'计划洪水'技术可能用于致死你

通过用自定义URL方案探测安装的应用程序，它可以构建32位独特的指纹

FingerPrintJs是欺诈预防欺诈图书馆的制造商，周四表示，它已经确定了一种更可疑的指纹技术，能够在不同的桌面浏览器上生成一致的标识符，包括Tor浏览器。

这意味着，如果您使用Safari，Firefox或Chrome浏览Web，并且使用Tor浏览器匿名查看其他网站，则有可能有人可以使用唯一标识符将浏览器历史链接到所有这些会话中，潜在地致死你，并在网上跟踪你。

这样做是非微不足道的，它可以非常不准确或不可靠，所以这更像是一个比其他任何东西更重要。

Fingerprintjs的高级软件工程师Konstantin Darutkin在博客文章中表示，该公司已被称为隐私漏洞＆＃34;计划洪水。＆＃34;该名称是指滥用自定义URL方案，该方案使Web链接如＆＃34; Skype：//＃34;或＆＃34;松弛：//＃34;提示浏览器打开关联的应用程序。

＆＃34;方案泛洪漏洞允许攻击者确定您安装的应用程序，＆＃34;达芙金解释道。 ＆＃34;为了生成32位跨浏览器设备标识符，网站可以测试32个流行应用程序的列表，并检查每个人是否安装了。＆＃34;

使用桌面（不是Mobile）浏览器来访问Mefoseflood.com站点，并单击演示将使用预先填充的可能应用程序列表生成大量自定义URL方案请求。浏览器用户通常会看到一个弹出窗口权限模态窗口，这些窗口显示了类似的，＆＃34;打开slack.app？网站想要打开此应用程序。 [canel] [打开slack.app]。＆＃34;

但在这种情况下，Demo脚本如果应用程序存在或将错误作为确认作为App＆＃39的确认，则会取消。然后，如果找到，则显示所请求应用程序的图标，然后移动到下一个查询。

该脚本使用每个应用程序结果，以便计算标识符。标识符在不同浏览器上保持一致的事实意味着跨浏览器跟踪是可能的，这违反了隐私期望。

该技术已在Chrome 90（Windows 10，MacOS Big Sur）上成功测试，Firefox 88.0.1（Ubuntu 20.04，Windows 10，Macos Big Sur），Safari 14.1（MacOS Big Sur），Tor浏览器10.0.16（Ubuntu 20.04 ，Windows 10，MacOS Big Sur），勇敢1.24.84（Windows 10，MacOS Big Sur），Yandex浏览器21.3.0（Windows 10，MacOS Big Sur）和Microsoft Edge 90（Windows 10，MacOS Big Sur）。歌剧没有测试。

由于测试未能完成，因此登记册最初无法获得Safari的结果。具有讽刺意味的是，鉴于EPIC v＆＃39;苹果公司目前的Apple试验，野生动物园测试在无法找到时冻结＆＃34; com.picgames.launcher：//测试＆＃34;但在清除Safari中的饼干和存储后，我们确实设法运行演示PoC并生成一致的指纹。

出现了一些不一致的结果报告，达芙金已承认PoC演示期间浏览器设置/标志，慢速硬件或VM，慢速Internet连接或用户手势可能会偏斜App计数。

各种受影响的浏览器应捍卫计划洪水，但他们不＆＃39; t。 ＆＃34;这些安全机制中的弱点是使这个脆弱性可能的是什么，＆＃34;达芙金解释道。 ＆＃34; CORS策略和浏览器窗口功能的组合可用于绕过它。＆＃34;

例如，Chrome，单独在主要浏览器中，已经实现了方案洪水保护，需要用户交互来启动自定义方案资源。但是，Chrome扩展areN＆＃39; t绑定了这一政策，因为他们需要能够打开像＆＃34的自定义网址; mailto：//＆＃34;链接不互动。因此，使用内置的Chrome PDF查看器扩展名打开PDF文件重置方案防洪标志，并启用滥用应用程序计数。

