本站消息,9 月 22 日,慢雾信息安全官 23pds 在 X 平台发文称,MistEye 预警监测发现知名标准 WebAuthn 密钥登录存在绕过风险。研究人员发现一种可绕过基于 WebAuthn 密钥登录的新型攻击,攻击者可通过恶意浏览器扩展或利用网站 XSS 漏洞劫持 WebAuthn API,从而强制降级为密码登录、篡改密钥注册流程以窃取凭据。该攻击无需访问设备或 Face ID,受害者在存在恶意扩展或注入漏洞的网站上使用密钥登录,即可能被冒充身份,导致账户被攻破。
WebAuthn (Web Authentication) 是由 W3C 和 FIDO 联盟制定的一项 Web 标准,它让网站和应用可以通过公钥密码学来进行安全的用户认证。它的目标是替代或补充传统密码,让用户可以用:
· 硬件安全密钥(如 YubiKey、Feitian Key 等);
· 内置平台认证器(如 Windows Hello、Touch ID、Face ID、Android 生物识别);
· 任何符合 FIDO2 标准的设备。
编者按:当 AI 能力开始逼近通用工具的边界,网络安全的含义也在发生变化。它不再只是针对黑客、病毒或数据泄露的防御问题,而正在演变为一场能力不对称的博弈。随着 Anthropic 推出的 Claude Mythos 展现出接近顶级专家的漏洞...
编者按:本文介绍了一种基于 Claude Code 与 Obsidian 搭建的个人知识系统,其核心不再是传统 RAG 模式下每次查询、临时检索的用法,而是尝试让 AI 持续构建并维护一个可演化的知识库(Wiki)。从结构上看,该系统可以拆...
编者按:近日,《The New York Times》发布长篇调查报道,重新追问一个困扰加密行业 17 年的问题:中本聪究竟是谁?不同于以往基于零散爆料或单一线索的猜测,这篇报道沿着 Cypherpunks 历史档案展开,通过技术路径、写作...
编者按:从石器时代的威胁,到两周停火的迅速落地,这场围绕伊朗的冲突在短时间内经历了急剧转折。表面上看,局势降温、市场反弹,但更深层的结构性问题并未因此得到解决。一方面,Donald Trump 在政治与经济压力下选择下台阶,通过停火暂时缓解...
