2021年7月29日星期四

服务器启用HSTS协议

  HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议,网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

  采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。

  服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。

  比如,https://www.williamlong.info 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:在接下来的一年(即31536000秒)中,浏览器只要向www.williamlong.info或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http 网址 ,浏览器应当自动将 http 转写成 https 网址。

  对于nginx服务器,只要在添加Strict-Transport-Security这个HTTP头部信息即可。

add_header Strict-Transport-Security "max-age=31536000";

  但有一点需要注意,Strict-Transport-Security中的max-age的时间不能小于15552000。

  对于windows server服务器,打开网站目录下的 web.config 这个文件,在相应的位置添加上针对 https 响应的 url 重写规则(黑体部分),并保存。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="redirect to HTTPS" enabled="true" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="^OFF$" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
                    redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                    <match serverVariable="RESPONSE_Strict_Transport_Security"
                        pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    </conditions>
                    <action type="Rewrite" value="max-age=31536000" />
                </rule>
            </outboundRules>

        </rewrite>
    </system.webServer>
</configuration>

服务器禁用TLS 1.0协议

  TLS(传输层安全性)1.0是一种过时的加密协议,只有少数网站继续使用TLS 1.0。微软在2018年宣布将在2020年停止使用TLS 1.0,并实施更安全的加密协议(TLS v1.1或更高版本)以满足PCI数据安全标准的要求,不过很多网站管理员没有意识到TLS 1.0存在重大漏洞,易受攻击,升级到新版本有助于确保每个人的Web安全性更高。

  在兼容性方面,禁用TLS 1.0协议之后,大多数是比较老旧系统上自带浏览器将不支持访问,如果是主流用户使用的Chrome、Firefox和其他浏览器基本都兼容。

  禁用的方法是:

  nginx服务器,执行下面的命令:

ssl_protocols                TLSv1.1 TLSv1.2 TLSv1.3;

  windows server服务器,修改注册表,复制下列代码保存为  .reg 文件格式,双击运行直接导入注册表,完成后重启服务器。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

  如果觉得修改注册表麻烦,还有一个简单的自动配置工具IISCrypto,下载该工具后,使用推荐配置即可完成安全设置,不选中TLS1.0即可,使用起来非常简单。

IISCrypto

2021年7月28日星期三

科技部拟加强科技伦理治理

  据科技部官网消息,近日,科学技术部科技监督与诚信建设司研究起草了《关于加强科技伦理治理的指导意见(征求意见稿)》,向社会公开征求意见。根据该征求意见稿,科技活动主管部门应强化科技伦理审查和监管,严肃查处科技伦理违规行为。

  征求意见稿提出,任何单位和个人开展科技活动不得危害社会安全、公共安全、生物和生态安全,不得对人的生命安全、身心健康、人格尊严等造成伤害,不得侵犯科技活动参与者的知情权和选择权。高等学校、科研机构、医疗机构、企业等是科技伦理违规行为调查处理的第一责任主体,应制定完善本单位调查处理相关规定,及时主动调查科技伦理违规行为,依法依规严肃追责问责。各地方、各行业主管部门应按照职责权限和隶属关系,加强对本地方、本行业科技伦理违规行为调查处理的指导和监督。

  此外,根据征求意见稿,相关行业主管部门、资助机构或责任人所在单位要区分不同情况,依法依规对科技伦理违规行为责任人给予责令停止相关科技活动,追回资助资金,撤销获得的奖励、荣誉,取消相关从业资格,限制一定期限直至永久承担或参与财政性资金支持的科技活动,一定期限或永久禁止从事相关科技活动等处理。科技伦理违规行为责任人属于公职人员的,依法依规给予处分;属于党员的,依法依规给予党纪处分。涉嫌违反法律法规的,依法移交监察、司法机关处理。

  以下为《关于加强科技伦理治理的指导意见(征求意见稿)》全文

  关于加强科技伦理治理的指导意见(征求意见稿)

  科技伦理是伦理思想在科学研究和技术开发等科技活动中的应用,是科技活动需要遵循的价值理念和行为规范,是科技事业健康发展的重要保障。为进一步加强科技伦理治理,有效防范科技创新可能带来的伦理风险,推动科技向善,实现高水平科技自立自强,提出以下意见。

  一、总体要求

  (一)指导思想。坚持促进创新与防范风险相统一、制度规范与自我约束相结合的治理原则,建立完善符合国情、国际接轨的科技伦理制度,塑造科技向善的文化理念,让科技更好造福人类,推动构建人类命运共同体。

