借一步网

分类: 网络

  • WP-WebAuthn 插件:为 WordPress 带来安全便捷的登录体验

    随着网络安全威胁的日益增加,传统的密码登录方式逐渐显得不够安全和便捷。为了解决这一问题,WP-WebAuthn 插件应运而生,它为 WordPress 用户提供了一种全新的登录方式。下面将详细介绍 WP-WebAuthn 插件的主要特点及其使用优势。

    替代密码登录

    WP-WebAuthn 插件的最大特色之一是支持多种设备替代密码进行登录。用户可以使用 Passkey(通行密钥)、USB 认证器、指纹识别设备、Windows Hello、FaceID 或 TouchID 等方式来进行身份验证。通过简单的点击和在认证器上的验证,用户能够在数秒内完成登录,无需输入任何密码。这种方式不仅提高了登录的安全性,还大大简化了用户的操作流程。

    例如,当用户使用指纹识别器登录时,只需将手指放在识别处,系统便会自动完成身份验证,用户即可快速进入其 WordPress 网站。这种便捷的体验让用户不再担心忘记密码或被钓鱼攻击的风险。

    支持无用户名登录

    除了传统的用户名和密码组合,WP-WebAuthn 插件还支持无用户名的登录方式。这意味着用户在登录时无需输入用户名,进一步简化了登录过程。这种方式对于那些希望快速访问网站的用户尤其有用,提升了用户体验。

    这一功能的实现,使得用户在使用 WP-WebAuthn 插件时,能够更加专注于内容创作,而不是繁琐的登录步骤。

    内置短代码和 Gutenberg 区块

    为了方便用户在前端页面中添加认证器注册表单,WP-WebAuthn 插件提供了4个内置短代码和4个对应的 Gutenberg 区块。用户可以轻松地将这些组件嵌入到其网站的任意位置,无需具备编程知识。这一设计理念使得插件的使用变得更加直观和友好。

    例如,用户可以通过简单的拖放操作,将认证器注册表单加入到其网站的主页或登陆页面,快速实现身份验证功能。

    安全和隐私

    在安全性和隐私保护方面,WP-WebAuthn 插件基于 WebAuthn 技术,确保用户的隐私数据不被传输。这意味着在身份验证过程中,不会有任何敏感信息离开用户的设备,符合 GDPR 的相关要求。这一特性让用户在使用过程中更加安心,避免了由于数据泄露而产生的安全隐患。

    WebAuthn 技术自2019 年 3 月以来已成为 W3C 建议,标志着其在网络认证领域的广泛应用潜力。通过硬件认证器进行身份验证,不仅提高了安全性,也为未来的网络认证奠定了基础。

    多语言支持

    WP-WebAuthn 插件还具有多语言支持的特点,当前支持英语、简体中文、繁体中文(香港)、繁体中文(台湾)、土耳其语、法语和德语等多种语言。这使得全球用户都能方便地使用该插件,提升了其普适性和可访问性。

    如果您使用的语言不在其中,也可以参与到插件的翻译工作中,帮助将其推广到更多语言环境中。

    安装要求

    在使用 WP-WebAuthn 插件之前,用户需要确保其网站支持 HTTPS 连接或在 localhost 环境下运行。同时,安装 PHP 的 gmp 和 mbstring 扩展也是必要的。这些要求确保了插件能够正常工作,并提供最佳的用户体验。

    总结

    WP-WebAuthn 插件以其独特的安全性、便捷性和用户友好性,为 WordPress 网站提供了全新的登录体验。无论是替代密码的多种登录方式,还是无用户名的身份验证,均展示了现代网络认证的未来趋势。随着更多用户意识到传统密码的不足,WP-WebAuthn 插件将成为网络认证领域的热门选择。

    如果您对 WP-WebAuthn 插件有任何疑问,欢迎随时与我们联系,或访问以下链接获取更多信息:

    了解更多:

    1. WP-WebAuthn 插件 – WordPress.com
    2. wp-webauthn/README/zh_CN.md at master · yrccondor/wp-webauthn · GitHub
    3. WP-WebAuthn – WordPress 插件 | WordPress.org

  • WebAuthn 鉴权与授权:新一代安全验证方案

    引言

    在当今数字化时代,网络安全已成为重中之重。传统的密码认证方式因其易被破解而逐渐显露出不足之处。为了解决这一问题,WebAuthn(Web Authentication)应运而生,它基于公钥加密技术,为用户提供更为安全和便捷的身份验证方式。作为FIDO2标准的一部分,WebAuthn不仅仅是一种技术,它更是未来网络安全发展的方向。

