chơi phỏm online(www.vng.app):人性化背后隐藏隐私安全问题!从浏览器的“拼写检查”功能聊起

频道:科技 日期: 浏览:4

chơi phỏm online(www.vng.app):chơi phỏm online(www.vng.app) cổng Chơi tài xỉu uy tín nhất việt nam。chơi phỏm online(www.vng.app)game tài Xỉu đánh bạc online công bằng nhất,chơi phỏm online(www.vng.app)cổng game không thể dự đoán can thiệp,mở thưởng bằng blockchain ,đảm bảo kết quả công bằng.


众所周知,无论是在网络聊天、还是在工作中,“打错字”都是一件很常见的事情。面对错字,有的朋友可能对此并不在意,但也会有人难以容忍。


在这种情况下,不管是常见的办公软件、还是各主流输入法,甚至是在每天都会接触的绝大多数智能手机里,厂商普遍都会提供名为“拼写检查”这个功能。也就是当你打错字时,会自动地以显眼的颜色进行标识,甚至是智能地给出正确的拼写建议。


乍看之下,这个功能是不是还挺人性化?


人性化背后的隐私安全问题


然而根据日前发布的一份安全报告显示,两款主流的浏览器产品、微软Edge与谷歌Chrome所配备的“增强型拼写检查”功能,却可能存在着相当严重的隐私窃取问题。



要说起来,这事其实并不复杂。是一家名为“otto-js”的安全公司声称,他们发现Edge和Chrome浏览器的“增强型拼写检查”功能一旦开启,就会将用户在浏览器里输入的内容自动上传,而数据上传的目的地,自然就是微软或谷歌自己的服务器。


在这个过程中,其实有两件事是引人担忧的。首先是在绝大多数情况下,PC上的浏览器并不会区分用户输入的内容是否敏感。举例而言,当你在网页上撰写博客、聊天时候,浏览器的“拼写检查”当然是有用的,并且此时所写下的文字可能也不会涉及到什么个人隐私,因此即便是被上传,往往也不会造成什么损失。



但如果你在登录公司的管理后台,并(通过浏览器)在网页上输入账号密码呢?请注意,浏览器自己并不会知道你“正在输密码”这回事,它只能知道“你在打字”。于是,增强型拼写检查功能自动启用的情况下,你的账号密码就可能被上传到了微软/谷歌的服务器上,被当做了“查错”的对象。


这家安全公司在报告中演示的,被“窥探”的用户密码输入行为。


其次,虽然大家都能想到,这些浏览器之所以要“窥视”用户输入的内容、并将其上传,是为了能够在服务器上进行语义分析,进而给出智能的拼写检查建议。但问题在于,无论微软还是谷歌,都不可能确保不对这些“收集”到的内容进行额外分析。


事实上,考虑到这种在线的拼写检查功能,本就需要先用算法去“理解”用户输入的内容,然后才能给出对错别字的建议。所以从理论上来说,无论在浏览器里输入的是无关紧要的文字、还是十分私密的密码或重要内容,它们都会被上传、然后被算法“充分解析”。当然,无论是于情还是于理来说,这些企业都不敢、也不会滥用这些数据,但用户的隐私遭到了窥探,却也是不争的事实。


“安全键盘”功能在手机上早已是标配,但在PC上却几乎没有。


这个漏洞不但会让用户的隐私暴露在潜在危险中,同时对于公司组织的管理凭证以及网络基建相信讯息也有潜在影响。


这个漏洞是由网络安全公司otto-js的团队在测试其脚本行为侦测功能时发现。他们发现,Chrome的改善拼写检查功能及Edge的MS Editor在正确的组合功能之下,会无意中暴露包含身份认证讯息及其他敏感讯息的字段数据,同时把这些数据发回给微软或Google的服务器。


除了字段数据发,otto-js团队还发现浏览器中的“查看密码”功能会暴露用户的密码。这个功能本意是协助用户检查密码有没有拼错,然而改善拼写功能就可以把这些密码都暴露给第三方服务器。


otto-js团队也演示了一次怎样利用这个漏洞。以阿里云为例,当用户以Chrome登入时,改善拼写功能会在没有管碳员授权的情况下把请求发送到基于Google的服务器。这个请求当中就包括了用户实际上输入的密码。一旦不法份子获得这些讯息,就可以窃取公司或用户数据,甚至直接危及公司组织的网络基建架构。


otto-js团队最后也联系了微软365、阿里云、Google Cloud、AWS以及LastPass这几家著名云服务供货商,提醒他们相关的风险,而AWS以及LastPass随后表示已经成功解决了这个漏洞。


,

lô đề hôm nay(www.84vng.com):lô đề hôm nay(www.84vng.com) cổng Chơi tài xỉu uy tín nhất việt nam。lô đề hôm nay(www.84vng.com)game tài Xỉu lô đề hôm nay online công bằng nhất,lô đề hôm nay(www.84vng.com)cổng game không thể dự đoán can thiệp,mở thưởng bằng blockchain ,đảm bảo kết quả công bằng.