  (二)基本要求。

  --伦理先行。推动科技伦理要求贯穿科学研究、技术开发等科技活动全过程,覆盖科技创新的各个领域。

  --敏捷治理。加强科技伦理的风险预警与跟踪研判,及时动态调整治理方式和伦理规范,快速、灵活应对科技创新带来的伦理挑战。

  --立足国情。立足中国科技发展的历史阶段及社会文化特点,遵循科技创新规律,建立健全符合中国国情的科技伦理体系。

  --开放合作。建立多方参与、协同共治的合作机制,凝聚共识,形成合力。坚持开放发展理念,积极推进全球科技伦理治理,贡献中国智慧和中国方案。

  二、明确科技伦理原则

  (一)增进人类福祉。科技活动应有利于促进经济发展、社会进步、民生改善和生态环境保护,坚持以人民为中心的思想,不断增强人民的获得感、幸福感、安全感,促进人类社会和平发展和可持续发展。

  (二)尊重生命权利。科技活动应尊重人的生命权利,最大限度地避免对人的生命安全、身体健康、精神和心理健康造成伤害或潜在威胁。尊重人格尊严和个人隐私。保障科技活动参与者的知情权和选择权,使其充分知情并理解相关风险和受益,自主选择是否参加或退出。注重保护实验动物。

  (三)坚持公平公正。科技活动应尊重宗教信仰、文化传统等方面的差异,公正、公平、包容地对待不同社会群体,防止歧视和偏见。

  (四)合理控制风险。科技活动应客观评估和审慎对待不确定性和技术应用的风险,力求规避、防范可能引发的风险,避免误用和防止滥用科技成果,避免危及社会安全、公共安全、生物和生态安全。

  (五)保持公开透明。科技活动应建立利益相关方和社会公众的合理参与机制,及涉及重大、敏感伦理问题的科技活动的披露机制。公布科技活动相关信息时应提高透明度,做到客观真实。

  三、构建科技伦理治理体制

  (一)完善政府科技伦理管理体制。国家科技伦理委员会指导和统筹协调推进全国科技伦理治理体系建设工作,是科技伦理最高咨询、审查、规制、组织协调机构。科技部承担国家科技伦理委员会秘书处日常工作,国家科技伦理委员会各成员单位按照职责分工负责科技伦理规范制定、审查监管、宣传教育等相关工作。地方各级政府和相关行业主管部门具体负责本地方、本系统科技伦理治理工作。

  (二)压实创新主体科技伦理管理主体责任。高等学校、科研机构、医疗机构、企业等单位要履行科技伦理管理主体责任,建立常态化工作机制,加强科技伦理日常管理,对本单位科技活动的伦理风险主动研判、及时化解。要根据实际情况建立本单位的科技伦理(审查)委员会,并为其独立开展工作提供必要的条件保障。从事生命科学、医学、人工智能等科技活动的机构,研究内容涉及科技伦理敏感领域的,应设立科技伦理(审查)委员会。

  (三)发挥科技类社会团体的伦理自律功能。学会、协会、研究会等科技类社会团体要与高等学校、科研机构、医疗机构和企业开展广泛合作,加强科技伦理知识的宣传普及,提高社会公众科技伦理意识;制定发布科技伦理指引,组织动员科技人员主动参与科技伦理治理,促进行业自律。

  (四)引导科技人员自觉遵守科技伦理要求。科技人员要主动学习科技伦理知识,增强科技伦理意识,自觉践行科技伦理原则,坚守科技伦理底线,对违背科技伦理要求的行为要主动报告、坚决抵制。科技项目(课题)负责人要严格按照科技伦理审查批准的范围开展研究,加强对团队成员和项目(课题)实施全过程的伦理管理,发布、传播和应用涉及科技伦理敏感问题的研究成果应当遵守规定、严谨审慎。从事科技伦理审查、评估、咨询等的科技人员要认真履职尽责,对发现的科技伦理风险和问题及时指出,加强指导、督促防范。

  四、健全科技伦理治理制度

  (一)细化科技伦理规范和标准。制定生命科学、医学、人工智能等重点领域的科技伦理规范、指南等,研制科技伦理相关标准,完善科技伦理标准体系,明确科技伦理要求,引导和规范科技人员合规开展科技活动。