该问题已向铬团队报告，目前正在寻找解决问题的方法。

在Firefox和Safari中，方案泛洪工程，因为浏览器根据所需的应用是否存在或不存在，这是32位应用程序计数标识符中该位所需的所有信息。 Tor浏览器的情况类似于基于Firefox代码，但需要使用iframe元素来检查应用程序状态 - 以及时间。指纹用户需要几分钟的用户。

就浏览器指纹识别而言，计算应用程序ISN＆＃39;访问网站时的必要性可以揭示大量软件和硬件特征。但浏览器制造商应该解决计划洪水。

FingerPrintingJs包括愚蠢的博客文章的免责声明，以澄清其JavaScript库所启用的指纹图谱与该方案泛洪漏洞所做的指纹窗口不同：

＆＃34; fingerprintjs在我们的产品中不使用此漏洞，并没有提供第三方跟踪服务。我们专注于阻止欺诈，并支持完全删除第三方跟踪的现代隐私趋势。我们认为，应该在开放中讨论这样一个漏洞，以帮助浏览器尽快修复它们。＆＃34; ®

中国的第一个火星流浪者张泉会试图在今天的一件上落在红星球上

幸存的＆＃39;七分钟的恐怖＆＃39;可能不是很容易，但嘿，祝你好♥！

中国的国家空间局今天将试图将其第一次火星罗龙在红色的星球上落地。

机器人在火星周围的轨道上，乘坐天文 - 1宇宙飞船，自2月份以自2月份为着陆区映射。现在，根据多种来源，航天器将试图在1113 UTC（1613 PT）左右的表面上将其太阳能TrundleBot达到表面上 - 并且随着人性的过去的尝试已经显示出来，它＆＃39; SA 50-50最佳射击。

在所谓的“七分钟恐怖”期间，任何东西都会出错，着陆器通过火星大气层和地面上的普拉斯撕裂所需的时间。

继续阅读

谷歌正在努力节省签证规则，允许等待绿卡的H-1B签证持有人的配偶在美国工作。

在星期五，谷歌和40家公司和组织提出了AMICUS简介支持国土安全部和第39页; S（DHS）H-4就业授权文件（H-4 EAD）计划，这面临着一个呼吁的法律挑战保存乔布斯美国。

拯救乔布斯美国代表南加州爱迪生工人的协会，他们声称他们失去了H-1B签证持有人的工作，是在华盛顿特区的DCS撤消该规则。

继续阅读

在恐惧中，全球半导体危机可能持续到2023年，AMD选择与GlobalFoundries扩展其购买协议，从而获得更大比例的制造商＆＃39; S输出。

AMD披露了本周早些时候提交给SEC的8克监管文件中的交易。该公司致力于在2024年12月31日之间购买价值1.6亿美元的12nm和14nm节点硅晶片。它没有透露成本的细分，也没有得到它所保障的确切数量。

如果AMD无法满足其购买义务，则致力于支付GlobalFoundries其计划和实际支出之间的一部分差异。 AMD还同意提前预先支付这些晶圆的未指定部分。

继续阅读

在燃烧橡胶的气味中，开源音频编辑器的新经理宣布推出了介绍＆＃34的计划的U-Tone计划。基本遥测＆＃34;进入产品。

大胆在本月早些时候在缪斯集团的雨伞下投球，并自称为兼scar scar;害怕和兴奋。＆＃34;

仅仅几天后，令人印象深刻的用户数量为前选项，并在Github请求介绍＆＃34;基本遥测。＆＃34; 继续阅读 顾客离开寨花园，法律老鹰队要求经济学家有多容易 史诗游戏＆＃39; 律师有机会将Apple＆＃39;在加州替补审判中的最新中通过Wringer将专家见证。 Apple的法律顾问呼吁宾夕法尼亚州着名的沃顿商学院的学术。 Hitt - 曾被选为Apple的专家证人 - 质疑iOS是否在锁定用户如前声称的用户中有效，引用了26％的交换机率。 他还争论了由于切换成本，用户是否仍然忠于平台，或者因为他们只是喜欢它。 继续阅读

