Spring 团队开源 nohttp;西部数据将中止与华为的战略合作
(给技术最前线加星标,每天看技术热点)
转自:开源中国、solidot、cnBeta、腾讯科技、快科技等
【技术资讯】
0、Spring 团队开源 nohttp,尽可能不用 HTTP
Spring 团队开源 nohttp 项目,用以查找、替换和阻止 http:// 的使用。
项目是为了在可能使用 https:// 的情况下不使用到 http://,确保不会发生中间人攻击。Spring Security、Session 和 LDAP 项目负责人 ROB WINCH 指出,Spring 团队竭尽全力更新所有 URL 以使用 HTTPS,包括项目 Maven 存储库 URL、Apache License 与文档链接。但是有些情况下确实无法使用 HTTPS,例如,Spring 链接的某些站点不支持 HTTPS、XML 命名空间标识符必须与文档中的标识符匹配等。
1、Google 研究员披露 Windows 10 0day 漏洞
安全研究员 Tavis Ormandy 是谷歌 “Project Zero” 团队的一员,负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞,目前,微软仍处于修复过程中。Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题,“微软承诺在 90 天内修复它,结果没有”。于是在第 91 天,Ormandy 选择了公开这个漏洞。
该漏洞实际上是 SymCrypt 中的一个错误,SymCrypt 是负责在 Windows 10 中实现非对称加密算法和在 Windows 8 中实现对称加密算法的核心加密库。Ormandy 发现,通过使用格式错误的数字证书,他可以强迫 SymCrypt 计算进入无限循环。这将有效地对 Windows 服务器执行拒绝服务(DoS)攻击,例如,运行使用 VPN 或 Microsoft Exchange Server 进行电子邮件和日历时所需的 IPsec 协议的服务。
Ormandy 还指出,“许多处理不受信任内容的软件(如防病毒软件)会在不受信任的数据上调用这些例程,这将导致它们陷入僵局。”
不过,他还是将其评为低严重性漏洞,同时补充说,该漏洞可以让人相对轻松地拆除整个 Windows 机群,因此值得注意。
Ormandy 发布的公告提供了漏洞的详细信息,以及可能导致拒绝服务的格式错误的证书示例。
如前所述,Project Zero 有 90 天的披露截止日期。Ormandy 于 3 月 13 日首次报告此漏洞,然后在 3 月 26 日,微软确认将发布安全公告,并在 6 月 11 日的 Patch Tuesday 中对此进行修复。Ormandy 认为,“这是 91 天,但在延长期内,所以它是可以接受的。”
6 月 11 日,微软安全响应中心(MSRC)表示“该修补程序今天不会发布,并且由于测试中发现问题,在 7 月发布之前也不会修补好”,于是 Ormandy 公开了这个漏洞。
2、Apache Tomcat 8.5.42 与 9.0.21 发布
Apache Tomcat 8.5.42 与 9.0.21发布了。两个版本本次更新内容相同:
修复 HTTP/2 的各种并发和稳定性问题
添加对同站点 cookie 属性的支持
添加一个选项以对默认 Servlet 提供的目录列表进行排序
【业界资讯】
0、西部数据将中止与华为的战略合作
西部数据首席执行官(CEO)Steve Milligan 接受采访时透露该公司将中止与华为技术的战略性合作。西部数据此前向华为供应智能手机闪存等,但交易暂时停止。中美贸易摩擦的影响正在波及大型企业。他表示鉴于华为被纳入美国商务部出口管制 “实体清单(Entity list)”,“需要重新考虑与华为的关系”。
西部数据是闪存和硬盘驱动器的全球性大型企业,4 月该公司宣布与华为达成战略性合作协议。Milligan 对中美贸易摩擦对供应链的影响表示担忧称,“技术在全世界相互关联。期待中美两国政府找到建设性的解决措施”。
1、腾讯南山法院再诉今日头条系,要求删除用户游戏视频
6月12日消息,据悉,腾讯在南山法院对今日头条和抖音又新增6起诉讼,要求删除两个平台6个用户所发布的所有《王者荣耀》游戏视频,并赔偿经济损失合计1076万。腾讯分别在6起案件中主张,今日头条未经授权传播用户 “旬猫”、“居哥哥解说”的《王者荣耀》游戏视频,抖音未经授权传播用户 “栀夏”、“居哥哥解说”、“小信老师”、“哇咔咔boy天坑貂蝉 唱歌贼难听” 的《王者荣耀》游戏视频,侵犯了腾讯对《王者荣耀》游戏享有的著作权。
由此,腾讯请求法院判令,要求今日头条和抖音立即删除上述用户发布的全部《王者荣耀》游戏视频。
此前,腾讯公司曾在深圳南山法院向一名游戏用户许某某提起诉讼,称其未经腾讯公司许可直播游戏,要求其立即停止在第三方平台直播,并赔偿经济损失1元。
腾讯公司提交的诉讼材料显示,被诉的游戏用户许某某,今年25岁,是《英雄联盟》玩家,游戏账号叫“XiguaAAA贱贱”,并在西瓜视频app上开设账号“HT贱贱”直播《英雄联盟》。
腾讯公司表示,根据《腾讯游戏许可及服务协议》第4.2条约定,被告作为《英雄联盟》玩家不得在使用腾讯游戏服务过程中,未经腾讯许可以任何方式录制、直播或向他人传播腾讯游戏内容,包括但不限于利用第三方软件进行网络直播、传播等。
腾讯公司认为,用户未经许可擅自在第三方平台直播游戏,并以此获利,严重违反上述协议条款,损害了腾讯合法权益,应当承担赔偿损失等违约责任。
截至目前,上述案件法院尚未做出最终判决。
根据公开信息显示,至此,腾讯在游戏方面对于头条系的诉讼已经累计达到了15起。
2、Microsoft Word 将提供重写句子的建议
微软Word的拼写检查是一个非常实用的功能,而现在它更进一步,可以为句子提供重写建议。近日开发团队发布了一个新的Windows Office桌面版(版本1906-11629.20196)。这个新的Insider版本带有几个新功能,而Word中的最引人注目的功能是重写功能。要获得句子的改写建议,请右键单击一个单词,然后选择“重写”,Word就会自动安排符合语法的词语重写句子。
觉得这些资讯有帮助?请转发给更多人
关注 技术最前线 加星标,看 IT 要闻
最新业界资讯,我在看❤️