Mastodawn

🌕 「隱私」瀏覽器擴充功能竟將800萬用戶的AI對話販售牟利
➤ 當VPN承諾的「保護」變成了監控與販售：800萬用戶AI對話祕密外洩
✤ https://www.koi.ai/blog/urban-vpn-browser-extension-ai-conversations-data-collection
一名安全研究人員在使用了AI對話工具時，因擔憂對話內容外洩而進行調查，結果驚人地發現，擁有超過800萬用戶的「Urban VPN Proxy」等一系列瀏覽器擴充功能，實際上不僅未提供承諾的隱私保護，反而暗中竊取並販售用戶與ChatGPT、Claude等AI平臺的對話內容，用於「市場分析」牟利。這些擴充功能利用腳本注入、攔截瀏覽器API，並將包含個人敏感資訊的對話傳送至自家伺服器。更令人擔憂的是，這些惡意擴充功能多數獲得Google和Microsoft的「精選」標章，嚴重誤導用戶。
+ 真是太可怕了！我以為裝了VPN就是安全了，沒想到卻是引狼入室。我的ChatGPT對話裡也有很多私人內容，現在想想就心驚膽戰。
+ 這種行
#網路安全 #瀏覽器擴充功能 #資料外洩 #AI #隱私權

8 Million Users' AI Conversations Sold for Profit by "Privacy" Extensions | Koi Blog

GripNews 2d ago

🌕 你的 VPN 位置值得信任嗎？
➤ 揭露 VPN 地理位置的真實面貌：一場大型網路測量的深度剖析
✤ https://ipinfo.io/blog/vpn-location-mismatch-report
一份由 IPinfo.io 進行的大規模分析，檢視了 20 家熱門 VPN 服務的實際流量出口點，結果發現其中 17 家 VPN 的流量出口國家與其聲稱的不符。許多 VPN 標榜提供上百個國家連線，但實際流量卻常導向美國或歐洲的少數幾個資料中心。這份報告深入探討了 VPN 位置的準確性問題，分析了虛擬位置的運作方式，並透過 IPinfo 的 ProbeNet 平臺，以實際的網路測量數據（延遲與路由）來驗證 VPN 位置的真實性，揭示了 IP 資料供應商與實際網路測量之間的巨大差異。
+ 太驚訝了！我一直以為我連線的日本 IP 確實是在日本，沒想到只是個標籤。
+ 這份研究太重要了，終於有數據證實了我的懷疑。以後挑 VPN 要更仔細了。
#VPN #網路安全 #IP 資料

Should You Trust Your VPN Location?

17 out of 20 popular VPNs exit traffic from different countries than they claim. Dig into what that means and why it matters in our VPN report.

GripNews 6d ago

🌕 Let's Encrypt 憑證啟用十年：回顧與展望
➤ 十年磨一劍：Let's Encrypt 如何從開創者走向網路安全基石
✤ https://letsencrypt.org/2025/12/09/10-years
Let's Encrypt 慶祝其憑證服務推出十週年，回顧了這十年來的輝煌成就。從最初僅能被大多數客戶接受的憑證，發展至今已成為全球最大的憑證頒發機構，其 ACME 協定也深入伺服器生態系統。文章強調了自動化策略的成功，體現在憑證發行量的驚人增長——從每日數百萬張到現在每日千萬張。此外，Let's Encrypt 亦對提升網路安全貢獻卓著，促使 HTTPS 加密連線比例大幅提高。作者也分享了推動此成功的關鍵里程碑，包括技術基礎設施的升級、新功能的推出，以及在公開金鑰基礎設施 (PKI) 領域的技術領導力。儘管服務日益普及且簡便，作者也擔憂人們可能將其視為理所當然，進而影響對此項重要公共基礎設施的支持。
+ 很棒的里程碑！感謝 Let's Encrypt 讓網路安全變得如此普及和簡單。
+ 雖然服務很好
#科技 #網路安全 #Let's Encrypt #憑證管理

10 Years of Let's Encrypt Certificates

On September 14, 2015, our first publicly-trusted certificate went live. We were proud that we had issued a certificate that a significant majority of clients could accept, and had done it using automated software. Of course, in retrospect this was just the first of billions of certificates. Today, Let’s Encrypt is the largest certificate authority in the world in terms of certificates issued, the ACME protocol we helped create and standardize is integrated throughout the server ecosystem, and we’ve become a household name among system administrators. We’re closing in on protecting one billion web sites.