,

浏览器为什么会泄漏我们的隐私?


其实,在你打开浏览器对任意网站进行访问时,浏览器就已经开始记录你的电脑信息了,例如:电脑型号、系统配置、ip地址、时区等;同时对你的使用行为,例如:浏览时间、输入法、常浏览的信息等等这些信息进行记录。这里有一个专业名词,就是“浏览器指纹”,这是一个统称的专业名词。


收集记录到的“指纹信息”会通过http协议传输到网站的服务器。这样,网站可以记录你的浏览轨迹,当需要进行营销活动时,会根据你的使用行为进行智能推送。这就是我们为什么打开电脑时有弹窗广告、刷淘宝时会看到浏览其他网页时相似的物品、浏览信息时出现的都是你平时常看的内容的原因了。


一些安全系数相对较低的网站会被黑客安装以窃取用户信息。甚至还有直接出售用户信息的不正规网站。所以,当你用浏览器登录这些网站的时候,就相当于在“裸奔”。网络环境不仅会侵犯你的隐私,还可能造成严重的财产损失。


有什么解决办法?


那么问题就来了,一方面,我们有没有办法去实现无需联网,只在本地处理的拼写检查呢?另一方面,能不能让这些功能被设计为自动检查用户的使用环境,比如说只在写博客/聊天时自动启用,在输密码的时候就自动关闭呢?


其实是可以的,而且以上所提及的“本地拼写检查”和“检测到输密码就自动加密保护隐私”功能,技术上也早就已经实现了。只不过它们都不是在PC上,而是普遍被配备在了智能手机中。


为什么智能手机可以做到不联网、不上传数据就实现拼写检查,为什么智能手机就可以在检测到用户输密码时自动加密运行环境,PC却做不到这些呢?原因其实非常简单,因为算力和硬件功能都有所缺失。


智能手机SoC现在普遍都有独立AI和独立加密单元,但PC上可不是这样。


是的,智能手机上的本地拼写检查功能,依靠的是SoC里集成的AI加速器来运行AI代码,而检测到用户输密码就自动开启的加密模式,则是因为SoC里有单独的加密运算和存储单元。换句话来说,这两个看似稀松平常的功能,其实都严重依赖于特定的硬件。而这些配置在目前的绝大多数PC上,却是不存在的。


12代酷睿也能做到本地AI加速处理,但它们毕竟还比较“小众”。


请注意,我们说的是“绝大多数”、而非“所有”。因为在Intel的11代、12代酷睿,以及AMD的7000系锐龙处理器里,加入了深度学习相关的指令集,从而使得它们也能运行一些复杂的本地AI代码了,理论上也可以实现本地离线拼写检查。


又比如说,在某些高端的商用处理器(比如Intel vPro系列,AMD PRO系列)里,也有集成独立的安全计算单元,理论上能够做到自动识别密码输入场景、自动进行隔离加密运算。


AMD 6000系PRO商用处理器就集成了微软的独立安全单元。


但问题在于,以上我们所讲这些新款的、专业的处理器,相对于整个PC市场来说,确实是太小众的一批产品。这就使得尽管目前的新款PC理论上已经可以运行本地AI代码,已经能够提供独立安全加密运行环境,但站在浏览器的角度来说,他们着实不会有去为这“一小撮”新设备单独适配AI功能,以及去适配自动加密机制的动力。



与PC相比,智能手机有着快得多的换代速度,这也使得新技术得以快速普及。


当然,这其实也再一次揭示了PC和手机市场的重大差异。毕竟PC整体的硬件更新换代节奏远不如手机,这自然就会拖累新技术、新软件的适配。然而消费者的使用习惯却不会因此而有所“迁就”,于是在用户需求和落后硬件环境的矛盾中,类似联网拼写检查这样、明显存在着问题,但又不得不进行的设计,也就变得合理了起来。




来源:三易生活,哈客部落,超能网

注:文章内的所有配图皆为网络转载图片,侵权即删!

0 留言

评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
验证码