微信回应“发送原图泄露位置信息”

　　近日，据央视新闻客户端报道称，微信发送照片时选择“原图”传送会暴露个人的位置信息，经过修图软件处理后仍有显示。拍照时软件调用Exif中的GPS全球定位系统数据，这些来自于手机内部的传感器以及陀螺仪的数据，把拍照时的位置时间等记录下来。

　　对此，微信官方公众号回应称，当用户把原始图片发送给其他人时，所附带的信息也一并发出去。所谓的地理位置信息泄露，与微信无关。而用户在朋友圈发送的图片已不带位置信息。同时也提醒用户，注意个人信息保护，在智能手机“设置”中，关闭定位服务等隐私相关功能。

　　以下为微信声明原文：

　　我们关注到最近网上出现关于“微信发送原图泄露隐私”的传言，我们对此说明如下：

　　如今，任何智能手机拍摄的照片，都含有Exif参数，可以调用GPS全球定位系统数据，在照片中记录下位置、时间等信息。

　　当用户把原始图片发送给其他人时，所附带的信息也一并发出去了。无论用微信、短信、邮件，抑或是其他传输工具，都是如此。严格来说，所谓的地理位置信息泄露，与微信无关。而部分公众号将其归因于微信，严重误导，给广大用户造成了恐慌。

　　此外，用户在朋友圈发送的图片都经过了系统自动压缩，不是原始图片，已不带位置信息。部分帐号声称“通过朋友圈图片完整展示了一天踪迹”，纯属子虚乌有。

　　我们希望公众帐号能够审慎甄别信息，避免夸大事实，给公众和企业带来不必要的伤害；也提醒广大用户，注意个人信息保护，可在智能手机“设置”中，关闭定位服务等隐私相关功能。

在Apache下部署SSL证书实现HTTPS

　　HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。谷歌已经制定了一项长远的计划，它的最终目标是将所有通过HTTP协议呈现的网页标为“不安全”，对于站长来说，部署SSL证书来迁移到HTTPS是一个现实和重要的问题，那么，对于Apache系统来说，如何部署SSL证书实现HTTPS协议呢？下面就讲述一下具体的实现方法。

　　安装好Apache, 并且确认是否安装ssl模块，如果没安装的话，使用yum install mod_ssl openssl来安装ssl模块。

　　之后，申请并下载SSL证书文件。通常来说有四个文件，分别是：证书文件ca.pem、证书私钥文件ca.key、证书公钥文件public.pem、证书链文件chain.pem。

　　( 1 ) 在Apache的安装目录下创建cert目录，并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件，请将对应的私钥文件放到cert目录下并且命名为ca.key；

　　( 2 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件，找到以下内容并去掉“#”：

　　#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
　　#Include conf/extra/httpd-ssl.conf

　　( 3 ) 打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf，与操作系统及安装方式有关)， 在配置文件中查找以下配置语句:

　　# 添加 SSL 协议支持协议，去掉不安全的协议
　　SSLProtocol all -SSLv2 -SSLv3
　　# 修改加密套件如下
　　SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
　　SSLHonorCipherOrder on
　　# 证书公钥配置
　　SSLCertificateFile cert/public.pem
　　# 证书私钥配置
　　SSLCertificateKeyFile cert/ca.key
　　# 证书链配置，如果该属性开头有 ''#''字符，请删除掉
　　SSLCertificateChainFile cert/chain.pem

　　( 4 ) 设置虚拟主机

　　一如你为 http 在端口 80 上设立 VirtualHost，你亦可为 https 在端口 443 上作样似的设置。一个在端口 80 上的网站的典型 VirtualHost 有如下样子

　　<VirtualHost *:80>
　　<Directory /var/www/vhosts/yoursite.com/httpdocs>
　　AllowOverride All
　　</Directory>
　　DocumentRoot /var/www/vhosts/yoursite.com/httpdocs
　　ServerName yoursite.com
　　</VirtualHost>

