据Google LatLong报道,最近Google Earth新增加了一个有趣的图层,叫做“Weather(天气)”图层,可以在Google Earth中实现查看全球天气预报的功能。
点击Weather(天气)图层后,可以看到图层包含了三个分类(云彩、雷达、天气预测),以及一个Information(信息)链接,“云彩”图层每小时描绘了全球当前的云层状况,主要的卫星气象学家会通过云层来分析和计算天气情况。“雷达”图层包含了一个接近实时的多普勒雷达图像(多普勒天气雷达是目前世界上最先进的气象雷达,也称下一代天气雷达,应用于气象、民航等部门)。
“天气预报”的图层提供了预报未来天气和温度的数据,全球天气预报的的数据来源于美国的Weather.com网站,天气预测信息每隔几个小时就更新一次。
根据我的观察,天气预测数据在中国地区也可以使用,其界面如下图所示,显示是全英文的(即使使用繁体中文的Google Earth也一样),不过数据似乎和中国Google提供的天气数据不太一致,不知道哪个较为准确。
最后是一则快讯,Google BlogSpot又被和谐了,电信线路。
据Panoramio官方博客报道,自从上次同步之后,虽然十月份Panoramio照片数据和Google Earth的更新取消了,但是昨天Panoramio还是和Google Earth再次同步了照片数据,现在,最新的50万张Panoramio照片已经被添加到了Google Earth中。现在,Google Earth中的照片已经超过了250万张。下次照片同步的时间是12月10日。
现在从Google Earth中可以直接点击链接修改Panoramio照片中错误的坐标数据,Panoramio这么做是为了更方便大家协同享用Panoramio地理照片数据。
最后,Panoramio官方新开了一个中文论坛,不过目前看起来似乎人气不太旺。
USB Key是一种USB接口的硬件存储设备。USB Key的模样跟普通的U盘差不多,不同的是它里面存放了单片机或智能卡芯片,USB Key有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法可以实现对用户身份的认证。目前USB Key被广泛应用于国内的网上银行领域,是公认的较为安全的身份认证技术。
USB Key在网上银行中,被用作客户数字证书和私有密钥的载体,在网络上鉴别用户身份处于极其关键的地位。而网上银行首要的关键问题就是安全,安全是所有一切的基础,没有安全的网银还不如没有网银。一些新闻报道的国内某某银行几十万资金通过网银被盗,都给网上银行带来巨大的负面影响,让人对于USB Key的网上银行认证的安全性产生怀疑和顾虑。
本文将从技术的角度出发,详细论述一下目前中国网上银行使用的USB Key的安全性以及可能存在的风险和漏洞。当然,一个网银系统的安全,涉及到的理论知识非常多,不仅仅要懂得大学课程《密码学》的全面知识,还要知道最新加密锁和USB Key的产品动态,进行全面的网银评测并不是那么简单的事情。本文也仅仅起个抛砖引玉的作用,欢迎各方高手继续补充和讨论。
行业安全专家基本都公认USB Key是安全可靠的,那么USB Key为什么是安全的呢?目前有几个重要的性能指标能够说明USB Key的安全性。
1、硬件PIN码保护
黑客需要同时取得用户的USB Key硬件以及用户的PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USB Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB Key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。
2、安全的存储介质
USB Key的密钥存储于安全的介质之中,外部用户无法直接读取,对密钥文件的读写和修改都必须由USB Key内的程序调用。从USB Key接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。
3、公钥密码体制
公钥密码体制和数字证书从密码学的角度上保证了USB Key的安全性,在USB Key初始化的时候,先将密码算法程序烧制在ROM中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,公钥可以导出到USB Key外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成,全过程中私钥可以不出USB Key介质,以此来保证以USB Key为存储介质的数字证书认证在安全上无懈可击。
4、硬件实现加密算法
USB Key内置CPU或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key内进行,保证了用户密钥不会出现在计算机内存中。
以上几点是USB Key在理论上安全性的技术保证,但是从技术角度分析,这些安全性能指标往往也存在一些容易被忽视的漏洞。
1、硬件PIN码就绝对安全吗?