  (二)完善科技伦理监管制度。明晰科技伦理的监管职责,完善科技伦理监管流程和科技伦理审查、风险处置、违规处理等监管规则。建立科技伦理(审查)委员会的设立标准、运行机制和内控制度等。不得把未经中国政府批准的认证机构的认证作为评价、考核或资助科技伦理(审查)委员会的标准或条件。

  (三)提高科技伦理治理法治化水平。加强科技伦理重点领域的立法研究,及时将重要的科技伦理规范上升为法律法规,强化对违背科技伦理要求行为的责任追究。

  (四)推进中国特色科技伦理理论体系建设。支持相关研究机构、智库、社会团体等开展科技伦理制度研究,前瞻研判科技发展带来的规则冲突和伦理挑战,积极推动和参与国际科技伦理规则制定和重大议题研讨。

  五、强化科技伦理审查和监管

  (一)严格科技伦理审查。开展科技活动应进行科技伦理风险评估或审查。涉及人、实验动物等伦理高风险的科技活动,必须经科技伦理(审查)委员会审查批准,不具备设立科技伦理(审查)委员会条件的单位,应委托其他科技伦理(审查)委员会开展审查。科技伦理(审查)委员会要坚持科学、独立、公正、透明的原则,开展科技伦理的审查、监督与指导,切实把好科技伦理关。相关单位要建立健全科技伦理审查的质量控制和评价监督机制,促进科技伦理(审查)委员会提高审查质量和效率。探索建立专业性科技伦理审查中心、区域性科技伦理审查机构。逐步建立科技伦理审查结果互认机制。

  建立健全突发公共卫生事件等紧急状态下的科技伦理应急审查机制,完善应急审查的程序、规则等,将科技伦理应急审查制度和能力建设纳入机制设计和治理框架,做到快速响应。

  (二)强化科技伦理监管。加快完善科技伦理监管框架,建立健全科技活动全流程科技伦理监管机制,加强对敏感领域的伦理高风险科技活动的动态跟踪、风险评估和伦理事件应急处置。任何单位、组织和个人不得资助违背科技伦理要求的科技活动。财政资金设立的科技计划(专项、基金等)应加强科技伦理监管,全面覆盖指南编制、审批立项、过程管理、结题验收、监督评估等各个环节。加强对国际合作研究活动的科技伦理审查和监管。研究制定科技伦理高风险活动清单。探索建立科技伦理(审查)委员会、重大伦理风险项目(课题)公开登记制度,实行部门监管、社会监督。

  (三)预警科技伦理风险。建立相关部门、研究机构、社会团体、企业等协同的科技伦理监测预警机制,跟踪监测新兴科技发展前沿动态,对可能带来的科技伦理风险开展研判、提出对策。

  (四)严肃查处科技伦理违规行为。任何单位和个人开展科技活动不得危害社会安全、公共安全、生物和生态安全,不得对人的生命安全、身心健康、人格尊严等造成伤害,不得侵犯科技活动参与者的知情权和选择权。高等学校、科研机构、医疗机构、企业等是科技伦理违规行为调查处理的第一责任主体,应制定完善本单位调查处理相关规定,及时主动调查科技伦理违规行为,依法依规严肃追责问责。各地方、各行业主管部门应按照职责权限和隶属关系,加强对本地方、本行业科技伦理违规行为调查处理的指导和监督。

  相关行业主管部门、资助机构或责任人所在单位要区分不同情况,依法依规对科技伦理违规行为责任人给予责令停止相关科技活动,追回资助资金,撤销获得的奖励、荣誉,取消相关从业资格,限制一定期限直至永久承担或参与财政性资金支持的科技活动,一定期限或永久禁止从事相关科技活动等处理。科技伦理违规行为责任人属于公职人员的,依法依规给予处分;属于党员的,依法依规给予党纪处分。涉嫌违反法律法规的,依法移交监察、司法机关处理。

  六、加强科技伦理教育和宣传

  (一)重视科技伦理教育。将科技伦理教育作为本科生、研究生相关教育的必修内容,开设科技伦理教育相关课程,教育青年学生树立正确的科技伦理意识,遵守科技伦理要求。完善科技伦理人才培养机制,加快培养具有科技和伦理复合背景的高素质、专业化的科技伦理人才队伍。

