在90年代初,安全-套接字层(SSL)加密是全新的一项技术,美国国家安全局(NSA)希望确保他们能读“安全”的网站流量由外国公民。因此,美国国家安全局得到了网景同意部署40位加密在其国际版,同时节省了更安全的128位版本的美国版本。到2000年,规则改变,所有的浏览器可以使用更高的安全性的SSL。但老不安全的代码仍在使用,十五年后的今天,它回来咬我们。
华盛顿邮报今天报导,从IMDEA,欧盟研究小组密码学家; INRIA,法国调查公司;和微软研究院已经发现,“他们可能会迫使浏览器使用旧的出口级加密,然后破解过来的短短几个小时的过程中,一旦破解,黑客可以窃取密码和其他个人信息,并可能在发动更广泛的攻击该网站由自己接管一个页面上的元素,如Facebook的“喜欢”按钮。“
具体而言,该集团,自称SMACK,状态机AttCKS,发现了较弱的“出口级”加密的支持仍然烤众多的Web服务器,浏览器和其他SSL实现。其中数以百万计的网站的人,或静止的,容易受到“FREAK”(保理的RSA-EXPORT键攻击)攻击美国运通,Whitehouse.gov,FBI.gov,以及 - 噢讽刺! - 美国国家安全局网站。
华盛顿邮报报道,卡菲基恩Bhargavan,INRIA的研究人员说:“我们认为,当然,人们使用它停了下来。”他们错了。
纳迪亚Heninger,宾夕法尼亚大学一个密码,告诉邮报,“这基本上是从上世纪90年代一个僵尸...我不认为任何人真正意识到人仍然支持这些出口套房。”
Heninger,谁一直在努力破解过时的40至512位的RSA加密密钥,发现“她能破解约七个小时出口级的加密密钥,使用亚马逊网络服务的计算机。”一旦完成,这使得黑客很容易使“人在这方面的中间人”的破解网站的攻击。
你猜怎么着?超过三分之一的“加密”网站,根据密歇根大学的研究人员亚历克斯J.和黑尔德曼扎基尔Durumeric大学做试验,是开放的怪胎攻击。具体来说,OpenSSL和苹果TLS / SSL客户端,如Safari网络浏览器很容易受到FREAK。当使用这些程序,这是比较简单的,从“强”RSA降级到易打破“出口级”RSA他们的“安全”的连接。
所有这一切都发生了,因为是马修•格林,约翰霍普金斯大学密码专家和研究教授,简洁所说的那样,美国国家安全局确信,早期的“SSL协议本身是故意设计被打破。”
而且,现在,它已经。只是,它现在开放给任何人基本密码破译智慧和容易获得的计算机资源被打破。关键的问题是,OpenSSL和Safari浏览器都包含错误,导致他们接受“RSA出口级按键即使客户没有要求出口级RSA。”
网站,只有一般来说创建每个会话建立一个出口级RSA密钥。他们,如Apache与mod_ssl的,然后再使用该键,直到Web服务器重新启动。因此,如果你打破一个网站一次,机会是你已经数天,数周,甚至数月破了进去。
许多是“FREAKable”的网站似乎是在内容分发网络(CDN)■如Akamai的。这就是为什么,例如,美国国家安全局网站是弱势的原因。 Akamai的正在努力修复它的Web服务器。
OpenSSL的问题,CVE-2015-0204,已经修补了最新的OpenSSL发行。 1.02。如果你还没有打补丁的OpenSSL最近,做到这一点。现在就这样做。请与您的操作系统的分销商或自己编译的代码。
苹果据报工作的问题,但没有补丁已经发布但对于Safari浏览器。现在,使用Chrome或Firefox浏览器。如果你使用的是Android设备上,你应该使用Android浏览器的Chrome浏览器,而不是在补丁程序之前,因为此时它已被释放。
好文章,需要你的鼓励
这项来自苹果公司的研究揭示了视频大语言模型评测的两大关键问题:许多测试问题不看视频就能回答正确,且打乱视频帧顺序后模型表现几乎不变。研究提出VBenchComp框架,将视频问题分为四类:语言模型可回答型、语义型、时序型和其他类型,发现在主流评测中高达70%的问题实际上未测试真正的视频理解能力。通过重新评估现有模型,研究团队证明单一总分可能掩盖关键能力差距,并提出了更高效的评测方法,为未来视频AI评测提供了新方向。
这篇来自KAIST AI研究团队的论文提出了"差分信息分布"(DID)这一创新概念,为理解直接偏好优化(DPO)提供全新视角。研究证明,当偏好数据编码了从参考策略到目标策略所需的差分信息时,DPO中的对数比率奖励形式是唯一最优的。通过分析DID熵,研究解释了对数似然位移现象,并发现高熵DID有利于通用指令跟随,而低熵DID适合知识密集型问答。这一框架统一了对DPO目标、偏好数据结构和策略行为的理解,为语言模型对齐提供理论支持。
VidText是一个全新的视频文本理解基准,解决了现有评估体系的关键缺口。它涵盖多种现实场景和多语言内容,提出三层评估框架(视频级、片段级、实例级),并配对感知与推理任务。对18个先进多模态模型的测试显示,即使最佳表现的Gemini 1.5 Pro也仅达46.8%平均分,远低于人类水平。研究揭示输入分辨率、OCR能力等内在因素和辅助信息、思维链推理等外部因素对性能有显著影响,为未来视频文本理解研究提供了方向。
ZeroGUI是一项突破性研究,实现了零人工成本下的GUI代理自动化在线学习。由上海人工智能实验室和清华大学等机构联合开发,这一框架利用视觉-语言模型自动生成训练任务并提供奖励反馈,使AI助手能够自主学习操作各种图形界面。通过两阶段强化学习策略,ZeroGUI显著提升了代理性能,在OSWorld环境中使UI-TARS和Aguvis模型分别获得14%和63%的相对改进。该研究彻底消除了传统方法对昂贵人工标注的依赖,为GUI代理技术的大规模应用铺平了道路。