【阿里聚安全·安全周刊】Python库现后门 可窃取用户SSH信息|Facebook再曝300万用户数据泄露

简介: 阿里聚安全,安全周刊第九十五期!

本周七个关键词:Python库现后门Facebook再曝数据泄露加密协议被曝严重漏洞英国报摊将出售“色情通行证”HTTPS的绿色锁图标机器学习和预测应用的APIEclipse Che 6.5.0



-1-   【pythonPython库现后门 可窃取用户SSH信息

来源:嘶吼

------------------------------------------------------

以色列开发者Uri Goren开发的处理SSH连接的Python模块存在后门本周一,另一位开发者注意到多个SSH decorate模块含有收集用户SSH,并发送数据到远程服务器的代码。其中远程服务器的地址位于:http://ssh-decorate.cf/index.php。

在注意到这个问题后,Goren回应说后门并不是他故意留的,而是被黑的结果

如果你仍在使用SH Decorator(ssh-decorate)模块,那么最新的安全版本是0.27。0.28版本到0.31版本都是恶意版本。

http://jaq.alibaba.com/community/art/show?articleid=1692



-2-   【数据泄露】Facebook再曝300万用户数据泄露 与性格测试类app密切相关

来源: cnbeta.com

------------------------------------------------------------------

在政治咨询公司“剑桥分析”的数据收集丑闻曝光之后,Facebook 无疑面临着越来越大的舆论压力,因为研究人员 Aleksandr Kogan 分享了他通过一款性格测试(personality quiz)应用收集到的信息。

据 New Scientist 周一报道:剑桥大学的研究人员们,已经向一个分享门户上传了 300 万 Facebook 用户的数据。

另有研究团队通过一款名叫“我的个性”(myPersonility)的应用收集了用户信息,然后将之放到了一个 Web 门户上。


http://jaq.alibaba.com/community/art/show?articleid=1694



-3-   【漏洞】邮件形同裸奔,PGP 与 S/MIME 加密协议被曝严重漏洞

来源:FreeBuf.COM

------------------------------------------------------------------------------

由9名学者组成的团队向全世界发出警告,OpenPGP和S / MIME电子邮件加密工具中的严重漏洞。该研究小组称,这个代号为EFAIL的漏洞如果被利用,将允许攻击者从发送或接收的消息中提取明文内容。

EFF的研究人员也证实了这些漏洞的存在,他们建议用户卸载Pretty Good Privacy和S / MIME应用程序,直到发布修复补丁为止。

http://jaq.alibaba.com/community/art/show?articleid=1697



-4-   【数据保护法】根据新法律 英国报摊将出售“色情通行证”以验证年龄

来源: cnbeta.com

------------------------------------------------------------------------------

据外媒The Verge报道,去年英国批准了《2017年数字经济法》,其中包括有关访问色情网站的严格新规。当这项法律在今年晚些时候生效时,监管机构建议用户可以从他们当地的报摊购买所谓的“色情通行证”,以验证他们的年龄。

英国文化、媒体和体育部一位发言人表示,该部门正在“实施世界上最严格的一些数据保护法”,并且验证方案的范围将不得不遵守这些标准。


http://jaq.alibaba.com/community/art/show?articleid=1690



-5-    【网络协议】 注意!HTTPS的绿色锁图标并不代表绝对安全

来源:嘶吼

-------------------------------------------------------------------------------------

HTTPS是HTTP协议的一个变种,给传输的数据增加了一个安全层,这个安全层是通过SSL或TLS实现的。SSL是来确保不安全网络中网络应用客户端和服务器的安全连接的网络协议。

SSL证书越来越廉价,许多企业提供给用户免费的SSL证书,但并不去验证是谁在用这些证书。

研究人员发现有钓鱼网站和恶意网站也在使用SSL证书,所以绿色的HTTPS图标并不一定安全。

http://jaq.alibaba.com/community/art/show?articleid=1699



-6-   【机器学习】50多种适合机器学习和预测应用的API,你的选择是?(2018年版本)