    WebAuthn 的工作原理

    WebAuthn 的身份验证过程主要分为两个阶段:注册和登录。

    注册阶段

    在注册阶段,用户需要通过安全密钥(如 Yubikey)或支持生物识别的设备(如智能手机)来创建一个公钥/私钥对。具体步骤如下:

    1. 生成密钥对:用户通过认证器生成一对公钥和私钥。公钥将被传送到服务器,而私钥则保存在用户的认证设备中,永不外泄。
    2. 存储公钥:服务器将公钥与用户的账号信息关联,存储于数据库中。这样,每个用户的公钥都是独一无二的,确保了安全性。

    登录阶段

    当用户想要登录时,服务器会生成一个随机的挑战码,并将其发送到用户的认证器。此时,登录过程如下:

    1. 发送挑战码:服务器发送随机挑战码到用户的认证器。
    2. 签名挑战码:认证器使用存储的私钥对挑战码进行签名,并将签名结果返回给服务器。
    3. 验证签名:服务器使用之前存储的公钥来验证签名。如果签名合法,用户将被授权登录。

    这样的机制使得WebAuthn在安全性上大大超过传统的基于密码的登录方式。

    优势分析

    WebAuthn 认证机制具有多项显著优势:

    1. 安全性

    由于私钥从不离开用户的设备,WebAuthn 大大降低了凭据被盗用的风险。即使服务器遭到攻击,攻击者也无法获取用户的私钥,从而保护用户的账号安全。

    2. 便捷性

    用户可以利用指纹、面部识别等生物特征进行身份验证,无需记住复杂的密码。这种便捷性提升了用户体验,使得用户更愿意使用这种验证方式。

    3. 跨设备支持

    WebAuthn 允许用户在不同设备上使用同一个安全密钥进行身份验证,这为用户提供了极大的灵活性。例如,安卓7及以上版本的手机和Windows 10系统均可以作为FIDO2安全密钥。

    WebAuthn API 的实现

    WebAuthn API 是 Credential Management API 的扩展,主要通过以下方法实现:

    • navigator.credentials.create():用于创建新的凭证。
    • navigator.credentials.get():用于获取用户的凭证。

    示例代码

    以下是使用 Vert.x 实现 WebAuthn 的一个简单示例:

    WebAuthn webAuthN = WebAuthn.create(
  vertx,
  new WebAuthnOptions()
    .setRelyingParty(new RelyingParty().setName("ACME Corporation")))
  .authenticatorFetcher(query -> {
    // 从持久层获取鉴权器的函数
    return Future.succeededFuture(authenticators);
  })
  .authenticatorUpdater(authenticator -> {
    // 更新鉴权器并持久化的函数
    return Future.succeededFuture();
  });

// 用户信息
JsonObject user = new JsonObject()
  .put("id", "000000000000000000000000")
  .put("name", "john.doe@email.com");

webAuthN
  .createCredentialsOptions(user)
  .onSuccess(challengeResponse -> {
    // 将密钥返回到浏览器
  });

    结论

    WebAuthn 在现代网络安全中扮演着重要角色,它不仅提升了用户身份验证的安全性,还提供了更为便捷的用户体验。随着技术的不断发展和普及,WebAuthn 将成为未来网络应用中不可或缺的一部分。

    参考文献

    1. Webauthn 鉴权与授权 | Eclipse Vert.x – Eclipse Vert.x Documentation
    2. FIDO2 标准 – FIDO Alliance

  • Polyfill supply chain attack hits 100K+ sites

    The Polyfill.js project, a popular open-source library used to support older browsers, has been compromised by a supply chain attack. The attack occurred after a Chinese company acquired the ownership of the polyfill.io domain [1]. As a result, more than 100,000 websites that embed the cdn.polyfill.io domain have been affected [2].

    Details of the attack:

    • The new Chinese owner of the Polyfill.js project injected malware into the polyfill.io domain, which is used by numerous websites [2].
    • The malware is dynamically generated based on HTTP headers, allowing for multiple attack vectors [2].
    • The injected code redirects mobile users to a sports betting site using a fake Google Analytics domain [2].
    • The malware has specific protections against reverse engineering and only activates on specific mobile devices at specific hours. It also avoids activating when it detects an admin user and delays execution when a web analytics service is found [2].

