本文探讨了固件开源的必要性。作者认为,固件作为控制硬件的软件,理应遵循自由软件原则,这不仅关乎自由本身,更与用户的实际利益息息相关。非自由固件可能限制硬件功能、隐藏安全漏洞,甚至导致用户无法修复安全问题。文章分析了两种观点:一种认为开源固件理想但非必要;另一种则主张所有系统软件都应开源。作者倾向于前者,认为优先确保操作系统内核的自由更为重要,但同时强调开源固件的益处,并讨论了如何通过策略手段推动固件开源。
阅读更多
这篇文章解释了什么是安全启动高级目标 (SBAT) 以及为什么最近它引起了广泛关注。SBAT 是一种安全机制,旨在通过要求引导链中的每个组件都声明一个安全生成号来解决安全启动中存在的漏洞。最近,微软推送了一个Windows更新,该更新阻止系统信任安全生成号低于特定级别的grub版本,这导致一些Linux发行版无法启动,因为它们的grub版本没有及时更新。这篇文章指出了微软和Linux发行版都存在问题,并对因此给用户带来的不便表示歉意。
阅读更多
本文作者通过分析约会应用 Feeld 的 Android 客户端,发现该应用存在严重的数据隐私问题。Feeld 声称用户的搜索条件(如性别、性取向等)仅对用户可见,但实际上可以通过修改客户端请求轻松获取这些信息。此外,应用中还存在隐藏的用户信息(如年龄范围、是否喜欢/不喜欢用户等)以及被标记为隐藏但仍然可以访问的个人资料等问题。作者认为,不能依赖客户端过滤来保护数据隐私,私密数据永远不应该被泄露,并且数据库应该设置访问控制列表以限制数据访问。
阅读更多
本文介绍了如何利用 SSH 代理扩展机制实现任意的 RPC 通信。作者首先指出了之前使用 SSH 代理协议满足 WebAuthn 请求存在的问题,然后详细讲解了如何通过实现 SSH 代理扩展来克服这些问题。文章最后还提供了一些实际应用案例,例如从 Okta 获取身份验证令牌和转发 WebAuthn 挑战等。
阅读更多