慣化,就是反覆進行一樣的行為。

具體來說明整個過程,在剛開始的第一週是需要意識來進行,讓自己「適應」下去,第二週則是開始「習慣化」的過程,最後一週則是「確立」完成。

2.看不清未來就要把握好現在 by 菲然

既然未來我們還看不清,不如先把握好現在,因為你現在所做的一切都會對未來產生影響。所謂種瓜得瓜,你現在什麼也不種,未來就什麼都沒有,或許你剛畢業工作沒多久,還在為交房租發愁,為加班感到煩躁,為沒有成就而急躁,但你不得不承認,就算你有多麼遠大的理想或抱負,你總要將它們一一落實,你的理想需要一步一步地實現。

我們得首先明確一個方向,有了方向就不會迷茫,所以,你要知道自己需要什麼,想要過一種什麼樣的生活,不讓自己迷迷糊糊地混日子,確定生活目標後,馬上動手實現。

我們不要為了等待而活,等待是一種被動的生活狀態,如果想要什麼,就主動去爭取。如果你願意比別人多走幾步,就能比別人多許多成功的機會,比別人多看到更多人生的風景,多收穫一些甜美的果實!

3.如何建立完美的溝通?真正有力量的人是先放下自我 by 茱迪斯.歐洛芙

(1)保持沉著,不要有情緒化反應
(2)避免為自己辯解,因為那會使你顯得軟弱
(3)耐心聽對方講述,不要打斷,不要強求最後的結論一定要由你來下
(4)以同理心了解對方的立場,即使你並不贊同
(5)選擇是否要爭辯,必要時請道歉

如欲閱讀更多文章摘要,請見 每日晨摘

沒有留言:

張貼留言