DNS的安全性缺陷DNS全称Domain Name System，在当今的互联网协议中，它是一个域名与IP对应的系统，我们通过域名访问一个地址需要经过DNS查询获取该域名的真实IP地址，比如说访问我们网站的时候，浏览器就会向系统指定的DNS服务器发送一个请求，让DNS服务器返回该域名的真实IP地址。

传统的DNS方式是通过53端口向DNS服务器发送明文的请求信息，如果有意的话，ISP可以很容易地在用户到DNS服务器之间将这个请求进行劫持，由于传统DNS请求基于无连接的UDP协议，用户端只接受最快到达的查询结果，所以ISP可以通过抢先应答的方式向用户返回错误的IP，这种做法被称为域名劫持，这是DNS协议的一个典型缺陷。

一般在完成ISP的PPPoE认证连上互联网之后，ISP会提供两个DNS服务器的IP，这两个DNS服务器就是典型的DNS缓存服务器，它缓存了用户曾经通过它请求的域名-IP对应信息，这类服务器被称为非权威域名服务器，它向用户返回的都是经过缓存的IP信息，其中就有可能存在被恶意篡改的域名-IP对，使用这台缓存服务器的所有用户在查询特定域名时都将得到错误的结果，这就是缓存投毒。

以上只是两个常见的DNS协议自身设计缺陷，它的这些缺陷主要存在于安全性方面，而利用这些缺陷，ISP可以通过域名劫持做到在网页上面插入广告，攻击者可以对用户进行DNS欺骗将用户发送的网络请求引向假的服务器以获得用户数据。而DNS协议存在的另一个缺陷就是它是用明文进行传输的，只要有心人对你的53端口进行监听，他们就可以轻而易举地知道你访问了哪些网站。

但是DNS协议作为当今互联网的基石之一，不可能轻易地用一种新的协议去取代它，只能用其他手段在DNS协议外面进行防护，提高它的安全性和私密性。从这个思路出发，人们提出了几种方案，首先是1997年提出的DNSSEC。

从DNSSEC到DNS over HTTPS很早就有但是没完全普及的DNSSECDNSSEC为原本的DNS协议引入了一个数字签名验证机制，它在DNS请求包的头部加入了一段数字签名，通过现代的数字证书验证体系保证DNS查询结果的正确性，或者用信息安全的话来说，就是保证了DNS查询结果的完整性。

DNSSEC在1997年提出，发展至今已经非常成熟了，很多公共域名服务器都支持它。但是DNSSEC只解决了DNS协议的安全性问题，它没有对DNS查询内容进行加密，别人还是很容易就可以看到你访问的网站。

没有标准化的DNSCrypt于是，又有新的选手站了出来。这次上台的是DNSCrypt，名字里面都带Crypt了那它肯定是有加密的，是的，它对DNS查询过程做了完整的加密，可以做到查询结果没有问题，别人也看不到你查询了什么域名。

但是问题来了，DNSCrypt并没有进行标准化流程，这导致了它无法在互联网上面得到广泛的应用。

DNS over TLS与DNS over HTTPS前两个选手的挑战都没有取得完全的胜利，于是又有新的选手站上了擂台，这次的俩兄弟长得很像。DNS over TLS（DoT）使用TLS协议确保DNS查询过程的完整性和保密性，而DNS over HTTPS（DoH）则是使用HTTPS协议进行通信，比它哥哥DoT还多了一层HTTP协议。

DoT标准正式发布于2016年，而DoH标准正式成文于2018年10月，但是后者被接受的程度远超前者，这是为什么呢？还是兼容性问题。

DoH基于HTTP之上，在使用便利性上面比基于裸套TLS的DoT要高不少。相对于DoT，各大系统、浏览器都可以比较简单地将DoH整合进去。而且公共DNS对于DoH的支持速度也非常快，现在我们能够想到的国外的DNS基本都支持了DoH，它大有成为老旧DNS协议升级版的趋势。

目前支持DoH的浏览器和DNS服务器浏览器· Firefox

· Chrome

作为DoH标准的主要推动者，Mozila和Google自然是很快就在自家浏览器里面加入了对于DoH的支持，现在网上已经有很多在这两个浏览器中开启DoH的教程了，这里就不再赘述。

公共DNS服务器如果想用DoH，DNS服务器的支持肯定是要的，而出于利益原因，国内ISP们的DNS短时间肯定是不会支持的，而像大的几个DNS服务器短时间内也很难加上DoH的支持，只能看国外了。