GripNews Dec 9

🌕 追蹤朝鮮光纖網路：從網路掃描與開源情報剖析
➤ 揭開神祕國度的網路骨幹。
✤ https://nkinternet.com/2025/12/08/hunting-for-north-korean-fiber-optic-cables/
本文深入探討北韓境內光纖網路的物理佈建。作者透過分析一份關於北韓航空業的簡報，發現國家內部存在光纖纜線。接著，結合公開資訊、歷史報告和照片，拼湊出北韓光纖網路的可能路徑，推測其沿著主要鐵路和公路，特別是東海岸的鐵路線，進行佈建。文中進一步探討了北韓的內部網路「Kwangmyong」與光纖連接的關係，並推測網路節點可能集中於平壤。
+ 非常詳盡的研究！從一份簡報就能挖出這麼多資訊，真是令人佩服。希望未來能有更多關於北韓網路的深入分析。
+ 這篇文章技術性很強，但讀起來很有趣。作者的推論過程相當嚴謹，將零散的線索串聯起來。
#網路安全 #基礎設施 #朝鮮

Hunting For North Korean Fiber Optic Cables

Before we go any further, one thing that I want to make clear is that the word assume is going to be doing some heavy lifting throughout this post. This was a rabbit hole that I recently went down …

North Korean Internet

GripNews Dec 5

🌕 Cloudflare：隨處連接、保護與構建
➤ 透過 Cloudflare 的連接性雲端，現代化您的網路、保護您的應用程式，並釋放 AI 的潛力
✤ https://www.cloudflare.com/
Cloudflare 推出其「連接性雲端」平臺，旨在提供一套整合的網路、安全與效能服務，協助企業連接用戶、應用程式、雲端及網路。該平臺不僅能現代化應用程式、加速效能並確保應用程式可用性，還能簡化企業網路，提供 VPN 替換方案、網路釣魚防護，以及保護 Web 應用程式和 API。此外，Cloudflare 也積極推動 AI 解決方案，包括 AI 安全防護和資料合規性，並強調其全球網路的優勢，讓客戶能在此平臺上自由構建與擴展應用程式，並支援 AI 專案的實現。
+ Cloudflare 的平臺聽起來確實很強大，整合了這麼多服務，對於想簡化IT架構的企業來說非常有吸引力。
+ 我很關心 AI 安全的部分，特別是針對 GenAI 的保護措施，希望 Cloudflare 能提供更多細節。
#雲端服務 #網路安全 #應用程式開發

Connect, protect, and build everywhere

Make employees, applications and networks faster and more secure everywhere, while reducing complexity and cost.

GripNews Dec 5

🌗 Cloudflare：連接、保護、構建無處不在
➤ 打造無縫連接、堅實防護與無限創新的數位未來
✤ https://cloudflare.com/
Cloudflare 透過其「連接雲」提供超過 60 項網路、安全與效能服務，協助企業現代化應用程式、加速效能、確保應用程式可用性並優化網路體驗。其解決方案涵蓋現代化安全（如 VPN 替換、網路釣魚防護）、現代化網路（如咖啡廳連網、WAN 現代化）以及 AI 整合與安全，旨在簡化企業網路並降低風險。Cloudflare 的開發者平臺也是構建現代應用程式和推動 AI 創新的理想場所。
+ Cloudflare 的服務真是太全面了！從網路到安全，再到 AI，幾乎涵蓋了所有現代企業的需求。
+ 我對 Cloudflare 在 AI 安全方面的投入感到印象深刻，這對於保護新興的生成式 AI 應用至關重要。
#雲端運算 #網路安全 #應用程式現代化

Connect, protect, and build everywhere

Make employees, applications and networks faster and more secure everywhere, while reducing complexity and cost.

GripNews Dec 4

🌗 年齡驗證網路席捲美國，公民團體奮起反抗
➤ 網路審查與監控的陰影：年齡驗證法案下的數位權利保衛戰
✤ https://www.wired.com/story/age-verification-is-sweeping-the-us-activists-are-fighting-back/
美國多州及全球各地正積極推動網路年齡驗證法案，要求使用者在瀏覽成人內容或潛在有害資訊前，須透過身分證或臉部掃描證明年齡。此舉引發數位權利倡議者強烈反彈，認為這將導致網路審查與監控加劇，而非真正提升安全。儘管國會正審議多項相關法案，包括《兒童網路安全法》(KOSA)，但民間團體正透過各式平臺舉辦活動，呼籲大眾關注，並主張應從隱私權、反壟斷等層面著手，而非以驗證機制限制網路自由。
+ 實在無法理解為何要用這種方式限制網路，感覺像是倒退一樣，這樣根本沒有比較安全，反而更讓人擔心隱私問題。
+ 支持倡議團體發聲！希望政府能聽到人民的聲音，別再通過這些限制自由的法案，專注於真正能保護大家的議題。
#網路安全 #隱私權 #數位權利 #政策

The Age-Gated Internet Is Sweeping the US. Activists Are Fighting Back

Half of the country now requires age verification to watch porn or access “harmful” content. Digital rights advocates are pushing back against legislation they say will make the internet less safe.

