雅虎创建网页登录印章安全功能 打击钓鱼欺诈

雅虎创建网页登录印章安全功能 打击钓鱼欺诈

CNET科技资讯网8月23日国际报道 雅虎正在测试一项让用户定制其登录网页的安全功能。该安全功能旨在打击身份窃贼攻击活动。

这项新功能使用户能够在一台特定的PC上创建一个唯一的“登录印章”,该“印章”可以是文本或图片格式。当使用这台计算机访问雅虎的服务时,“印章”会显示在登录网页上。

雅虎在其网站上声称,“印章”是用户所使用的计算机和雅虎之间的秘密。因此当用户使用这台计算机登录雅虎时,登录“印章”会“告诉”用户,你访问的是真实的雅虎网站,而非欺骗性网站。

钓鱼式欺诈已经成为最常见的网络威胁之一。5 月份,向反钓鱼欺诈工作组报告的欺诈网站数量超过了20000 ,创下了新的记录。

雅虎一名代表称,钓鱼式欺诈是一个全行业性问题,雅虎一直在努力打击它。我们正在进行测试,希望逐步推出这一让用户对登录网页进行个性化的服务。

该代表称,在雅虎的2.08亿个活跃注册用户中,部分用户已经在使用这项新的安全功能。雅虎计划在未来数周内向所有美国用户提供这一功能,更晚些时候将这一功能提供给其它国家的用户。

这一安全功能面向用户个人使用的计算机,而非网吧或图书馆的计算机,它使用了cookie. 删除计算机上的cookie,用户就可以关闭这项安全功能,并必须创建一个新的登录“印章”。在CNET News.com 的测试中,该功能支持IE和Firefox。

雅虎MySpace轮番遇袭 Web2.0反成黑客温床

在病毒编写者与他们的对手——互联网安全公司的较量中,Web 2.0光辉新世界的黑暗面正在暴露。

这种融合了互联、共享和实时更新的网页技术,被冠以“第二代互联网”的称号,然而,它也成为企图向这个混合体注入恶意代码的入侵者的沃土。

微软一度是最主要的攻击对象,其文字处理程序、浏览器和操作系统中的薄弱环节被利用,但随着入侵者把注意力从电脑桌面程序转向web应用程序,谷歌(Google)、雅虎(Yahoo)和MySpace现在也同样可能受到攻击。

浏览器:Web 2.0主角

在Web 2.0环境,许多活动在浏览器内进行。举例来说,谷歌用户可在网页填写电子数据表、进行文字处理,而其日历和电子邮件收件箱的更新方式,与使用基于硬盘的微软Office套装软件相同。

区别在于,信息被不断嵌入网页,这些网页从谷歌服务器传送到用户浏览器,最常用的浏览器是Internet Explorer或火狐(Firefox)。

Web 2.0也代表社会软件(social software),包括维基(wiki)、博客(blog)、简易供稿(RSS)新闻源、标签(tagging)和社区站点。它是一个宽容的社区,用户可以自由地相互借用、添加并混合数据。

尽管这些技术和工具会带来新的自由,但也成为病毒编写者和个人身份信息盗窃者的“新天地”。

Web 2.0对恶意软件(malware)开发者的吸引力,部分在于运行Web 2.0的后台程序的复杂性。Ajax(异步JavaScript和XML)是一系列用来使网页更具互动性的技术的总称。运用这些技术,网页与服务器可自动交换少量数据,以刷新部分网页(如不断变化的股价或比分),让网页“活”起来。

“编写JavaScript代码约有100种不同的方法,火狐和Internet Explorer各有50种,”BreakingPoint Systems的安全研究主管HD•摩尔(HD Moore)称。“问题在于,很难区分善意与恶意代码。”

雅虎遇袭

6月份,一名病毒编写者用雅虎的web电邮服务发出了一封隐含某种JavaScript代码的邮件,使雅虎的网页邮件服务遭到“恶意代码”的冲击。由于雅虎允许网页执行JavaScript,因此其邮件系统很容易受到Yamanner蠕虫病毒的攻击。

任何打开邮件的人都激活了脚本,这些脚本向用户的地址簿发出请求,然后将蠕虫病毒发给地址簿中的每个人,其目的也许是为散布垃圾邮件而收集邮件地址。

“如果没有Ajax,Yamanner蠕虫病毒就不可能发生,”SPI Dynamics安全研究员比利•霍夫曼(Billy Hoffman)称。

“令人害怕的是,在雅虎看来,没有什么危险的事发生,用户只不过创建并发送了一封邮件。浏览器也一样,发现了某个Java脚本,就运行了它,而最终用户对此也无能为力。”

