新的 BitB 攻击形式仿造 OAuth 窃取用户凭证

成千上万的网站使用 OAuth 协议，让访问者使用他们在谷歌、Facebook 或苹果等公司的现有账户登录。“浏览器中的浏览器”（BitB）技术利用了这个方案。BitB 不是真正打开第二个浏览器窗口，以连接到用于登录或付款的网站，而是使用一系列 HTML 和 CSS 技巧，显示一个欺骗窗口。其显示的 URL 可以显示一个有效的地址，也有一个挂锁和 HTTPS 前缀。窗口的布局和行为看起来与真实的东西完全一样，除了不能不能被调整大小，完全最大化或拖到主窗口之外。

老王点评：真是防不胜防，一时不注意还真难以发现。

高通公司正在计划为其芯片增加 AV1 支持

发布于 2018 年的开放视频编解码器 AV1 的普及一直很慢，主流视频供应商在等待更广泛的设备支持，而设备厂商则在等待视频供应商提供更多的 AV1 视频。但现在这种情况已经在逐步改变。据称 高通公司正计划在其即将推出的旗舰产品 Snapdragon 移动处理器中加入对 AV1 的原生支持。预计该芯片最早将在今年年底推出。除了高通之外，三星、联发科、博通也都推出了支持 AV1 解码的芯片组，而像谷歌等流媒体设备厂商也在推动其设备增加 AV1 的支持。

老王点评：AV1 什么都好，就是不普及，希望能看到普及吧。

老式 IPv6 设备会泄露你的隐私

在 IPv6 网络中，每个设备都有一个公开的 IPv6 地址。这些地址应该定期换成新的地址。这样当你再次访问一个网站时，仅从你的 IPv6 地址来看，网站并不清楚你的设备已经回来了，这可以给予你一定程度的隐私。在分配地址时，路由器会发送一个网络前缀给客户，然后客户选择一个主机地址。曾经这个主机地址基于设备的硬件 MAC 地址编码，这被称之为 EUI-64。但早在 2007 年就提出的 IPv6 隐私扩展要求随机化地址的主机部分，也就是禁用 EUI-64。而在 研究中发现，大约不到 1/5 的设备仍然默认使用 EUI-64，这造成了隐私泄露。同时，许多 Linux 发行版并没有默认启用隐私扩展，使用 Linux 的产品很可能在不知不觉中将其用户的隐私置于危险之中。

老王点评：协议设计的很好，奈何现实比较可怜。