目前的大多数银行使用的USB Key的PIN吗都是从电脑上输入的,因此黑客可以通过木马程序直接拦截到USB Key的PIN码,这也是目前大多数USB Key存在的一个漏洞。知道了PIN码后,如果用户忘记将USB Key从电脑上取出,那么黑客还可以进一步通过PIN码来操作USB Key.一个非常极端的情况,当个人用户的电脑已经完全被黑客远程控制,并且所有键盘和屏幕的操作都会被拦截的时候,目前的USB Key是否还能保证安全交易呢?我看未必,因为此时USB Key的PIN码已经完全可能会被黑客拦截,当用户操作完一次USB Key后,假如没有立即拔出USB Key,那么黑客完全可能在这个间歇期伪造一次交易,而此时USB Key以及PIN码都可以验证通过。
2、外部真的无法读取Key内部的密钥吗?
USB Key的密钥从“理论”上讲是无法从外部直接读取的,这个“理论”上指的是设计上要绝对安全,如果设计和编写USB Key操作系统COS的人在COS上留了后门,那么这个人就可以从外部读取Key内部的密钥。
3、数字证书
公钥密码体制的确是很安全的,通过复杂的证书管理体系来增加破解的难度,但是数字证书是否是第三方CA机构发放的呢?有些银行的数字证书竟然是银行自己发放的,这就让PKI安全认证大打折扣了。
4、如何保证通讯安全
虽然USB Key内置CPU或智能卡芯片可以完成加密运算,但是数据从电脑上传入USB Key的过程中还是有可能被拦截和修改,USB Key内置的CPU只能保证自身的运算安全,却难以保证数据传入前不被修改。
那么,理想中安全的USB Key应该是什么样子的呢?
1、针对现有USB Key的键盘输入PIN码的漏洞,可以使用生物技术(例如个人指纹)来替换键盘录入PIN码。
也就是说,交易时候接入USB Key,我们不需要再到键盘录入PIN码来验证身份,我们只需要在USB Key的设备上按一下指纹,就能自动验证个人身份,这种身份验证机制带来的安全性和实用性是一种跨时代的提高,用户不可能再忘记密码了,只需要验证指纹即可,指纹的验证实在外部设备上进行的,电脑即使被黑客完全控制也无法截取到用户的指纹,从而保证了PIN码的唯一性和安全性。
2、通过管理或者审计防止COS在设计上留有后门。
3、数字证书应该由独立于用户和银行以外的权威的第三方安全认证机构CA发放,不能由银行自己发放。
4、交易金额从USB Key上录入,以防止数据在传入USB Key之前被篡改。
如果采用了以上我所说的这些安全措施,那么USB Key的安全就可以说达到了“无懈可击”的地步了,实际的安全性可以得到本质上的提高。
当然我也知道,更加安全的USB Key必然会导致其成本的上升,不利于大规模的推广应用,目前智能卡的USB KEY成本已经超过50元,商业银行发布给最终客户的USB Key的价格则会更高,比如招商银行的USB Key需要88元的费用,而工商银行的USB Key需要76元的费用,增加这些新的安全措施带来的成本还是相当大的,在实际应用中需要低成本的替代方案才是现实可行的。
那么,对于现有USB Key,如何更安全的操作呢?我的建议如下:
1、和银行确认存在USB Key中的数字证书是唯一的,用户应该把USB Key随身携带。
2、经常扫描一下电脑是否有木马病毒或者被远程控制。
3、没事不要在电脑接入USB Key,只有在交易的时候接入。
4、交易的时候接入USB Key,输入PIN码交易完成后,立即取走USB Key。
如果用户使用招行和工行的USB Key时候能够像我建议的这样操作,那么也可以在现有的硬件基础上,安全性会得到进一步提高。
总而言之,目前的USB Key的主要优点是具有CPU,类似加密锁或加密狗,能够进行RSA等加密算法运算,私钥无法读取,成本上有一定优势,因此在网络认证等领域得到广泛的应用,越来越多的人将会采用USB Key作为日常理财或进行其它网络交易的工具,而作为国内在此领域应用最早、最成熟且最具潜力的网上银行应用,在技术和应用方面都应该先人一步,及时找到USB Key潜在安全漏洞的补救方法。
据国外媒体报道,微软Windows Live服务和应用本周二取消了“Beta”标签,这意味着该产品已经成为正式版本。今天开始,微软的Live信箱已经全面开放注册,注册后可以获得免费的5GB的电子信箱。
和Yahoo信箱一样,微软的Live信箱在中国和美国使用不相同的帐号,live.cn和live.com属于两个不同的帐号,中国大陆用户注册默认只是能注册live.cn的帐号,不过大家可能都想要注册一个live.com的帐号。注册live.com的帐号也很简单,先注销所有的live帐号,然后点这个地址注册即可。