上月,谷歌RSS阅读器也发现了类似的缺陷。谷歌采用了JavaScript技术,以便用户能够为阅读器添加新闻源,而一位安全专家能够向新闻源地址添加数据,从而使浏览器连向另一个网站。如果带有恶意目的,所连向的可能是欺骗用户吐露个人信息的网络钓鱼(phishing)网站。

跨站脚本漏洞

网络安全业内将Web 2.0网站内的这些编码缺陷,称为跨站脚本(XSS)或跨站脚本漏洞。

近期利用跨站脚本漏洞的最著名事件,是去年10月份MySpace网站遭到的相对良性攻击。MySpace是如今最大的社交网站,用户人数达5400万。

19岁的洛杉矶软件开发员“Samy”编写了一段蠕虫程序,令他获得了逾100万网上“好友”,直至MySpace使该程序失效。他在自己的MySpace简介里,置入一段JavaScript代码,这样每个查看简介的人会在不知不觉中执行这段代码。这段代码把他列为该用户的好友之一,而在通常情况下,列为好友需要得到该用户的同意,但他写的蠕虫使用Ajax技术,使之在后台批准他的请求。

接着,该蠕虫会打开该用户自己的简介,把恶意代码复制进去,并把Samy添加到那里的任何英雄列表中,还附上一句话:“但Samy是我最敬佩的英雄”。同样,任何查看该用户简介的人也会被感染,这样Samy的名声和“人气”迅速扩大到100万MySpace会员。

此时,该网站的管理员才发觉大量活动,被迫将MySpace关闭数小时,以清除该蠕虫病毒。

“在后台袭击MySpace、谷歌和雅虎的是跨站脚本,”计算机安全公司iSEC Partners主合伙人亚历克斯•斯坦默斯(Alex Stamos)说。“你可以通过脚本的输入输出过滤来进行阻挡。在传统的Web 1.0世界里,要处理的只有一大张以标准超文本标识语言(HTML)编写的网页,因此要把这些脚本阻挡在外并不难。”

但在Web 2.0中,插入脚本的方式如此之多,以至于进行阻挡要难得多,他说道。编写web应用的人,再也不能只用现成的过滤器了。

“24小时读完一本Ajax的书”

“你必须培训开发人员,”SPI的霍夫曼先生说。“围绕Ajax的炒作正导致一个问题:人们看到了MySpace的成功而纷纷采用Ajax技术。他们24小时内读完一本如何学会Ajax的书,然后创建一个存在安全隐忧的网站。”

此类初创网站得到了Ajax“框架”的帮助,“框架”就是现成的Web 2.0程序包。“利用Ajax框架的理念就是,你不必理解它如何运行。但我们的观点是,如果不知道它如何运行,你就不知道如何安全地使用它,”斯坦默斯表示。

他的公司探索了一些漏洞,当用户打开多个浏览器窗口,并在一个窗口里访问一个恶意站点时,可能导致在另一个窗口获得信息,并执行脚本。

SPI向一家网上股票经纪商展示了它所创建的恶意软件,该软件冒充会员身份,买卖他们的股票,并清空其银行账户。

程序开发人员将谷歌本地搜索(Google Maps)等应用,与在线分类广告服务网站Craigslist的广告结合起来,给出待售房产的位置信息,此类混合技术(mash-up)意味着,安全问题已扩展到不同的应用程序中。在RSS阅读器中聚合新闻源,并将用户对新闻条目所作的评论包含进去,这种做法也增加了引入恶意代码的概率。

然而,许多Web 2.0初创网站规模太小,无法把很多时间花在安全问题上。“在Web 1.0时代,安全性姗姗来迟,并且总是落在后面,这很正常,”斯坦默斯说。

“你不可能找到一个风险投资家,对他说你将拥有最安全的混合技术站点,然后得到2000万美元。你应该说,你将提供最酷的互动方式,这才会使你得到资助。”

