这篇文章解释了什么是安全启动高级目标 (SBAT) 以及为什么最近它引起了广泛关注。SBAT 是一种安全机制,旨在通过要求引导链中的每个组件都声明一个安全生成号来解决安全启动中存在的漏洞。最近,微软推送了一个Windows更新,该更新阻止系统信任安全生成号低于特定级别的grub版本,这导致一些Linux发行版无法启动,因为它们的grub版本没有及时更新。这篇文章指出了微软和Linux发行版都存在问题,并对因此给用户带来的不便表示歉意。
本文作者通过分析约会应用 Feeld 的 Android 客户端,发现该应用存在严重的数据隐私问题。Feeld 声称用户的搜索条件(如性别、性取向等)仅对用户可见,但实际上可以通过修改客户端请求轻松获取这些信息。此外,应用中还存在隐藏的用户信息(如年龄范围、是否喜欢/不喜欢用户等)以及被标记为隐藏但仍然可以访问的个人资料等问题。作者认为,不能依赖客户端过滤来保护数据隐私,私密数据永远不应该被泄露,并且数据库应该设置访问控制列表以限制数据访问。
本文介绍了如何利用 SSH 代理扩展机制实现任意的 RPC 通信。作者首先指出了之前使用 SSH 代理协议满足 WebAuthn 请求存在的问题,然后详细讲解了如何通过实现 SSH 代理扩展来克服这些问题。文章最后还提供了一些实际应用案例,例如从 Okta 获取身份验证令牌和转发 WebAuthn 挑战等。