　　要在端口 443 上增加一个姊妹网站，你需要在你的文件顶部加入下列内容

　　NameVirtualHost *:443

　　然后再加入一个类似如下的 VirtualHost 记录：

　　<VirtualHost *:443>
　　SSLEngine on
　　SSLCertificateFile /etc/pki/tls/certs/ca.crt
　　SSLCertificateKeyFile /etc/pki/tls/private/ca.key
　　<Directory /var/www/vhosts/yoursite.com/httpsdocs>
　　AllowOverride All
　　</Directory>
　　DocumentRoot /var/www/vhosts/yoursite.com/httpsdocs
　　ServerName yoursite.com
　　</VirtualHost>

　　最后，使用如下指令重新启动 Apache ， 即可实现网站的HTTPS功能。

　　/etc/init.d/httpd restart

在IIS下部署SSL证书实现HTTPS

　　HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。谷歌已经制定了一项长远的计划，它的最终目标是将所有通过HTTP协议呈现的网页标为“不安全”，对于站长来说，部署SSL证书来迁移到HTTPS是一个现实和重要的问题，那么，对于IIS系统来说，如何部署SSL证书实现HTTPS协议呢？下面就讲述一下具体的实现方法。

　　IIS6

　　对于IIS6来说，支持PFX格式证书，下载包中包含PFX格式证书和密码文件。

　　（ 1 ） 证书导入

　　开始 -〉运行 -〉MMC；

　　启动控制台程序，选择菜单“文件”中的“添加/删除管理单元”-> “添加”，从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”；

　　在控制台的左侧显示证书树形列表，选择“个人”->“证书”，右键单击，选择“所有任务”-〉“导入”， 根据“证书导入向导”的提示，导入PFX文件 （此过程当中有一步非常重要： “根据证书内容自动选择存储区”）。

　　安装过程当中需要输入密码为当时设置的密码。导入成功后，可以看到证书信息。

　　（ 2 ） 分配服务器证书

　　打开IIS管理器（或开始-运行-输入inetmgr-回车）。

　　选择网站，右键打开“属性”，选择“目录安全性”，点击“服务器证书”。

　　根据证书配置向导，点击“下一步”。

　　如果已经完成了“证书导入”，则选择“分配现有证书”，选择已经导入的证书即可。

　　否则，选择“从。pfx文件导入证书”，点击下一步。

　　浏览选择。pfx格式的证书文件，点击“下一步”。

　　输入证书的密码，并继续下一步。

　　确认SSL端口为：443，点击下一步，并完成IIS证书配置。

　　可通过“查看证书”，确认证书是否导入成功。

　　IIS7/8

　　IIS 7/8 支持PFX格式证书，下载包中包含PFX格式证书和密码文件。

　　（ 1 ） 证书导入

　　开始 -〉运行 -〉MMC；

　　启动控制台程序，选择菜单“文件”中的“添加/删除管理单元”-> “添加”，从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”；

　　在控制台的左侧显示证书树形列表，选择“个人”->“证书”，右键单击，选择“所有任务”-〉“导入”， 根据“证书导入向导”的提示，导入PFX文件 （此过程当中有一步非常重要： “根据证书内容自动选择存储区”）。安装过程当中需要输入密码为当时设置的密码。导入成功后，可以看到证书信息。

　　（ 2 ） 分配服务器证书

　　打开 IIS7/8管理器面板，找到待部署证书的站点，点击“绑定”。

　　选择“绑定”->“添加”->“类型选择 https” ->“端口 443” ->“ssl 证书(导入的证书名称)” ->“确定”，SSL 缺省端口为 443 端口。点“确定”即可绑定成功。

　　可通过“查看证书”，确认证书是否导入成功。

2017年美国移动应用报告解读

　　互联网信息服务提供商comScore发布《2017年美国移动应用报告》得出结论称，应用程序正支配着消费者的数字媒体习惯，但让人们尝试新应用仍然是一个艰难的过程。报告中数据显示，目前消费者57%的数字媒体时间消耗在移动应用中。其中，智能手机应用所占时间比例为50%，桌面应用占了34%，移动网络应用（智能手机+平板电脑）占9%，平板电脑应用仅为7%。