    Impact and recommendations:

    • Users of websites that embed the cdn.polyfill.io domain may be unknowingly redirected to malicious sites, such as sports betting and adult content websites [2].
    • The original creator of the Polyfill.js project recommends not using Polyfill at all, as modern browsers no longer require it [2].
    • Trustworthy alternatives to Polyfill, provided by Fastly and Cloudflare, are available for those who still require similar functionality [2].
    • Google has started sending warnings about loading third-party JavaScript from domains like polyfill.io to protect users from potential harm [3].

    Learn more:

    1. Polyfill.io supply chain attack hits 100000+ websites – Sonatype
    2. Polyfill supply chain attack hits 100K+ sites
    3. Supply chain attack compromises 100,000 websites via polyfill.io domain takeover – SiliconANGLE

  • IPv4地址的“隐藏宝藏”:E类空间能否拯救互联网?

    自从IPv4地址枯竭以来,获取或租赁IPv4地址块的成本一路飙升。对于许多网络公司来说,这无疑是一场灾难,曾经为每个用户分配一个甚至多个IPv4地址的模式已难以为继。然而,鲜为人知的是,IPv4地址空间中还隐藏着一块巨大的“宝藏”——E类空间,它能否成为解决IPv4地址短缺的“救星”呢?

    被遗忘的角落:E类空间的由来

    E类空间位于IPv4地址空间的末尾(240.0.0.0~255.255.255.254),早在1989年就被定义,但一直被忽视。实际上,除了E类空间,IPv4地址空间中还存在着其他一些“浪费”的地址块,例如0.0.0.0/8和127.0.0.0/8。这些地址块当初的分配标准如今看来过于宽泛,如果能够重新利用,将能极大缓解IPv4地址短缺的现状。

    现实与理想的博弈:E类空间的局限性

    尽管E类空间拥有巨大的潜力,但将其重新用于单播空间面临着诸多挑战。首先,现有的设备和终端软件对E类地址的兼容性问题难以解决,全球范围内的升级行动几乎不可能实现。其次,E类空间的启用需要IANA和IETF制定新的政策,这将是一场旷日持久的斗争。

    柳暗花明:E类空间的另类用途

    尽管E类空间难以成为全球可路由的地址空间,但它在本地网络和网络基础设施中却能发挥重要作用。例如,AWS、一些家庭和中小型企业以及Canonical的“扇”网络都在使用E类空间。此外,Cloudflare还提供了一种将IPv6地址散列到E类地址中的选项,为不支持IPv6地址的系统提供了一种访问IPv6的方式。

    供应商的支持:E类空间应用的关键

    E类空间的应用离不开设备的支持。目前,Linux、Android、MacOS/OSX等操作系统已经支持E类地址,但Windows、NetBSD/FreeBSD等系统尚未提供支持。网络设备方面,一些路由器供应商支持直接设置E类地址,而另一些则需要特殊配置,还有一些则完全不支持。

    路由协议的挑战:OSPF的意外情况

    在使用E类地址时,动态路由协议的兼容性也是一个需要关注的问题。例如,在使用OSPF协议时,如果路径中的某些设备不支持E类地址,可能会导致流量丢失。

    真实测试:E类空间的接受程度

    为了测试E类空间在真实环境中的可行性,Quantcom公司进行了一次E类空间的网络扫描实验。结果显示,只有大约50%的RIPE Atlas探针能够访问E类地址,这表明E类空间的接受程度还很低。

    结论:E类空间的未来

    总的来说,E类空间虽然拥有巨大的潜力,但由于兼容性、政策、部署等方面的挑战,它难以成为解决IPv4地址短缺的最终方案。然而,在本地网络和网络基础设施中,E类空间可以作为一种有效的地址补充方案。

    参考文献:

    • RFC1112 – Internet Protocol Address Format
    • RFC1918 – Address Allocation for Private Internets
    • BGP.tools – https://bgp.tools/
    • RIPE Atlas – https://atlas.ripe.net/

  • 技术封建主义:互联网时代的“数字农奴”?