注册完成后即可获得Live Hotmail,微软的Live Hotmail拥有5G的空间,目前比Gmail稍大一些,预计微软将通过Windows Live战略全面整合微软服务软件产品的Live Hotmail、Live Workspace、Live Spaces、Live Writer、Live Domain、Live Messenger等产品。
另外,微软今天还发布了包含Live Messenger 8.5、Live Mail 1.0、Live Photo Gallery 1.0、Live Writer 2008的独立安装包Windows Live Suite,将多种Windows Live程序和服务融合在了一起,点这里可以下载。
在Windows Live Suite套件中,包括单独下载的以下软件:
Windows Live Mail
Windows Live Photo Gallery
Windows Live Writer
Windows Live OneCare Family Safety
Windows Live Messenger
Windows Live Toolbar
以下就是这次 Windows Live Suite beta 各组件更新的细节。
Windows Live Photo Gallery:
通过 Windows Live Photo Gallery 上传照片于 Windows Live Spaces 共享
通过 Windows Live Photo Gallery 上传视频于 MSN Soapbox 共享
从数码相机中导出照片,并自动归类
创建全景照片
支持简单的照片编辑功能
Windows Live Mail beta Build:
改善自定义工具栏和格式化的功能
改善性能,PhotoMail ,联系人,安全等诸多方面
Windows Live Messenger:
增强与 Family Safety 的整合
改善性能和安全性
Windows Live Writer:
市场扩展至33种语言,55个国家
增强插入视频功能,增加支持 MSN Soapbox
XHTML 标记语言和文字markup and justified text alignment
允许 Blogger 用户上传图片至 PicasaWeb 相册
允许打印文章
支持不同市场和语言的特定 tag 服务提供商
Windows Live OneCare Family Safety:
Family Safety 支持 Live Mail, Messenger 和 Spaces
据AdSense官方博客报道,今天Google AdSense推出了新的“广告管理功能”,新的广告管理增加了“广告单元”这个概念,生成广告代码会增加一个广告单元名称,接着就可以在“管理广告”页面上直接进行修改广告样式。
广告单元的最大好处是,只需要修改设置好AdSense单元后,放在网站上的广告就能否自动改变样式,大为减轻了修改广告所花费的成本。
目前广告管理功能还不能修改广告单元的尺寸,要修改尺寸您需要通过“获取广告”页面重新生成广告代码。
据新浪科技报道,Google于今天宣布33家终端和运营企业加入开放手机联盟(Open Handset Alliance),将共同开发名为Android的开放源代码的移动系统。Google、中国移动、T-Mobile、宏达电、高通、摩托罗拉等领军企业将通过开放手机联盟携手开发Android。
开放手机联盟旨在开发多种技术,大幅削减移动设备和服务的开发和推广成本。Android是一个完全整合的移动软件系统,包括一个操作系统、中间件、便于用户使用的界面以及各类应用。手机厂商和移动运营商可以自由定制Android,基于Android平台的第一部手机将于2008年下半年正式推出。
Google董事长兼CEO施密特(Eric Schmidt)说:“过去几周引起媒体纷纷猜测的Google手机,我们希望这个功能强大的平台褪去面纱之后,能够帮助数十家厂商生产的上万部手机。”
宏达电CEO周永明表示,2008下半年整合Android平台,公司产品阵容扩展至全新类型的互联网移动电话领域。此前盛传的宏达电将代工Gphone由此得到证实。
移动手机联盟创始成员
Ascender、Audience、Broadcom、中国移动、eBay、Esmertec、Google、宏达电、英特尔、KDDI、LG、Marvell、摩托罗拉、NMS、NTT DoCoMo、Nuance、Nvidia、PacketVideo、高通、SiRF、SkyPop、Sonic Network、Sprint Nextel、Synaptics、TAT、意大利电信、西班牙电信、德州仪器、T-Mobile和Wind River。