　　在年轻用户中，使用移动应用与数字媒体打交道的比例更高。comScore发现，在18岁至24岁人群中，2/3年轻人的数字媒体时间都花费在使用智能手机应用上。无需感到惊讶，这个比例在年龄较大的用户群中稳步下降，65岁及以上老年人中，只有27%的人将数字媒体时间耗在智能手机应用上。

　　除了数字媒体时间，18岁到24岁之间的千禧一代通常都在大量使用应用。例如，他们每天花在应用上的时间超过3个小时。而25岁到34岁的人花在应用上的时间平均为2.6个小时，35岁到44岁的人则为2.3个小时。

　　与这些关于应用持续流行和频繁使用的发现相比，用户明显并不急于尝试新的应用。comScore说，大多数用户（51%）在一个月内甚至没有下载任何应用。

　　另外49%的人平均每月下载1款或多款应用，其中13%的人下载一款应用，11%的人下载2款应用，8%的人下载3款应用，5%的人下载4款应用，7%的人下载5到7款应用，5%的人下载8款或更多应用。

　　报告还发现，正是千禧一代（18-34岁）推动了人们对新应用下载的兴趣。其中，70%的人说他们总是在寻找新的应用，而且他们愿意为此付钱。1/5的用户每月平均下载一款付费应用，几乎半数人每年在应用内进行5次或以上购物。

　　其他年龄段的人对新应用没什么兴趣，比如在35岁到54岁的人中，只有37%的人对新应用和有趣的应用感兴趣。大多数人（66%）人每月购买付费应用的数量为零，58%的人从不在应用内购物。更糟糕的是，他们也经常删除设备上已经拥有的应用。

　　虽然有57%的千禧一代表示，他们下载新应用的频率比删除旧应用更高，但在35岁到54岁的人中，只有30%的人这样做。许多人称，他们之所以删除应用，是因为他们根本不使用它们，他们的兴趣已经减弱，他们的手机需要清理，或者因为他们需要更多的存储空间。

　　这并不是第一个发现大多数用户都没有下载新应用的报告。comScore早在2014年就发现了这一趋势，去年9月发布的报告也提到了这种现象。这种趋势并没有随着时间推移而改变。报告称，就日常使用而言，应用正达到饱和点。Facebook和谷歌的应用在前10大应用中占据了8个位置，对大多数人来说它们已经足够使用了。

　　如今，大多数应用用户每月访问的应用都在20个以下，而他们最常用的应用占了他们使用应用所花费的时间的一半。他们最常用的10大应用几乎占了使用应用的所有时间。这对新应用来说是个糟糕的消息，它们的成长空间非常有限。

　　即使是像Snapchat这样的应用取得突破，但也没有在老用户的手机上找到牵引力。这类应用在18岁到24岁年轻人中排在第三位，在25岁到34岁的人群中排名第六位，但在34岁以上的用户中，没有排入前八行列。

　　这些数据让人觉得，除了千禧一代，为其他人开发新的应用似乎没有什么意义，因为千禧一代是唯一显示出对下载更多应用感兴趣、有支付意愿以及大规模采用新应用能力的群体。

　　这份报告还更深入地研究了这个年轻群体的其他习惯，甚至注意到一些奇怪的地方，比如他们如何删除图标看起来很糟糕的应用，如何将应用组织到文件夹中，以及如何在他们的设备上安排应用以方便使用拇指操作等。

　　稿源：新浪科技

评论实名制：禁的就是评论

　　网信办8月25日公布《互联网跟帖评论服务管理规定》，自2017年10月1日起施行。《规定》共计十三条。第一条至第三条，对目的依据、适用范围、监管主体作出规定。第四条，对跟帖评论新产品新应用新功能进行安全评估作出规定。第五条，对跟帖评论服务提供者主体责任作出规定。第六条，对跟帖评论服务提供者及其用户自律作出规定。第七条，对跟帖评论服务提供者及其从业人员不得干预舆论作出规定。第八条和第九条，对跟帖评论服务提供者加强用户管理作出规定。第十条，对建立公众投诉和举报制度作出规定。第十一条和第十二条，对违反《规定》的行为的法律责任作出规定。第十三条，对公布实施作出规定。