  (二)推动科技伦理培训机制化。将科技伦理培训纳入科技人员入职培训、承担科研任务、学术交流研讨等活动中,引导科技人员自觉遵守科技伦理要求,开展负责任研究与创新。行业主管部门、地方政府和相关单位应定期对科技伦理(审查)委员会成员开展针对性培训,提升其履职能力,保证伦理审查质量和效率。

  (三)抓好科技伦理宣传。开展面向社会公众的科技伦理宣传,鼓励公众自觉提升科技伦理意识,理性对待科技伦理问题。科技人员要主动与公众交流科技创新中的伦理问题。对存在公众认知差异、可能带来科技伦理挑战的科学研究,相关单位及科技人员等应加强科学普及,引导公众科学对待。新闻媒体应提高科技伦理素养,科学、客观、准确地报道科技伦理问题。鼓励各类学会、协会、研究会等搭建科技伦理宣传平台,传播科技伦理知识。

  七、组织实施

  各级党委和政府要高度重视科技伦理治理,强化底线思维,细化、落实党中央、国务院关于健全科技伦理体系,加强科技伦理治理的各项工作部署,完善组织领导机制,明确分工,扎实推进,着力防范科技创新带来的重大伦理风险。相关行业主管部门和各地方应定期向国家科技伦理委员会报告履行科技伦理监管职责工作情况并接受监督。

华为免去苏菁智能驾驶总裁职务:因对特斯拉发表不当言论

  华为今日发布的一封人事任免文件显示,免去苏菁智能驾驶产品部部长职务。苏菁将进入预备队接受训战和分配。资料显示,苏箐从海思芯片做起,曾领导开发了华为达芬奇AI芯片架构,后来担任华为汽车BU智能驾驶产品线总裁、首席架构师。

  华为方面对此回应称,苏箐在参加外部活动谈及自动驾驶技术与安全时,针对特斯拉,发表了不当言论,苏箐已就其个人不当言论进行了深刻检讨,但鉴于其言论造成的不良影响,公司决定免去苏箐智能汽车解决方案BU智能驾驶产品部部长职务。苏箐将去战略预备队接受训战和分配。

  该争议事件发生在日前的世界人工智能大会上,在谈及特斯拉的事故时,苏箐使用了“杀人”的字眼,引发争议。

  “机器进入人类社会和人类共生的时候机器是一定会造成事故率的,讲难听点就是‘杀人’,只是说我们要把它的事故概率降到尽量低。从概率上来说,这就是一件有可能发生的事。”他说。

  他还认为,在未来的一百年内,机器的智商都不会超过人类,而L5级自动驾驶(完全自动驾驶)在这辈子也很难实现。

  华为在回应称表示,尊重产业界每一个参与者在自动驾驶领域的努力与贡献,也希望与产业界共同推动自动驾驶技术的发展。

  稿源:新浪网

东京奥组委提示:不要咬奖牌

  “奖牌是不能吃的!”东京奥组委在推特上发出了这样一则“提示”。据东京奥组委26日在推特上发文,告诉运动员们“没必要咬”奖牌,因为东京奥运奖牌的材料是从电子设备中回收的。

  “我们想正式证实,2020东京奥运的奖牌是不能吃的!”东京奥组委写道,“我们的奖牌是由日本民众捐赠的电子设备的回收材料而制成的。所以你不必咬它们......但我们知道你们还是会咬。”

  报道介绍称,奥运会颁发黄金制的奖牌已经有100多年历史,过去人们往往用牙咬来测试奖牌是否足够柔软、能留下咬痕,因为假黄金会更加坚硬。

东京奥组委提示:不要咬奖牌

  报道还称,用回收金属来制作奖牌则是个新鲜事。2017年4月1日至2019年3月30日期间,东京奥运会主办方收集了近8万吨电子设备,包括621万部二手手机。他们从中提取了32公斤黄金、3500公斤白银和2200公斤青铜。

  而在此之前,东京奥运会上送给奖牌得主的花束也备受关注。据韩媒报道,这些花束的原产地是东日本大地震的受灾地区。报道称,东京奥组委旨在通过奥运会向全世界展现日本克服福岛核电站灾害的形象,准备了福岛产的花束,但确实有不少担忧核辐射的声音。

  稿源:环球网

2021年7月25日星期日

网易云音乐公告:承诺不签订网络音乐独家版权协议

  7月24日,国家市场监督管理总局依法对腾讯控股有限公司作出责令解除网络音乐独家版权等处罚。根据官方公布的信息显示,此前在2021年1月国家市场监管总局根据举报,依法对腾讯方面2016年7月收购中国音乐集团股权涉嫌违法实施经营者集中行为立案调查。