WIRED

GripNews Dec 4

🌘 JavaScriptCore 的神祕領域
➤ 揭開 JavaScriptCore 引擎的神祕面紗，利用 CodeQL 尋找潛在漏洞
✤ https://www.cyberark.com/resources/threat-research-blog/the-mysterious-realm-of-javascriptcore
本文深入探討了 CyberArk 團隊如何利用 CodeQL 查詢語言，在 macOS 和 iOS 的 JavaScript 引擎 JavaScriptCore (JSC) 中發現潛在的遠端執行 (RCE) 漏洞。作者首先介紹了 JSC 的基本架構，並解釋了它作為 WebKit 引擎中 JavaScript 執行核心的角色。接著，文章詳細闡述瞭如何建構一個客製化的 CodeQL 查詢，以識別 JSC 中可能導致嚴重安全問題的「副作用建模」缺陷。這項研究不僅揭示了 JSC 引擎的複雜性，也為其他研究人員提供了在類似環境中尋找漏洞的技術範例。
+ 這篇文章對於想了解 JSC 內部運作和漏洞挖掘方法的開發者來說非常有價值。Co
#網路安全 #程式碼分析 #漏洞研究

The Mysterious Realm of JavaScriptCore

TL;DR JavaScriptCore (JSC) is the JavaScript engine used by Safari, Mail, App Store and many other apps in MacOs. The JSC engine is responsible for executing every line of JavaScript (JS) that...

GripNews Dec 4

🌘 Cellebrite 收購 Corellium，強化 ARM 裝置安全與研究能力
➤ 結合虛擬化技術，開創智慧裝置安全與數位調查新紀元
✤ https://www.corellium.com/blog/cellebrite-to-acquire-corellium
數位鑑識解決方案領導者 Cellebrite 今日宣佈，已達成收購 ARM 虛擬化軟體領導者 Corellium 的協議。此項結合將為數位鑑識、智慧裝置安全、以及 ARM 架構裝置的漏洞研究與惡意軟體分析樹立新標準。透過整合 Corellium 的虛擬化技術，Cellebrite 的客戶將能更快速地辨識行動裝置漏洞，並以極高的效率進行 DevSecOps 與行動滲透測試，同時能以虛擬實境方式深入探索裝置，輔助檢察官、陪審團、調查員及開發者。此收購預計將顯著擴大 Cellebrite 在公私部門的市場觸及範圍，並為公司帶來頂尖的漏洞研究與惡意軟體分析人才。
+ 這是一項令人振奮的收購！Corellium 的虛擬化技術與 Cellebrite 的鑑識能力結合，必將為行動裝置安全帶來革命
#科技收購 #網路安全 #數位鑑識

Cellebrite to Acquire Corellium

Cellebrite to Acquire Corellium | Deliver Unmatched Innovation in Arm-based Vulnerability, Malware Research, Smart Device DevSecOps, Mobile Pen Testing

GripNews Dec 4

🌗 ACME：改變網路安全的協定簡史
➤ 自動化憑證管理的革命性力量
✤ https://blog.brocas.org/2025/12/01/ACME-a-brief-history-of-one-of-the-protocols-which-has-changed-the-Internet-Security/
本文回顧了 ACME（Automated Certificate Management Environment）協定的發展歷程，這個協定對網路安全，特別是 TLS 加密憑證的普及，扮演了關鍵角色。文章探討了 ACME 的起源、設計理念、標準化過程，以及它如何與現有生態系統互動並應對未來的挑戰。透過採訪 ACME 的核心開發者，文章深入解析了該協定如何在 2010 年代初期解決了獲取和管理伺服器憑證的瓶頸，透過自動化流程，大幅降低了網站部署 TLS 加密的門檻，進而極大提升了網路通訊的安全性與普及率。
+ 這篇文章對 ACME 的解釋非常到位，讓我對 Let's Encrypt 的運作原理有了更深的理解。
+ 很
#網路安全 #協定 #Let's Encrypt #ACME

ACME, a brief history of one of the protocols which has changed the Internet Security

ACME, a brief history of one of the protocols which has changed the Internet Security Preamble I would like to share with you this article I wrote about the ACME protocol, which I “fell in love with” about ten years ago. It is for me a way to give back to this fantastic Free Software and Open Protocols developers community. This article is about the roots, the conception, the standardization, the relation with its ecosystem and the evolution challenges faced by the ACME protocol.