　　《互联网跟帖评论服务管理规定》里最关键的一条就是“评论实名制”，要求网站按照“后台实名、前台自愿”原则，对注册用户进行真实身份信息认证，不得向未认证真实身份信息的用户提供跟帖评论服务。

　　对于大中型网站来说，这意味着网民必须提交并验证手机号码才能注册一个用户，实际上目前大中型网站已经这么做了，影响不大。

　　对于小网站来说，实现评论实名制很困难。

　　具体小网站怎么实现实名制，省新闻办的人曾和我交流过，他们的意见是：要么关闭评论，要么评论时候填写手机号码，并且提交手机短信验证码，验证码正确的才能发布评论。

　　一般小网站的站长就是花几百元租个虚拟主机做个小博客，而手机验证码发送成本，按照一条短信6分钱算，100条评论就6元钱，遇上同行来捣乱的给你刷个几千条，估计没几个小网站能受得了，最后只能禁止评论。

　　很好，目的就是为了让你禁止评论。

网信办：网站不得向未实名认证用户提供跟帖评论服务

　　网信办8月25日公布《互联网跟帖评论服务管理规定》，自2017年10月1日起施行。明确网站要按照“后台实名、前台自愿”原则，对注册用户进行真实身份信息认证，不得向未认证真实身份信息的用户提供跟帖评论服务。

　　《规定》共计十三条。第一条至第三条，对目的依据、适用范围、监管主体作出规定。第四条，对跟帖评论新产品新应用新功能进行安全评估作出规定。第五条，对跟帖评论服务提供者主体责任作出规定。第六条，对跟帖评论服务提供者及其用户自律作出规定。第七条，对跟帖评论服务提供者及其从业人员不得干预舆论作出规定。第八条和第九条，对跟帖评论服务提供者加强用户管理作出规定。第十条，对建立公众投诉和举报制度作出规定。第十一条和第十二条，对违反《规定》的行为的法律责任作出规定。第十三条，对公布实施作出规定。

　　以下为《规定》全文：

　　互联网跟帖评论服务管理规定

　　第一条 为规范互联网跟帖评论服务，维护国家安全和公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》，制定本规定。

　　第二条 在中华人民共和国境内提供跟帖评论服务，应当遵守本规定。

　　本规定所称跟帖评论服务，是指互联网站、应用程序、互动传播平台以及其他具有新闻舆论属性和社会动员功能的传播平台，以发帖、回复、留言、“弹幕”等方式，为用户提供发表文字、符号、表情、图片、音视频等信息的服务。

　　第三条 国家互联网信息办公室负责全国跟帖评论服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域的跟帖评论服务的监督管理执法工作。

　　各级互联网信息办公室应当建立健全日常检查和定期检查相结合的监督管理制度，依法规范各类传播平台的跟帖评论服务行为。

　　第四条 跟帖评论服务提供者提供互联网新闻信息服务相关的跟帖评论新产品、新应用、新功能的，应当报国家或者省、自治区、直辖市互联网信息办公室进行安全评估。

　　第五条 跟帖评论服务提供者应当严格落实主体责任，依法履行以下义务：

　　（一）按照“后台实名、前台自愿”原则，对注册用户进行真实身份信息认证，不得向未认证真实身份信息的用户提供跟帖评论服务。

　　（二）建立健全用户信息保护制度，收集、使用用户个人信息应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　（三）对新闻信息提供跟帖评论服务的，应当建立先审后发制度。

　　（四）提供“弹幕”方式跟帖评论服务的，应当在同一平台和页面同时提供与之对应的静态版信息内容。

　　（五）建立健全跟帖评论审核管理、实时巡查、应急处置等信息安全管理制度，及时发现和处置违法信息，并向有关主管部门报告。

　　（六）开发跟帖评论信息安全保护和管理技术，创新跟帖评论管理方式，研发使用反垃圾信息管理系统，提升垃圾信息处置能力；及时发现跟帖评论服务存在的安全缺陷、漏洞等风险，采取补救措施，并向有关主管部门报告。