武汉大学将在南极建立全球首个GPS跟踪站

   记者近日从武汉大学获悉,我国首个南极内陆考察站昆仑站在南极冰盖最高点冰穹A地区开工,武汉大学将在该地区建立人类首个GPS卫星跟踪站。

  气候条件极端恶劣的南极冰穹A,一向被科考界称为“人类不可接近之极”。武汉大学中国南极测绘研究中心副主任王泽民介绍,此次科考武大共派出5人,其中4人留在中山站进行科考,只有测绘学博士张胜凯1人到达冰穹A地区。在此次科考中,武大主要是利用卫星遥感影像地图为科考队进行导航,同时为昆仑站进行施工测量。王泽民还透露,武大将在冰穹A地区建立无人值守的GPS卫星跟踪站,这是人类首次在极其寒冷的环境中建立GPS卫星跟踪站,将用于研究南极内陆的冰盖稳定状态。

国务院:专科以上毕业生落户限制应取消

  据新华社电 国务院办公厅近日发出通知,要求各地区、各有关部门要把高校毕业生就业摆在当前就业工作的首位,采取切实有效措施,拓宽就业门路,鼓励高校毕业生到城乡基层、中西部地区和中小企业就业,鼓励自主创业,鼓励骨干企业和科研项目单位吸纳和稳定高校毕业生就业。

  通知指出,普通高等学校毕业生是我国宝贵的人力资源。当前,受国际金融危机影响,我国就业形势十分严峻,高校毕业生就业压力加大。

  通知要求,鼓励和引导高校毕业生到城乡基层就业。对到农村基层和城市社区其他社会管理和公共服务岗位就业的,给予薪酬或生活补贴,同时按规定参加有关社会保险。

  对到中西部地区和艰苦边远地区县以下农村基层单位就业并履行一定服务期限的高校毕业生,以及应征入伍服义务兵役的高校毕业生,按规定实施相应的学费和助学贷款代偿。继续实施和完善面向基层就业的专门项目,扩大项目范围。

  小企业聘失业毕业生可获贷款扶持

  鼓励高校毕业生到中小企业和非公有制企业就业。对企业招用非本地户籍的普通高校专科以上毕业生,各地城市应取消落户限制(直辖市按有关规定执行)。劳动密集型小企业招用登记失业高校毕业生等城镇登记失业人员达到规定比例的,可按规定享受最高为200万元的小额担保贷款扶持。

  鼓励骨干企业和中小企业积极吸纳和稳定高校毕业生就业。承担国家和地方重大科研项目的单位要积极聘用优秀高校毕业生参与研究,聘用期满,根据工作需要可以续聘或到其他岗位就业,就业后工龄与参与项目研究期间的工作时间合并计算,社会保险缴费年限连续计算。

  鼓励和支持高校毕业生自主创业。在当地公共就业服务机构登记失业的自主创业高校毕业生,自筹资金不足的,可申请不超过5万元的小额担保贷款。对合伙经营和组织起来就业的,可按规定适当扩大贷款规模;从事当地政府规定微利项目的,可按规定享受贴息扶持。有创业意愿的高校毕业生参加创业培训的,按规定给予职业培训补贴。

  就业指导课成大学生必修课

  通知还要求,强化高校毕业生就业服务和就业指导。高校要强化对大学生的就业指导,开设就业指导课并作为必修课程。加强招聘活动安全保障,维护高校毕业生就业权益。提升高校毕业生就业能力。完善离校未就业高校毕业生见习制度。从2009年起,用3年时间组织100万未就业的高校毕业生参加见习。

  强化对困难高校毕业生的就业援助。对困难家庭的高校毕业生,高校可根据实际情况给予适当的求职补贴。各级机关考录公务员、事业单位招聘工作人员时,免收困难家庭高校毕业生的报名费和体检费。

孟建柱会见柬埔寨副首相兼内政大臣韶肯

  国务委员、公安部部长孟建柱25日在上海会见来华出席“万国禁烟会”一百周年纪念大会的柬埔寨副首相兼内政大臣韶肯。

  孟建柱表示,近年来,中柬关系发展良好,两国高层互访频繁,相互了解和信任进一步加深。两国公安、内政警察部门平等相待,真诚合作,人员往来日益密切,执法合作更趋务实。

  孟建柱说,去年11月,我与韶肯阁下共同签署了两国政府间《关于禁止非法贩运和滥用麻醉药品和精神药物的合作谅解备忘录》,以及两部间的合作谅解备忘录。希望双方在现有合作的基础上,进一步加强在禁毒、打击跨国犯罪和非法移民、遣返犯罪嫌疑人、执法培训等领域的合作,努力维护两国共同利益,积极推动两国全面合作伙伴关系健康稳定发展。