Facebook未能从英国＆＃39中和竞争监管机构冻结它在＆＃34之后冻结其收购糖果的订单;并未能回答问题，上诉法院已发现。

杰弗里·博斯官员爵士＆＃34;这种情况下的核心问题完全是Facebook＆＃39;自己的制作和＃34;由于他驳回了推翻英国竞争和市场竞争权（CMA）所作的初始执法令（IEO）的初始执法令。

Ieo阻止了Mark Zuckerberg所拥有的社交网络完成了Giphy的400米4000万美元的收购，这是Web跟踪信标的供应商狡猾地伪装为用于在线聊天和评论部分的有趣的小型动画图像。

继续阅读

1080万英国房屋现在可以获得有能力的宽带宽带，并且由处女媒体完成的大部分术语

＆＃39;覆盖的国家37％，预计BT也会拿起速度

一个新的奥福姆报告显示，英国房屋的数量，1月份的宽带宽带获得了1080万，占家庭的37％。

这些数字是OFCom＆＃39;临时联合国家报告[PDF]的一部分，并涵盖了2020年9月至1月2021年。 总的来说，千兆位能力的行数增加了37％的八月＆＃39;图[PDF]为790万。 继续阅读 他们说早起的鸟儿得到了蠕虫，所以为什么猎户队有美国宇航衣＆＃39;老学校标志？ 美国宇航局在船员模块适配器（CMA）一侧拍打了它的蠕虫标志，为猎户座宇宙飞船作为第一个近距离的Artemis使命。 去年，徽标已经被卡在CMA的下面，但一旦卸下了猎户座宇宙飞船及其欧洲建造的服务模块，它将确保堆积在空间发射系统（SLS）火箭和轮式上堆叠 向肯尼迪＆＃39; s pad 39b。 继续阅读

爱尔兰＆＃39;国家化的卫生服务在A＆＃34之后关闭了IT系统;人工运行的＆＃34; Conti赎金软件攻击，导致都柏林医院取消门诊约会。

该国＆＃39; S Health Service Overion将其系统作为预防措施，来自爱尔兰公共服务广播公司Reté的本地报告称，报告Dublin＆＃39; S Rotunda医院已取消预约的门诊病人 - 包括许多人为孕妇。

＆＃34;孕妇医院表示，除非预期母亲怀孕36周，否则所有门诊访问都被取消 - ＆＃34;报告的RTÉ，加入：＆＃34;所有妇科诊所今天也取消。＆＃34;

继续阅读

大学分流启动已经宣布了一个自动数据库调优维的私人测试版，它的创始人索赔可以将性能翻倍或减半，流行的AWS关系数据库服务的成本。

然而，在其营销炒作中，是ERM，推出击败和尖锐的水獭嘻哈专辑的新方法。更多的是。

Ottertune源自Carnegie Mellon数据库组的项目，基于您可以使用机器学习的想法来识别数据库参数旋钮的最佳设置，超出大多数开发人员的任务以及甚至调味的DBA与数据库的斗争斗争。在市场上，他们可能需要管理。

继续阅读

NHS背部ORG对GitHub泄漏披露有法律威胁和警察的泄密，请抱怨它

+评论它Pro Rob Dyke表示，一家NHS支持的公司不仅威胁着他的法律诉讼，在他标记了一个包含凭据和不安全的代码的暴露的GitHub存储库之后，它甚至会呼吁他的警察。

3月份曾​​出现在此机构中的Dyke表示，他收到了代表Apperta基金会的律师的信，他告诉该业务，他发现了一个包含不安全的在线门户网站的源代码及其包含包含用户名的数据库的公共repo，哈希密码，电子邮件地址和API键。

我们＆＃39;重新告诉储存库包含两个分支机构，并返回2019年。它清楚地应公开，因为它可以用于通过门户网站查看内部采购，接收，预算和支出信息。对于公众来说，该材料可见，因为互联网归档反映了它的副本，这表明文件通过现在删除的帐户致力于GitHub，这些帐户似乎属于高级Apperta人。

继续阅读

注册 - 对科技界的独立新闻和意见。部分情况出版