JS 第三方库 “jQuery” 的官方博客遭黑客篡改，代码库暂不受影响

Posted 2021-04-08 看雪学院

JS 第三方库 “jQuery” 的官方博客遭黑客篡改，代码库暂不受影响

继 JS 挖矿引擎 CoinHive 被黑后， jQuery 的官方博客（blog.jquery.com）于近期遭网名为 “str0ng” 和 “n3tr1x” 的黑客篡改。目前，虽然没有证据表明存放在主机系统文件的服务器已遭黑客入侵，但可以确定黑客通过  jQuery 管理人员 Leah Silber 的账号发布了一篇诋毁官网的文章（如下图）。

调查显示，由于 jQuery 官方博客使用了 WordPress 平台的内容管理系统（CMS），因此黑客还有可能通过 WordPress 已知或零日漏洞获取未经授权访问权限。 jQuery 团队在发现博客官网被黑后立即删除了黑客所发布的帖子。

研究人员表示，由于数百万网站直接由 jQuery 服务器调用脚本，因此该攻击活动可能导致的后果更为糟糕。另外，这已经不是 jQuery 网站第一次受到攻击。据报道，jQuery 主要域名（jQuery.com）曾于 2014 年遭黑客入侵，其网站访问者被重定向至恶意页面。

来源：hackernews

美国网络安全公司 McAfee：不再允许境外政府审查其产品源代码

美国网络安全公司 McAfee 近期发表声明，宣称不再允许境外政府审查其产品源代码，从而防止国家支持的黑客组织实施网络攻击活动。

知情人士透露，俄罗斯国防部门要求俄罗斯使用的所有软件都需要通过安全设施 “Clean Rooms” 的审查，旨在确保境外产品的软件中没有隐藏 “后门”。但安全专家和前美国官员表示，这些视察使俄罗斯有机会发现可能在进攻性网络行动中被利用的安全漏洞。

McAfee 发言人在一份声明中表示，公司于今年 4 月脱离英特尔后，就已决定不再允许境外政府审查其产品源代码，只是目前并没有提供更精确的时间表。

来源：solidot.org

研究发现双因素身份验证码可能被物理对象所取代

如果您可以使用漂亮的手链或水瓶作为密码，该怎么办？佛罗里达国际大学和的研究人员创建了一个基于摄像头的远程认证解决方案，以帮助用户在任何移动设备上做到这一点。该解决方案称为Pixie。要使用它，用户首先选择一个秘密物理对象，如书或纸本，并使用移动设备拍摄照片，创建参考照片。

然后，每次要使用双因素身份验证时，用户只需要将小物件对准摄像头即可。如果他们拍摄的图像质量较差，Pixie将被编码以警告用户。如果用户以另一个角度拍摄照片，它仍然会识别出物体。

类似于YubiKeys，Pixie可以使用物理令牌来验证用户的登录信息。但不同于插入USB端口的密钥 Pixie声称将能够用任何旧的物件进行身份认证，而无需购买任何额外的硬件。

研究表明，用户可以在任何拥有摄像头的设备上使用Pixie，包括旧款移动设备，智能手表和Snapchat眼镜。根据这篇论文，人们发现使用物理令牌比输入文本密码更容易，但是比面部识别更慢，更不准确，因为人们选择的物理对象比眼睛和脸部的形状更加多样化。Pixie在android上使用各种对象进行测试，包括纹身，手表和钥匙串等。

目前研究人员没有计划将Pixie引入市场，该项目还只是一个概念验证，显示物理对象如何成为使用双因素身份验证的可行方法。该研究的结论是，使用更先进的图像处理技术，如使用深层神经网络，Pixie可以变得更加容易使用。

来源：hackernews

往期热门内容推荐

更多详情、资讯，戳左下角“阅读原文”