Google的手机发展方案令众多Google Fans有点遗憾的是,Google无意制造手机,也不打算贴牌。即便如此,极具开放性的操作系统仍然足以让业界吃惊。“今天的发布,比媒体此前揣测的任何Google手机都更具雄心。”Google首席执行官埃里克·施密特昨天说:“我们的远景是,推出一个强大的操作平台,驱动成千上万种手机品牌。”
前段时间,谷歌治印收到来自Google的信,据说是该站点URL地址包含Google,因此禁止投放Adsense,同样被禁止的还有Google Operating System,也是因为URL地址带有Google,这一连串动作,不禁引起了广大Google Fans的困惑。
之后从blogoscoped得到事情的最新发展,最终Google Operating System解封了,谷歌治印也同样解封了,此次事件应该是圆满解决。不过尽管如此,这件事情也给广大的Google Fans明确了所谓的Google品牌特征的授权使用的问题。
Google品牌特征的授权问题我以前在使用AdWords的时候也碰到过,现在AdSense也有同样的问题,根据Google AdSense技术支持邮件反馈给我的信息,Google在其AdWords和AdSense中有明确的使用规则:针对Google的商标,Google的政策是发布商不得在展示Google广告的网站上突出显示“Google 品牌特征”。Google 品牌特征包括 Google 徽标、产品截图及其他显著特征。另外,发布商不得在网址中包含 Google 商标或对 Google 页(包括搜索结果页)进行加框链接的网站上展示 Google 广告。
而Google AdWords则更为严格,Google AdWords的技术支持告诉我,未经明确书面许可,Google禁止用户在其网站上使用Google的徽标或其徽标的变体。如果要使用的话,需要将使用的Google徽标链接到Google相应的网页上。
Google AdWords的技术支持还说,从Google的角度上来讲,Google禁止第三方的网站未经允许而使用Google公司的商标,因为该未经允许擅自使用行为已构成商标侵权及不正当竞争,并使消费者误认为该网站(公司)与Google公司之间存在某种关联,从而弱化了Google作为商标和商号用来识别Google搜索引擎的唯一标志的影响力。
对于这方面的详细解释,Google专门有一个页面“第三方使用 Google 品牌特征指导原则”来详细描述这类情况。简而言之,Google不希望第三方网站未经许可而暗示Google在支持他们或者与其有隶属关系,以免误导用户或者消费者。
因此,我建议如果大家的网站需要使用AdWords或者AdSense,那么请尽量实行一下我的以下建议:
1、尽量不注册包含Google的域名,尽量不使用包含Google的子域名。
尽管这次的两则事件都得到的解决,但是使用带有Google的域名或子域名依旧带有相当大的风险,可能有不可预知的法律问题,因此尽量不要使用。
2、明确的在网站的首页的第一屏注明此网站和Google没有任何关系。
例如GOS注明“Unofficial news and tips about Google”,我在月光博客和Google Earth观察都注明“this site is not sponsored by or affiliated with google”,以避免误导和暗示用户Google在支持这个网站或者与其有隶属关系。
3、使用AdWords的话,就不要在网站出现Google的徽标,使用AdSense的话,要使用符合要求的Google徽标。
符合要求的徽标指的是,仅使用经Google批准的图形或LOGO,不对其进行修改,Google徽标与网页上其他图形或文本留有一定间距。
总而言之,大的原则就是不要暗示用户自己的网站得到Google的支持、赞助、授权,或者和Google有关联或隶属关系。
不过换个角度来看,Google也不应该让法律部来处理和Google Fans之间的不同意见,毕竟Blogger对于法律并不是很了解,从感情上讲,大多数写Google的Blogger相信都不会对Google有恶意,想来也不会做出什么对Google品牌有什么负面影响的事情,Google如果因为这些小问题和广大的Google Fans发生一些争端,那就显得非常不明智了。