　　（七）配备与服务规模相适应的审核编辑队伍，提高审核编辑人员专业素养。

　　（八）配合有关主管部门依法开展监督检查工作，提供必要的技术、资料和数据支持。

　　第六条 跟帖评论服务提供者应当与注册用户签订服务协议，明确跟帖评论的服务与管理细则，履行互联网相关法律法规告知义务，有针对性地开展文明上网教育。

　　跟帖评论服务使用者应当严格自律，承诺遵守法律法规、尊重公序良俗，不得发布法律法规和国家有关规定禁止的信息内容。

　　第七条 跟帖评论服务提供者及其从业人员不得为谋取不正当利益或基于错误价值取向，采取有选择地删除、推荐跟帖评论等方式干预舆论。

　　跟帖评论服务提供者和用户不得利用软件、雇佣商业机构及人员等方式散布信息，干扰跟帖评论正常秩序，误导公众舆论。

　　第八条 跟帖评论服务提供者对发布违反法律法规和国家有关规定的信息内容的，应当及时采取警示、拒绝发布、删除信息、限制功能、暂停更新直至关闭账号等措施，并保存相关记录。

　　第九条 跟帖评论服务提供者应当建立用户分级管理制度，对用户的跟帖评论行为开展信用评估，根据信用等级确定服务范围及功能，对严重失信的用户应列入黑名单，停止对列入黑名单的用户提供服务，并禁止其通过重新注册等方式使用跟帖评论服务。

　　国家和省、自治区、直辖市互联网信息办公室应当建立跟帖评论服务提供者的信用档案和失信黑名单管理制度，并定期对跟帖评论服务提供者进行信用评估。

　　第十条 跟帖评论服务提供者应当建立健全违法信息公众投诉举报制度，设置便捷投诉举报入口，及时受理和处置公众投诉举报。国家和地方互联网信息办公室依据职责，对举报受理落实情况进行监督检查。

　　第十一条 跟帖评论服务提供者信息安全管理责任落实不到位，存在较大安全风险或者发生安全事件的，国家和省、自治区、直辖市互联网信息办公室应当及时约谈；跟帖管理服务提供者应当按照要求采取措施，进行整改，消除隐患。

　　第十二条 互联网跟帖评论服务提供者违反本规定的，由有关部门依照相关法律法规处理。

　　第十三条 本规定自2017年10月1日起施行。

Chrome将在网站上显示不安全警告

　　据谷歌给站长的邮件通知，从2017年10月起，当用户在HTTP网页上的表单中输入文本时，Chrome（版本62）将显示一条“不安全”警告，并在所有无痕模式下的HTTP网页上显示这一警告，即使没有密码也会显示警告。

　　谷歌表示，我的网站上的网址包含会触发新的Chrome 警告的文本输入字段（例如 < input type="text" > 或 < input type="email" >）。网站站长需要仔细查看，了解此类警告将会出现在何处，以便站长能够采取措施来帮助保护用户数据。

　　谷歌已经制定了一项长远的计划，它的最终目标是将所有通过HTTP 协议呈现的网页标为“不安全”；此类新警告正是该计划的第一阶段。

　　如何解决此问题：迁移到HTTPS

　　谷歌表示，为了防止当用户访问网站时Chrome 上出现“不安全”通知，请站长只在通过HTTPS 协议呈现的网页上收集用户输入数据。

　　对网站的影响

　　之前Chrome只是对输入密码（例如 < input type="password" > ）的页面提示不安全，影响还是较小的，因为毕竟不是所有网站都有用户系统，而此次修改，只要有文本录入框就会提示“不安全”，这个覆盖的网站面会非常大，因为绝大多数网站或博客都有留言评论输入框，因此只要有留言评论输入框的网站，都会提示不安全，这估计会覆盖到8、9成以上的互联网站。

　　而网站迁移到https来说，并非是一件容易的事情，证书需要购买配置，每年需要手动更换证书，网站代码需要修改，网站配置需要变动，这些都会加大网站的维护成本，也算是网站需要走过的一段阵痛期。