  韶肯表示,柬埔寨政府十分重视与中国的友好合作关系,完全赞成中方建议,愿进一步加强两国在禁毒和打击跨国犯罪领域的合作。祝愿“万国禁烟会”一百周年纪念活动圆满成功。

吴邦国上午9时作人大常委会工作报告

   第十一届全国人大第二次会议及全国政协十一届二次会议继续各项议程,人大及政协都将举行全体大会,大会之余,几场围绕热点话题的记者会也料将是今日“两会”的焦点。

  今天上午9时,十一届全国人大第二次会议将召开第二次全体会议,全国人大常委会委员长吴邦国将作全国人大常委会工作报告。

  下午,人大各代表团将举行代表团全体会议,审议全国人大常委会工作报告。

  上午9时,全国政协十一届二次会议将继续小组讨论,下午3时,政协十一届二次会议将举行第四次全体会议,届时将有部分委员作大会发言。

  此外,今天下午2时30分,十一届全国人大二次会议新闻中心将举行“人大立法和监督工作”专题采访,邀请全国人大常委会办公厅、法工委、预工委负责同志在大会新闻中心接受中外记者的采访。

  下午4时15分,十一届全国人大二次会议新闻中心将在大会新闻中心举行“应对国际金融危机中工会组织的作用”专题采访活动,邀请中华全国总工会等有关负责人接受中外记者的采访。

  晚8时,新闻中心将邀请4位出席十一届全国人大二次会议的全国人大代表(省、自治区人大常委会主管工作的副主任),结合审议全国人大常委会工作报告,与网民在线交流人大立法和监督工作。

民盟建议人大追责政府失误投资

全国政协委员、四川省监察厅副厅长赵振铣接受专访,谈灾后重建项目监管

  “四万亿”扩大内需投资计划成为今年“两会”热点之一,其资金与项目的监督也备受关注。

  民盟中央日前向全国政协大会递交提案建议,应尽快完善政府投资项目责任追究制度,由人民代表大会及其常务委员会作为最重要的追究主体。

  民盟中央在提案中表示,根据现有体制,倘若出现政府投资的失误案例,责任主体难以认定。此外,由于目前责任追究制度的实施主要依靠行政管理关系,极易导致行政管理者自身权力越大责任越难追究。

  民盟中央建议,完善政府投资制衡机制,加强审计监督,完善重大项目稽查制度,建立健全协同配合的投资监管体系。

  此外,民盟中央还建议对于审批、管理、监督等政府部门及其相关责任人员,尚未构成犯罪的,可以行政处罚为主;造成严重后果和不良影响的,除追究责任领导和直接责任人员的责任外,还应追究相关部门和单位主要领导的责任。构成犯罪的也应依法追究刑责。

专家称恢复繁体字代价太大 新规范汉字表将公布

  近来,有关恢复使用繁体字的意见引发了广泛争议。中国社科院昨天上午举办的第五次国学研究论坛对此进行了专题讨论。权威专家透露,有关方面将对汉字规范进行新的调整,新规范汉字表将很快公布。

  “恢复繁体代价太大”

  中国语言学会副会长、北京师范大学教授王宁在接受记者采访时表示,她对于社会上的“汉字复繁”与“更加简化”两种思维都不认同。她表示,恢复繁体字的代价太大,10亿多人重学重写,不易通行。面对目前来势迅猛的信息革命,进一步实现汉字的规范化、标准化才是当务之急。

  王宁透露,目前教育部将对汉字的规范进行新的调整,新规范汉字表已经进入相应的行政程序,将很快公布。“主要的改进是针对简化字的一些问题,我对三种简化是不认同的。”王宁说,一是“同音替代”,比如干犯、干净、干部、主干,都是用的同一个“干”,这过于简单了,不利于理解。二是“符号替代”,像是邓的又部,灯的丁部,澄的登部,在繁体字中都是登,简化之后,反而成了三个字,这就使简单问题复杂了,也不利于理解。三是“草书楷化”,一些简化字是用草书代替了正楷,草书与楷书之间很多是不协调的。“这些问题,要逐渐改正,这次的新规范汉字表作了一定的纠正,但还没有大规模地改。”王宁说。

