一家神秘公司掌握着一个主流 SSL 根证书机构
据报道,Chrome、Safari、Firefox 和其他浏览器都接受一家名为 TrustCor 的根证书机构(CA)。CA 是互联网基础设施的基石,它签署的 SSL 证书可以保证网站不是假的,流量是加密的。因而,CA 可以签发“伪造”证书从而劫持加密流量。此外,该公司在巴拿马的注册记录显示,其信息与今年被确认的一家的间谍软件制造商相同,文件显示,该公司十多年来一直向美国政府机构出售通信拦截服务。Mozilla 表示它可能会取消 TrustCor 的根证书。
消息来源:华盛顿邮报
老王点评:谷歌当年就因为有根 CA 滥用而取消过该根 CA 证书,看看这次谷歌会如何?
GitHub 实验 “Hey, GitHub!” 语音编程
GitHub Next 团队宣布了一项新的实验:“Hey, GitHub!”,允许与 Copilot 进行语音互动。也就是说,你甚至不需要使用键盘就可以让 VSCode 为你提供编程建议。GitHub 称,该实验可以识别“自然语言”。除了编写和编辑代码,它还允许程序员进行代码导航和执行其它 VSCode 命令。
消息来源:The Verge
老王点评:连键盘都不用了,直接讲你要干啥就好了。
美国国家安全局敦促各组织转向内存安全编程语言
美国国家安全局(NSA)表示,建议各组织通过利用 C#、Go、Java、Ruby 或 Swift 等语言内存安全编程语言进行战略性转变。NSA 表示“内存管理问题已经被利用了几十年,今天仍然很常见。”软件内存安全问题是约 70% 的漏洞背后的原因。不良的内存管理也会导致技术问题,如不正确的程序结果,随着时间的推移程序性能的下降,以及程序崩溃。
消息来源:NSA
老王点评:建议是好的,但是 NSA 不太值得信任。