· 1.1.1.1

这是全球最大的CDN服务商Cloudflare提供的公共DNS，相当好记。

· 8.8.8.8

长期被污染的Google公共DNS在DoH下终于可以使用了。

总结DNS over HTTPS可以说是目前最有希望的DNS协议继任者，已经得到了几大软件巨头和域名提供商的鼎力支持。如果你长期遭受DNS污染或者欺诈，在换用其他公共DNS后效果不明显的，可以尝试使用DNS over HTTPS来获得更好的网上冲浪体验。而对于非常在意自己隐私的用户来说，DNS over HTTPS更是一项不可或缺的技术，帮助你更好的保护自己的隐私不被他人窥探。

在简要报告中，该公司称驱动程序及固件的不安全问题非常普遍，包括华硕、华擎等主要的BIOS供应商及NVIDIA等的驱动程序中都发现了严重漏洞，而且更严重的是他们发现的易受攻击的驱动程序都经过了微软的认证，因此他们已经邀请微软提供包括将一直的问题驱动列入黑名单等方法防范此类漏洞。

具体来讲这些漏洞都允许驱动程序充当代理，以执行对硬件资源的高权限访问，例如对处理器和芯片组的I/O空间的读写访问等。这是一种权限提升，因为它可以将攻击者从用户模式（Ring 3）提权至操作系统的内核模式（Ring 0），这样恶意软件就会拥有更多的权限执行。而驱动程序中的漏洞会使恶意软件较为轻松的获取高等级权限。

作为演示，Eclypsium展示了如Slingshot攻击、LoJax恶意软件等方式攻击驱动或固件。如LoJax恶意软件可向受害设备的固件中安装恶意软件，并在整个操作系统安装过程中持续存在。

Eclypsium的发现不仅提醒了各硬件厂商需要对固件安全更加重视，而且也说明了即使驱动程序进行了签名也不代表安全。所以为应对这个问题，需要个硬件厂商积极推出更加安全的固件及驱动，同时用户也需要积极升级最新的固件以保证设备不受漏洞影响。

据外媒Digitaltrends的报道，NASA确认他们的Jet Propulsion Laboratory（喷气推进实验室）在去年遭受黑客攻击，被偷盗了500MB的数据，主要是一些与任务有关的文件，而对方用的只是个36美元、性能孱弱的Raspberry Pi单片板电脑，便访问到了NASA不允许进入的系统和程序，而系统管理员没有察觉到JPL的系统网络中加入了这个设备，被对方潜伏了10个月之久。

NASA的最新公开报告表示到去年4月份，他们才从JPL的系统中发现了一个未授权的外来账户，而在对方盗取的23个文件当中，有两个文件有一个与国际武器贸易条例（ITAR）的相关信息，另外一个是与火星科学实验任务（Mars Science Laboratory Mission）的空间技术有关，由于JPL是NASA所处的林顿·约翰逊太空中心（Johnson Space Center）一个重要分部，所以中心办公室还担心主系统可能也被黑客入侵，从而威胁到他们的载人航天任务。

其实由于NASA内部有着许多与国家安全、机构调查报告和前沿科技专利在内的相关机密信息，所以他们一直是黑客频繁攻击的对象，虽然这类网络安全事故多在解决后才对公众公布，但有安全人员认为NASA现有的系统可能仍存在一些漏洞。

Cellebrite公司曾推出过一款取证设备，能获取采用iOS 11设备中的信息，而且这款设备可能也为当时美国执法部门所使用。而苹果在随后推出了iOS 12系统，而在新系统中，苹果也添加了很多新举措，如在未解锁时USB设备无法连接iPhone等设备，这通过最直接的途径切断了这类取证设备的使用。这次Cellebrite公司称他们又研发出了新的通用取证设备，这也让iOS设备的安全再次受到威胁。

无独有偶，还有一家名为GrayKey的初创公司也称他们开发的取证设备可以获取iOS 12.3系统设备中的信息，在设备信息取证领域也有多家公司在竞争。

这些设备让获取iPhone、iPad等iOS设备中的信息会更加容易。而苹果也在努力阻止Cellebrite公司等公司的产品。作为一家非常重视信息安全的公司，苹果已经在系统中采取了阻止USB等连接手段获取设备中信息的方式，而这次到目前苹果还未发出声明及系统更新来防止这些设备。

同时根据ZDTech的报道，联邦法院一共提起十项指控，马库斯·哈钦斯承认其中的两项，而政府同意放弃其它八项罪名指控。对其中每一项罪名，他将面临高达五年的监禁，同时罚款25万美元。也就是说他将会面临十年的监禁。