    你是否以为,人类正在进入一个新时代——互联网高科技的时代? 2024年出版的新书《技术封建主义》(Techno Feudalism)却提出一个令人深思的观点:人类更像回到了封建时代,只是多了高科技。

    这本书的作者雅尼斯·瓦鲁法基斯(Yanis Varoufakis)是一位非比寻常的经济学家。他曾被游戏平台 Steam 的创造者 Valve 公司聘用,后来还担任过希腊的财政部长。这本书正是他卸任后对互联网时代社会结构的深刻思考。

    互联网领主与数字农奴

    历史上,中世纪的欧洲盛行封建制度。大地主(领主)占有大片土地,控制土地上的一切,农民也变成了领主的私人财产(农奴)。

    互联网时代,这种模式似乎在数字世界中重演。尽管互联网看似广阔无垠,但真正掌握话语权的却是少数几家科技巨头:谷歌、苹果、微软、亚马逊、Meta……它们就像互联网时代的领主,瓜分了大部分的数字领地。

    在自己的领地上,这些科技巨头拥有至高无上的权力。广大的网民则成了“数字农奴”,他们在这些领地里发帖、上传照片视频,实际上是在为领主工作。他们得到的回报微薄,免费的劳动却为科技巨头创造了巨大的价值。

    更令人担忧的是,网民们逐渐产生对这些数字领地的依赖。一天不去领主的土地看看,心里就会感到空虚失落。

    高高的围篱与地租

    这些数字领主拥有强烈的领地意识,他们筑起高高的围篱,防止自己的数字资产(数据)流出,或被其他公司侵占。

    如果你想要使用某个领主的领地,就必须缴纳“地租”——使用费。比如,你想把自己的 App 放在苹果应用商店出售,就必须把 30% 的收入交给苹果。这与中世纪封建制度下的地租何其相似!

    打破技术封建主义

    瓦鲁法基斯认为,为了打破技术封建主义,防止数字领主的出现,政府必须采取一些强制措施:

    • 征收云税:降低数字领主获取的“云地租”。
    • 推行统一的数字身份:避免每个网站都推行自己的用户体系,防止用户过度依赖科技巨头。
    • 推行数据共享:用户在某个应用产生的数据,应该可以移植到其他应用,避免数据被数字领主垄断。

    结语

    《技术封建主义》这本书为我们打开了眼界,让我们意识到,看似繁荣的互联网经济,背后隐藏着深刻的社会问题。技术封建主义的出现,不仅会加剧社会不平等,还会扼杀创新和自由。只有通过政府的积极干预,才能打破这种数字时代的封建统治,创造一个更加公平、开放的互联网社会。

    参考文献:

    • 铂程斋–技术封建主义 (https://www.dapenti.com/blog/more.asp?name=xilei&id=179106)

  • 从一个博弈论的案例,看拼多多怎么赢的淘宝

    1983年美洲杯帆船赛上,澳大利亚队战胜美国队的经典案例是帆船比赛历史上的一个重要事件。以下是关于这个案例的详细信息:

    • 背景信息:
    • 1983年的美洲杯帆船赛是一场激烈的帆船比赛,由美国队和澳大利亚队参与。
    • 在此之前,美国队一直是美洲杯的统治者,连续保持着长达132年的连胜纪录。
    • 澳大利亚队则是挑战者,希望能够打破美国队的统治地位。
    • 比赛过程:
    • 在比赛中,美国队一路领先,离终点还有3海里时,领先澳大利亚队4海里。
    • 然而,突然刮起了一阵大风,帆船需要根据风向调整帆的方向才能前进。
    • 这个时候,老船长根据多年的经验判断这是一种阵风,于是调整了帆的方向
    • 不幸的是,风向突然变化,变成了一种阵风式的旋风,导致美国队的帆船在原地打转,浪费了很多时间。
    • 与此同时,澳大利亚队没有调整帆的方向,一路向前,最终超过了美国队。
    • 当美国队离终点还有两海里时,澳大利亚队已经到达了终点,取得了胜利。
    • 结果和影响:
    • 这次比赛中,澳大利亚队成功战胜了连胜132年的美国队,打破了美国队的统治地位。
    • 这个经典案例成为帆船比赛历史上的一个重要事件,被广泛讨论和研究。
    • 这次胜利也激励了其他国家和队伍参与美洲杯帆船赛,增加了比赛的竞争性和吸引力。

    Learn more:

    1. 历史上真实发生的帆船博弈 – 简书
    2. 美洲杯帆船赛:只有4个冠军的百年超级帆船赛| 世界帆船赛事巡礼②-中国帆船帆板运动协会
    3. 美洲杯帆船赛的知识 America’s Cup – 历史篇 – 知乎

    拼多多接住了淘宝撵走的小商家;

    拼多多抽水,淘宝捕鱼;

    淘宝的流量售卖对大商家过于友好;

    拼多多的仅退款,对小商家的流量友好;(这里可以展开讲)

人生梦想 - 关注前沿的计算机技术 acejoy.com