文章

俄罗斯网盘——Yandex Disk免费10G容量

官网:https://disk.yandex.com/ 价格:免费 容量:10G 速度:10Mps 支持系统:Windos,Linux,Mac,Android,IOS(基本涵盖所有客户端) 用处:网站备份、存储文件、分享文件 Windows版: MAC OS版: Linux 版 : Android版: IOS版: Windows Phone:   100M文件:https://yadi.sk/d/RNKUEUYj3LnX9D 图片预览:https://yadi.sk/i/wHEcnjky3LnWSM 在线视频:https://yadi.sk/i/Eo8UvdM53LnXfT   进入官网https://disk.yandex.com/ 点击首页的 设置好找回账号问题和答案,输入验证码就OK   上传最快速度可达2M/s   1)下载客户端安装包,直接安装。这里就不做详细说明了。然后登陆自己的账号。     2)登陆成功后,可以看见新增了一个Yandex.Disk目录。这里就是同步内容的。   CentOS 6/7 X64 1 rpm -ivh http://repo.yandex.ru/yandex-disk/yandex-disk-latest.x86_64.rpm 一行命令即可安装。   安装完成执行一下查看版本命令 看是否安装成功~ 1 2 yandex-disk -v #>> Yandex.Disk 0.1.5.978   其他版本的Linux 参考官方文档。自行安装。 https://yandex.com/support/disk/cli-clients.html#cli-install   Linux Disk初始化 1)初始化Yandex,执行命令~ 1 yandex-disk setup 会提示:Would you like to use a proxy server? [y/N] 是否需要代理?这里选择N即可。 输入用户名 和密码。设置同步目录和开机启动。   2)配置文件所在目录 1 ~/.config/yandex-disk/config.cfg 配置文件的内容就是初始化设置的一些东西,可以去看看。   3) 查看同步情况。 1 ll /root/Yandex.Disk/ 可以看见已经将所有文件同步完成了。     Linux命令行 Commands 1)查看帮助 1 yandex-disk -h 2)开启守护(自动同步) 1 yandex-disk start [OPTION] 3)停止守护(自动同步) 1 yandex-disk stop [OPTION] 4)查看同步状态 1 yandex-disk status [OPTION] 5)同步数据 1…

