新型攻击30秒内可从加密通信中提取机密信息
稿源：编译自Ars Technica
HTTPS加密协议保护着世界上数百万计的网站，然而现在出现一种新型的攻击手段，可以让黑客从加密的页面中提取出邮件地址、某种类型的身份信息(credentials)，这一过程通常只需短短的30秒。这项技术在周四的拉斯维加斯黑帽安全大会上得到了演示，在演示过程中黑客破解了网上银行和电子商务网站使用SSL和TLS协议加密的响应信息。
整个攻击提取到了像社会安全号、邮件地址、安全token以及密码重置连接等特定的敏感数据。这种攻击方法对所有版本的TLS和SSL都有效，不论使用什么样的加密算法或密钥(cipher)。这种手段要求攻击者能监听用户和网站之间的流量，并且攻击者也需要诱导受害人访问一个恶意链接。可以通过在网站上注入iframe标签让受害者访问或引导受害人查看邮件，而其中的隐藏图片在加载时就会生成HTTPS请求。恶意链接会让受害者的计算机向目标服务器发送多个请求从而进行消息刺探。“我们不会破解整个通信过程，只是提取了一些我们感兴趣的机密信息”发明这种攻击的3位研究员之一的Yoel Gluck如是说“这属于一种定向攻击。我们只需在网站上找到一个需要进行口令或密码交换的地方，我们就可以在那个页面上提取到机密了。一般情况下，无论网页还是Ajax响应中的机密我们都可以在30s内提取出来。”这种最新式的攻击让那些用HTTPS加以保护的Web、email以及其他的网络服务的安全性荡然无存。同时这种攻击方法也成为了众黑客们万分追捧的新技术之一。然而目前还没有任何攻击者能完全突破HTTPS的安全防线。这种攻击手法被称为BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)更多关于BREACH的内容请看：
[责任编辑：ugmbbc]
-5-4-3-2-1012345
当前平均分: 打分后显示
-5-4-3-2-1012345
当前平均分: 打分后显示
Advertisment ad adsense googles保存在百度网盘（百度云）里的资料（视频，照片等），百度工作人员是怎么审查的，会不会泄露隐私？？
就是想知道是怎么审核的，人工还是网络关键词自己识别？如果是人工的话，那么岂不是个人所有的内容审核人都能看到，太可怕了。
按时间排序
哦我62G资源全部over。说多了都是泪
图片貌似没有和谐，视频都成8秒了，下载下来也是8秒，百度真狠。我觉得是有人工的。
1.系统自动 记得以前知乎有人提到过 关于 如何判断一个电影 是否.....
那种动作幅度大的，你懂的，但事实上 奥特曼啊。。之类的 动作片 也会被 判定为....这时候....2.这时候 就需要 鉴黄师了。也就是每天看看看.....然后把1中的奥特曼类似的影片筛选出来3.用户举报，人工审查 后 ...4.MD5。事实上 1、2、3中 被筛选出来是黄黄的片片，的md5 已经被系统记录 那么用户上传文件后效验md5 与数据库中的对比。一样的 封！5.事实上百度这方面的技术目前看来没有360云盘 做的好。
我一直不相信除了用百度云盘看小黄片，竟然还真的有人用网盘存隐私 ！！！！心到底是有多大？一个免费的东西能有多安全？以前我有个同学用360的密码锁存银行卡密码，现在他坟头草有1米多了
感觉百度一定有一部分人员在黄色网站上转悠，抓资源。。
1024小组，1024小组，收到请回复收到请回复。1024小组已收到，请指示。地址处有疑似xx出现，请速查探清楚。1024小组收到，已派出景门部队，预计5小时之内作战完毕。xxxxxxxxxxxxxxx割裂的盘xxxxxxxxxxxxxxxx1024小队景门已成功完成任务，消灭不明文件47件，排除隐患点12个，屏蔽地址146处，无人员伤亡。1024小队！1024小队！
——摘自《绝密2007
代号1024》
景门回忆录，任务号10496
据说百度发动了戒色吧百万成员来审核，很快就把资源全和谐了。
我只知道如果视频名字没改一定会被和谐掉。。。还有欧美的是不会和谐的
使用网盘有一个原则：重要的文件、千万不要放在网盘，避免泄露！ 肯定是多种方式结合，机器人工齐上阵
当初网盘里有近1T的资源变成了8秒短片，我一直放着没管，现在发现大部分已经恢复了。
有种东东叫MD5
审查文件，他们当然只是查询文件是否与已检测出的不良信息文件为同一文件，所使用的方法上面都有提到。不过你跟百度谈隐私，他们要看你的隐私那还不是瞄一眼屏幕的事吗？不过也不只是百度，其实很多网盘服务都不能保证绝对的隐私，连iCloud不也出过那啥门吗，所以真正重要/隐私的文件，最好不要放云上，用U盘，或者加密后放到相对可靠的网盘。
会 一定会 你把自己的资料传到了公有云一定会泄露隐私
维多利亚的秘密都会变成8秒短片，简直不能忍。
首先根据文件的哈希筛选出已知的不健康内容，直接屏蔽。然后根据用户举报删除一部分内容。其次百度有一个程序，类似当年的绿坝，但是这套程序比绿坝不知道高到哪去了，误杀率很低。
有相应的算法，比如检测画面中肤色的比例
双重密码表示压力不大
除了MD5校验之外，还有一个手段。通过随机抓取视频里的图片来分析画面是否符合涉黄规定。在这个方面，百度的机器学习已经很厉害了。基本上可以通过裸露的皮肤等特征来判断是否为违禁电影。在这个方面，几大网盘都能做到。
网盘上主要审查的是视频，某播的事情让搞网盘的公司都很后怕。一是用户举报，基本上不管哪个网盘的资源都有举报按钮，一旦该资源被举报，就会有人来审查一下，是不是真的有问题。二是机器对数据的过滤，要知道网盘存储的数据很多，但是很多不同人上传的视频什么的其实是一样的，。每一个文件都有类似于特征码，都是唯一的，所以网盘里面同一个特征码的文件只会保存一份，哪怕名字不一样。机器一旦发现你上传的文件的特征码是黑名单里面的，自然阻止了。
MD5和hash都要验证，二者是一个文件的固有属性，不会因为重命名而改变
已有帐号？
无法登录？
社交帐号登录SafeNet近日在2014欧洲信息安全大会上指出，2014年第一季度全球共发生254起有统计的重大信息泄露事件，共失窃近2亿条数据，比去年同期增长233%。值得注意的是，在所有失窃数据中，只有1%属于“破防”泄露，也就是说，只有1%的数据在被窃取前采取了强加密、秘钥管理或其他认证解决方案。
他们都选择了大成天下
文档安全在线交流
陈先生(渠道)何小姐(售后)
文档安全在线交流
咨询热线: 400-
客户专线: 5
渠道专线: 8
华东专线: 021-
华北专线: 010-
铁卷电子文档安全系统解决方案
友情链接： &&&&&&&&
&& & &&&&&&}