  “学生最好识繁写简”

  关于港台与海外华人使用繁体字,与大陆交流存在障碍的问题,王宁说,台湾也有简体字的书,“台湾人认识简体字很简单。将来两岸统一,可以一个字一个字看嘛,到底哪个字好。”王宁说。

  中国社科院语言研究所研究员董琨也认为,比较好的解决办法是“识繁写简”。学生的课本应该使用简体字印刷,课本后边附上繁简字体对照表,让学生对两种文字都能有所了解和掌握。

日企赠温总理水净化装置:能治水者,定能治理好国家

中新社北京八月七日电(徐长安 季萌)有感于中国总理温家宝经常在第一线指挥抗击自然灾害的行动,为帮助中国灾区民众在紧急关头喝上安全的饮用水,日本旭化成株式会社向中国捐赠两台流动应急水净化装置,其中一台由中国光彩事业促进会转交中国总理温家宝。

  八月七日在北京举行的中国光彩事业基金会旭化成水环保专项基金启动仪式上,日本旭化成株式会社捐赠二千万元人民币用于该基金。中国光彩事业促进会副会长王永庆向日本旭化成株式会社专务董事藤原孝二先生颁发了捐赠证书。

  据主持此间仪式的中国光彩事业基金项目总监吴秀和透露,此前,日本旭化成株式会社社长蛭田史郎先生感动于温家宝总理在第一线指挥抗击自然灾害的行动,捐赠了两台流动应急水净化装置。

  吴秀和同时透露,在转交温家宝总理的这台污水净化处理装置捐赠标识牌上,蛭田史郎用中文楷书写道:“知温总理关心国民饮水,特请中国光彩事业促进会将此设备转呈温总理,并赠日本民谚,‘能治水者,定能治理好国家’。”

  此间仪式上,由日方捐赠的中国光彩事业基金会旭化成水环保专项基金正式启动。此项基金是日本旭化成株式会社捐赠二千万元人民币在中国光彩事业基金会设立的专项基金,主要用于资助青少年开展普及水环保知识活动,资助高等院校师生展开环保课题研究,资助有助于推动水环保产业发展的公益活动等。

  该基金资助的第一个普及青少年水环保知识项目——由中国大学生环境教育基地组织开展的甘肃文县教育援助百人计划也于当日启动。首批十名志愿者将于八日奔赴文县灾区。

  中国光彩事业促进会副会长王永庆在致辞中指出,此项水环保专项基金的建立,增进了中日两国人民的友谊,为中国水环保事业发展做出了贡献,希望以此为契机,进一步加强包括日本在内的国际环境保护技术交流。

  旭化成株式会社以化工、环保为主业,是世界五百强企业之一,在污水处理、隔膜、纤维等方面的研发和技术水平据世界领先,目前在中国杭州、南通、张家港等地建立了企业,雇佣中国员工超过一千五百人。(完)

文化名人洪晃被外交部诉至法院要求腾房

资料图:2008年1月28日,章含之的女儿洪晃在家中灵堂内整理花篮。章含之是著名民主人士章士钊的养女,曾做过毛泽东的英文教师,是中国著名外交家乔冠华的夫人。 中新社发 杜洋 摄

  中新社北京十二月二十二日电 (记者 应妮)由于母亲章含之生前位于史家胡同五十一号的四合院没有房产证,文化名人洪晃被外交部诉至法院要求“腾房”。二十二日该案在法院进行了庭前质证,洪晃本人亲自到庭,而该房产的维修费用则成为原被告双方分歧的焦点。

  由于该案未被允许外人旁听,洪晃本人二十二日在自己的微博上对整个情况进行了“直播”。

  洪晃承认自己对该处房产没有产权,“房子肯定是国家的……没有房产证就肯定不行”。但她表示自己的律师二月份的时候就开始给外交部发函,要求返还该处房产三十年来的维修费,但是一直没有得到任何回复。

  她提到,外交部将给她另外安排一处一百二十平米的房子,但她认为这不够。

  质证后,洪晃在微博中表示自己有两个月时间举证,然后再开庭。而双方的主要纠纷则是关于该处房产的维修费用到底应该几何。

  史家胡同五十一号原是章士钊解放后在北京的住宅。他辞世后,其女章含之与乔冠华夫妇在此院居住直至逝世。(完)