文章

Google Chrome 浏览器将整治所有赛门铁克 SSL/TLS 证书

近日,互联网界一场关乎权威、信任、制裁的大战拉开序幕,谷歌和赛门铁克开撕,巨头怼巨头 。(不太了解赛门铁克(Symantec)的请自行谷歌) Google Chrome开发人员严重责骂HTTPS凭证的最大供应商之一,宣布计划在被发现超过30,000个证书的发现后严格限制赛门铁克所有发行商出售的运输层安全证书。 在一份声明中, Google Chrome 团队开发者 Ryan Sleevi 称发现赛门铁克错误颁发三万多个 SSL 证书,并且知晓后在长达一个月的不作为, Chrome 立即将赛门铁克及其所属 CA 的颁发的 SSL EV 证书(浏览器地址栏显示绿锁)降级到普通证书(灰锁),并在未来几个版本的浏览器更新中逐步过期所有赛门铁克证书。赛门铁克证书占所有活跃证书数量的 30%~ 45%,如果不是考虑到大规模瘫痪整个网络的风险, Chrome 应该一夜间吊销所有赛门铁克证书。此次事件影响极大,国内的七牛和阿里云等网络巨头已经在过去一段时间里颁发了无数个免费赛门铁克证书。颁发及使用赛门铁克证书的公司应该立刻采取行动,更换证书。   简而言之就是: 封杀! 赛门铁克CA为网站颁发证书, 谷歌却说他的证书有问题不可信, 这已经是个原(da)则(lian)问题了。 【一个老梗】 打个不严谨的比方, 一个很有声望的教授经常为学生写推荐信, 推荐学生去知名公司上班, 这时忽然 有个知名的大公司跳出来说:“ 这教授推荐的人不行啊, 三观不正能力不行, 完全是瞎搞!” 然后列举了许多他胡乱举荐的例子, 让教授的公信力瞬间大打折扣, 其他公司也不敢要他推荐的学生了。 谷歌就是这个跳出来的公司, 赛门铁克就是写举荐信的教授。 浏览器和CA的相爱相杀 要了解此次谷歌和赛门铁克互撕事件背后的利害关系,还得从 CA证书的原理来说起。我们平时使用浏览器时,经常看到一个绿色的小锁   它表明你进入的是真的,而不是伪造的网站,并且所有通信都会基于证书来进行加密。 CA机构给网站颁发证书(证书签发机构,简称“CA”),浏览器则会通过一些加密、哈希算法验证证书是否有效,最后告诉用户。 证书一般分成三类: DV、OV 、和 EV ,加密效果都是一样的,区别在于: DV(Domain Validation),面向个体用户,安全体系相对较弱,验证方式就是向 whois 信息中的邮箱发送邮件,按照邮件内容进行验证即可通过; OV(Organization Validation),面向企业用户,证书在 DV 证书验证的基础上,还需要公司的授权,CA通过拨打信息库中公司的电话来确认; EV(Extended Validation),URL 地址栏展示了注册公司的信息,这类证书的申请除了以上两个确认外,需要公司提供金融机构的开户许可证,要求十分严格。 OV 和 EV 证书相当昂贵。 那么问题来了,CA机构掌握“生杀大权”,如何颁发证书全凭他说了算,浏览器只是一个验证的角色。万一 CA胡乱颁发证书怎么办?又或者,如果CA机构被黑客入侵导致证书泄露,造成了问题怎么办? 对于大多数普通用户来说,一旦网站出现问题,他们只会认为:浏览器告诉我这个网站是可信的,可是我被黑了,浏览器骗了我,浏览器有问题! CA开心地卖证书赚钱,出了问题浏览器厂商也要背锅。于是市场份额最大的 Chrome 开始了“找茬”之路。此次谷歌和数字证书领域的老大哥赛门铁克交手,也并不是第一次。 你出问题,我就找茬 2011年3月,证书市场份额前列的科摩多(Comodo)公司遭黑客入侵,七个Web域共9个数字证书被窃,包括:mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。当时有人称那次事件为“CA版的 911攻击。” 同年,荷兰的 CA机构 DigiNotar 同样遭到了黑客入侵,颁发了大量的伪造证书。由于这些伪造证书,数百万用户遭到了中间人攻击。 这些事件给人们敲响了警钟,结束了人们盲目信任CA的时代,也为谷歌之后的一系列动作埋下了伏笔。 2013年“棱镜门事件”爆发,斯诺登泄露的文件中透露:美国国家安全局就利用一些 CA颁发的伪造SSL证书,截取和破解了大量 HTTPS 加密网络会话。 谷歌再也坐不住了,同年便发起了证书透明度政策(Certificate Transparency,简称CT)。这一政策的目标是提供一个开放的审计和监控系统,让任何域名所有者或者 CA确定证书是否被错误签发,或者被恶意使用,从而提高HTTPS网站的安全性。 这个计划具体是这么来做的: 要求CA公开其颁发的每一个数字证书的数据,并将其记录到证书日志中。 这个项目并没有替代传统的CA的验证程序,但是谷歌起到了一个监督CA的作用,用户可以随时查询来确保自己的证书是独一无二的,没别人在使用你的证书,或者伪造你的证书。 证书透明度将让人们可以快速地识别出被错误或者恶意颁发的数字证书,以此来缓解可能会出现的安全问题,例如中间人攻击。 之后的几年里,证书透明度系统和监控服务也确实帮助了不少网站检测出了伪造证书,比如帮助 facebook团队发现了不少伪造其证书的子域名网站。 从那时开始,浏览器厂商和 CA机构之间的其妙关系就开始导致了更多事情。 和赛门铁克交手 2015年9月和10月,Google 称发现赛门铁克旗下的 Thawte 未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。 赛门铁克当时的解释是:“那批证书只是一个测试证书,仅测试一天就吊销了,没有泄露出去也没有影响到用户” 。赛门铁克随后还是炒掉了相关的雇员。 然而这一系列动作并没有改变谷歌的对此事的决策。…

文章

“双十二”前京东被曝用户数据泄露,官方称源自 2013 年安全漏洞问题

有媒体报道称,有疑似来自京东的一个 12G 的数据包在黑市流通,其中包括用户名、密码、邮件箱、QQ号、电话号码和身份证等各种信息,数据多达数千万条。 京东方面凌晨发布声明,并没有否认这些数据来自京东。 京东在回应正文里表示,该数据源于 2013 年 Struts 2 的安全漏洞问题。 但京东也同时强调当时国几乎所有互联网公司及大量银行、政府机构都受到了这个安全漏洞的影响,导致大量数据泄露,暗示安全问题不只京东一家有。 京东表示,在 Struts 2 的安全问题发生后,公司就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级,但仍有极少部分用户并未及时升级账号安全,依然存在一定风险。 此前,京东也有过用户隐私问题泄露的问题,但不是源于数据安全,而是公司物流人员通过物流流程掌握了用户姓名、电话、地址、何时下单、所购货物等信息。 信息泄露有多危险?除了京东上的个人信息,包括订单、地址、交易等内容被获取,黑客也能通过这些泄露的信息尝试去登陆其他网站,获取更多的数据。 数据泄露远不止是隐私问题这么简单,利益驱动下,最危险的莫过于,一旦不法分子通过这些数据破解了一些金融账户,用户的损失将会更加严重。 2015 年比较典型的网络信息安全问题,主要出现在网购、快递信息、移动应用数据和各类互联网金融应用上。 360 互联网安全中心于 2016 年 1 月曾出过国内第一份网站安全报告——《2015 年度中国网站安全报告》。报告指出,2015 年,国内网民人均有 8 条个人隐私被盗,数万网站存在安全漏洞。 据中国互联网协会发布的《中国网民权益保护调查报告》显示,2015 年来,网民因个人信息泄露、垃圾信息、诈骗信息等现象,导致总体损失约 805 亿元。 以下为京东《关于有媒体报道京东数据安全问题的声明》: 昨日,有媒体报道《京东数据疑似外泄》,经京东信息安全部门依据报道内容初步判断,该数据源于 2013 年 Struts 2 的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在 Struts 2 的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。 京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。 同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。