在认罪之后，他在网站（应该是个人博客）上更新了公开声明，称正如大家可能知道的那样，他现在已经承认了在从事安全研究员职业之前编写恶意软件的质控。他对这些行为感到遗憾，并承担所有错误。现在他将自己的时间更多花在如何让人们避免恶意软件攻击上。

现在事情最终有了结果，注明安全研究员也因为“黑历史”受到了惩罚。不过好的方面是他承认了自己的罪名并通过分享网络安全知识改过自新。顶着“WannaCry杀手”的他也将开启下一段人生。

信息安全问题近些年来日益凸显，国内也有信息安全的交流平台，如Freebuf、360旗下的补天漏洞响应平台、甚至如小米、OPPO等手机厂商也有应急安全中心，所以如果超能的读者中如果对信息安全感兴趣的， 还是请遵守法律，不要在灰色地带游走，真正为互联网信息安全贡献自己的力量。

这件事在上个月已经有部分媒体提及过，这个始于Windows Phone 8.1的功能可以将家里或者办公室的Wi-Fi密码分享给包括Outlook、Skype或者脸书等在内的联系人，来到就可以直接连上，以免除“你家Wi-Fi密码多少”这样的新时代式问候语（前提是对方也 有这个功能）。

根据英国媒体The Register报道，微软在FAQ栏目上表示，这个分享功能仅面向同样拥有Windows Phone的联系人，至少是自己认识的，而且官方也声称密码上传到服务器、下载到用户手机上的过程都有加密，该功能也只是提供互联网入口，并不能浏览内网的其它终端和内容。

不过也不是所有人都会希望其他人未经咨询直接就连入自己的网络，传输和使用过程是不是真的那么可靠，还不得而知呢。再说，之前Windows Phone本身数量就不多，而之后的Windows 10可能会获得被分享出来的Wi-Fi密码，影响范围一下子就能放大了。

微软也给用户提供了一个简单的解决方法，就是在SSID（Wi-Fi名字）的后面加上“_optout”后缀，这样Wi-Fi Sense就不会把这个Wi-Fi网络的密码共享出去。

然而，这项功能是默认打开的，对于大多数用户来说可能还不知道，就算知道，也不一定是第一时间就意识到要把它关闭，更不用说这些用户是否懂得如何修改SSID。

根据爱应用报道，近日有网友爆料，他在浏览豆瓣电影页面的时候，浏览器弹出一个小米手机APP下载提示。后来他发现，小米路由器在页面代码中插入了一行Java Script，大概就是监控用户浏览的内容，并推送对应的APP信息。

事实上一些智能路由器也可以实现这样的功能，我们此前也尝试过比价插件，全网机器在浏览电商网站时都会显示这个插件，但这是我们事先知道并允许的行为。这位网友认为，小米这样的行为侵犯了用户的隐私权。而在此前，小米路由器就已经被曝光过存在劫持HTTP 403和404错误页面的行为。

有技术专家指出，小米路由器中存在一个具体的劫持清单，符合规则的就会更改页面代码，例如插入上面所说的一段JS代码。另外，这段代码存于api.miwifi.com中，通过明文通信，没有任何加密。

互联网协会理事长：中国已经发展成为互联网大国。

——中国互联网协会理事长邬贺铨在中国互联网大会上致辞，表示中国网民规模达到6.32亿，中国以令人惊叹的速度发展成为互联网大国，成为全球互联网发展的重要组成部分。他还表示，伴随着移动互联网的发展，中国互联网产业发展正处于难得的历史机遇期：4G宽带不断发展，云计算应用不断普及，互联网基础平台作用凸显，大数据应用创新日渐活跃，不断服务于网民的新生活。

360总裁：移动搜索将是让中国搜索市场出现彻底变局的一个契机。

——奇虎360总裁齐向东今日在2014年中国互联网大会上接受新浪科技专访时表示，移动搜索将是让中国搜索市场出现彻底变局的一个契机。“手机作为智能终端，和每个人的生活联系得越来越紧密，对搜索的影响事关重大。手机能够让搜索‘随时随地’，搜索的便捷就在这4个字里。”他透露，下一步360将使得移动搜索将变得更加智能，下半年将是360移动搜索的关键发力期。

工商总局：微软涉嫌相关信息公开不完全。

——在上午举行的国新办新闻发布会上，国家工商行政管理总局党组书记、局长张茅介绍，微软涉嫌Windows和office软件相关信息公开不完全，发售播放器和浏览器的问题，于今年的6月根据《反垄断法》，工商总局对微软进行了立案调查，有关调查的信息我们已经公布了三次。