来源:云栖社区

--------------------------------------------------

本文盘点了2018年以来人脸和图像识别、文本分析、自然语言处理、情感分析、语言翻译、 机器学习和预测这几个领域常用的API,读者可以根据自己需求选择合适的API完成相应的任务。

http://jaq.alibaba.com/community/art/show?articleid=1689



-7-   【下载】Eclipse Che 6.5.0 发布,在线集成开发环境

来源:开源中国社区

--------------------------------------------------------------------------

Eclipse Che 是一个高性能的基于浏览器的集成开发环境,通过提供结构化的工作区、项目输入、模块化扩展插件来支持 Codenvy 的引擎, 采用 Java 开发,支持 Windows、Linux 和 OS X 系统。

Eclipse Che 6.5.0 已发布(可下载)

http://jaq.alibaba.com/community/art/show?articleid=1696



——————————————————————————————

以上是本周的安全周刊,想了解更多内容,请访问阿里聚安全官方博客

相关文章
|
5天前
|
机器学习/深度学习 PyTorch 算法框架/工具
python这些库和框架哪个更好
【9月更文挑战第2天】python这些库和框架哪个更好
18 6
|
5天前
|
机器学习/深度学习 数据采集 算法框架/工具
python有哪些常用的库和框架
【9月更文挑战第2天】python有哪些常用的库和框架
14 6
|
9天前
|
数据采集 XML Web App开发
6个强大且流行的Python爬虫库,强烈推荐!
6个强大且流行的Python爬虫库,强烈推荐!
WK
|
5天前
|
数据采集 XML 安全
常用的Python网络爬虫库有哪些?
Python网络爬虫库种类丰富,各具特色。`requests` 和 `urllib` 简化了 HTTP 请求,`urllib3` 提供了线程安全的连接池,`httplib2` 则具备全面的客户端接口。异步库 `aiohttp` 可大幅提升数据抓取效率。
WK
19 1
WK
|
8天前
|
机器学习/深度学习 数据采集 算法框架/工具
Python那些公认好用的库
Python拥有丰富的库,适用于数据科学、机器学习、网络爬虫及Web开发等领域。例如,NumPy和Pandas用于数据处理,Matplotlib和Dash用于数据可视化,Scikit-learn、TensorFlow和PyTorch则助力机器学习。此外,Pillow和OpenCV专长于图像处理,Pydub处理音频,Scrapy和Beautiful Soup则擅长网络爬虫工作
WK
17 4
|
9天前
|
机器学习/深度学习 JSON 数据挖掘
什么是 Python 库?
【8月更文挑战第29天】
31 4
|
8天前
|
机器学习/深度学习 存储 算法
NumPy 与 SciPy:Python 科学计算库的比较
【8月更文挑战第30天】
29 1
|
9天前
|
开发框架 Java 数据管理
我使用Python开发网站的3个主要框架库,强烈推荐
我使用Python开发网站的3个主要框架库,强烈推荐
|
8天前
|
机器学习/深度学习 数据可视化 数据挖掘
Python中的数据可视化:使用Matplotlib库绘制图表
【8月更文挑战第30天】数据可视化是数据科学和分析的关键组成部分,它帮助我们以直观的方式理解数据。在Python中,Matplotlib是一个广泛使用的绘图库,提供了丰富的功能来创建各种类型的图表。本文将介绍如何使用Matplotlib库进行数据可视化,包括安装、基本概念、绘制不同类型的图表以及自定义图表样式。我们将通过实际代码示例来演示如何应用这些知识,使读者能够轻松地在自己的项目中实现数据可视化。
|
9天前
|
数据采集 程序员 测试技术
比 requests 更强大 Python 库,让你的爬虫效率提高一倍!
比 requests 更强大 Python 库,让你的爬虫效率提高一倍!
下一篇
DDNS