  对此,腾讯方面在随后发布公告称,已收到国家市场监督管理总局作出的关于腾讯控股有限公司收购中国音乐集团股权违法实施经营者集中案《行政处罚决定书》。并表示,"对于此决定,公司全面诚恳接受,将严格按照监管要求,就三十日内解除独家音乐版权、停止高额预付金的版权费用支付方式、无正当理由不要求上游版权方给予腾讯优于竞争对手的条件等制定整改方案,不折不扣按期完成整改。并将持续强化依法经营,不断加强合规体系建设,立足行业的创新与发展,更好地履行社会责任,为广大用户提供更优质的服务,促进数字音乐事业的长期健康发展。"

  与此同时,网易云音乐方面也发布公告称,坚决支持国家市场监督管理总局处罚决定,并承诺将积极履行平台责任,依法合规经营,坚决不与上游版权方签订网络音乐独家版权协议,抵制哄抬版权价格行为。

  以下为网易云音乐的公告全文:

  网易云音乐坚决支持国家市场监督管理总局处罚决定。网易云音乐认为,国家市场监督管理总局依法责令涉案公司解除网络音乐独家版权协议、停止高额预付金等版权费用支付方式、不得实施最惠国待遇条款等恢复市场竞争状态的措施,将持续改善中国网络音乐版权授权环境,引导版权价格回归理性,促进优秀音乐作品的广泛传播和用户音乐消费体验提升,推动产业接轨国际规则,提升我国音乐平台企业国际竞争力。

  网易云音乐承诺将积极履行平台责任,依法合规经营,坚决不与上游版权方签订网络音乐独家版权协议,抵制哄抬版权价格行为,全力维护网络音乐市场公平竞争环境,促进行业持续健康发展,为广大音乐爱好者提供更加优质的网络音乐播放服务。

  网易云音乐

  2021年7月24日

2021年7月23日星期五

腾讯被责令解除网络音乐独家版权

  据市场监管总局网站消息,2021年1月,市场监管总局根据举报,对腾讯控股有限公司(以下简称腾讯)2016年7月收购中国音乐集团股权涉嫌违法实施经营者集中行为立案调查。

  市场监管总局依据《反垄断法》,查清本交易违法实施集中的事实,充分评估参与集中的经营者在相关市场的份额、控制力、集中度以及集中对市场进入和消费者影响等因素。同时,广泛征求有关政府部门、行业协会、专家学者、同业竞争者意见,并多次听取腾讯陈述意见。

  调查表明,本案相关市场为中国境内网络音乐播放平台市场。正版音乐版权是网络音乐播放平台运营的核心资产和关键性资源。2016年腾讯和中国音乐集团在相关市场份额分别为30%和40%左右,腾讯通过与市场主要竞争对手合并,获得较高的市场份额,集中后实体占有的独家曲库资源超过80%,可能有能力促使上游版权方与其达成更多独家版权协议,或要求给予其优于竞争对手的交易条件,也可能有能力通过支付高额预付金等版权付费模式提高市场进入壁垒,对相关市场具有或者可能具有排除、限制竞争效果。

  根据《反垄断法》第四十八条、《经营者集中审查暂行规定》第五十七条规定,按照发展和规范并重的原则,市场监管总局依法作出行政处罚决定,责令腾讯及关联公司采取三十日内解除独家音乐版权、停止高额预付金等版权费用支付方式、无正当理由不得要求上游版权方给予其优于竞争对手的条件等恢复市场竞争状态的措施。腾讯三年内每年向市场监管总局报告履行义务情况,市场监管总局将依法严格监督其执行情况。

  本案为我国《反垄断法》实施以来对违法实施经营者集中采取必要措施恢复市场竞争状态的第一起案件。责令腾讯解除独家版权等措施将重塑相关市场竞争秩序,降低市场进入壁垒,使竞争者均有公平触达上游版权资源的机会,有利于将竞争的焦点从利用资本优势抢夺版权资源回归到创新服务水平、提高用户体验的理性轨道上来;有利于推动与国际接轨的合理方式计算版权费用,减轻下游运营成本;有利于培育新的市场进入者,并为现存企业创造更公平的竞争环境,保障消费者选择权,最终惠及广大消费者,促进网络音乐产业规范创新健康发展。

  稿源:央视网