欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

Discover:Facebook发布web代理服务

e6e9fdb1a932f3282020-05-0938资讯

早在6年前,Facebook就开始研究代理服务,并发布了Free Basics。5日,Facebook在博客介绍了其最新的安全代理服务——Discover。Facebook Discover可以在移动web端和安卓app上使用,目前正在秘鲁与当地的电信公司开展测试工作。 与一般代理提供的富文本浏览不同的是,Discover项目当前只提供低带宽的基于文本的浏览,也就是说不支持其他形式的数据密集型内容,比如视频和音频内容。 Discover项目的另一个特点就是对所有的网站都一视同仁,公平对待,Free Basics的用户只局限于一小部分开发者提交并满足Facebook技术要求的在站点。 Discover:安全的基于web的代理服务 Discover的工作原理与Free Basics有一些相似,但也做出了一些改进。Discover和Free Basics的所有浏览都是流经代理的。因此,设备只与代理服务器就行交互,代理服务器充当网站用户请求的客户端。 基于Web的代理服务在“ freebasics.com”下的白名单内运行,运营商免费提供该服务(例如,“ https://example.com”改写为“ https:// https-example-com” .0.freebasics.com”),然后以用户名义获取网页并将其传递给请求的用户设备。 FB称,服务器段有重组的逻辑设置以确保所有的链接和href都会正确地转码。相同的逻辑可以帮助确保纯HTTP站点也可以通过Free Basics上的HTTPS在客户端和代理之间安全地传递。 此外,网站使用的cookie将以加密形式存储在服务器上,以防止移动浏览器达到cookie的存储限制。加密密钥(Internet Cookie密钥或“ ick”)是存储在客户端上的,因此在不知道用户密钥的情况下无法读取密钥的内容。当客户端提供ick时,服务器会在每次请求中将其遗忘,而不会被记录下来。 因为允许来自第三方网站的JS内容,攻击者可以注入恶意代码来获利,甚至可能引发会话固定攻击(session fixation attack)。该攻击是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 为应对这一攻击,Facebook Discover使用了来源于加密密钥的认证标签(ickt)和保存在客户端的第二个浏览器标识cookie(datr)。 datr标签嵌入在每个代理的响应中,然后与客户端的ickt标签就行对比以确定有没有修改。如果不匹配,cookie就会被删除。此外,还使用了一种"two-frame solution",在第三方网站上嵌入了一个有外部frame保护的iframe,并使用了前面提到的标签来确保内容的完整性。 如果网站为防止点击劫持攻击而禁止在frame中加载页面,Discover就会在验证内部frame之前从HTTP响应中移除header。 此外,为了防止Discover域名被钓鱼站点冒名顶替,该访问会通过在沙箱里执行iframe来拦截导航的尝试,以防止执行不可信的代码。 Facebook开发工程师称,该架构已经就行了内部和外部的安全测试,相信该设计能够低于各种类型的web应用攻击,并为移动用户提供代理连接访问。 更多关于discover的细节参见FB官方网站:https://engineering.fb.com/connectivity/discover/ 本文翻译自:https://thehackernews.com/2020/05/facebook-discover-free-internet.html:

【胖猴小玩闹】智能门锁与BLE设备安全Part 5:果加智能门锁的全面分析(下) 1.简介 本篇为家庭版果加智能门锁全面分析的最后一篇,在此前的两篇中(1、2),我们分析讨论了门锁固件和配套的app。家庭版果加智能门锁的app相对较容易分析,通过日志可以直接定位到java层代码,并进一步追溯到native层代码,在libBleCmd.so中,我们看到了所有BLE指令的生成代码以及相关的加密和解密函数。在解密函数中,我们找到了参与解密算法的几个常量,通过这几个常量,我们在门锁固件的大量代码中,定位到了进行解密运算的几个函数,详细分析这几个函数后,确定了BLE解密密钥存储的内存地址,接收到的BLE指令存放的内存地址等,并根据交叉引用的结果不断增加我们对固件程序的理解,展开了固件代码的分析讨论。 在这篇文章我们顺着这条主线继续深入分析,随着我们理解的内容不断增多,我们会发现更多