网络安全

2011年7月，荷兰证书颁发机构DigiNotar遭到黑客入侵。攻击者在两个月内颁发了531张欺诈性证书，涵盖了Google、Microsoft、Mozilla等多个顶级域名。这些伪造证书被用于对伊朗用户的Gmail进行中间人攻击——超过30万个伊朗IP地址的通信被截获。事件曝光后，所有主流浏览器在一周内将DigiNotar的根证书从信任库中移除。这家公司最终宣布破产。 ...

1976年，Whitfield Diffie和Martin Hellman发表了一篇划时代的论文，提出了公钥密码学的概念。在此之前，任何想要秘密通信的双方都必须预先共享密钥——这是一个困扰密码学家数千年的难题。然而，公钥密码学在解决密钥分发问题的同时，也带来了一个新的困境：它太慢了。 ...

2014年4月，Heartbleed漏洞震惊全球。这个OpenSSL库中的缓冲区越界读取漏洞可能导致服务器私钥泄露，理论上需要立即撤销并重新签发所有受影响的证书。然而，马里兰大学的研究团队在三周后发现：超过73%的易受攻击证书未被重新签发，超过87%未被撤销。更令人担忧的是，撤销率在周末会显著下降——仿佛攻击者也会休息。 ...

2019年，某电商平台在大促前夕发现一个诡异的现象：虽然后端API响应时间已经优化到10毫秒以内，但前端用户感知的延迟却高达300毫秒。排查后发现，罪魁祸首不是数据库、不是CDN，而是一个被大多数开发者忽视的HTTP方法——OPTIONS。 ...

2011年8月28日，一名伊朗用户在访问Gmail时发现浏览器显示的证书异常。这条看似微不足道的线索，揭开了一场影响超过30万人的大规模中间人攻击。攻击者不是破解了加密算法，也没有入侵Google的服务器——他们只是拿到了一张合法的证书。 ...

2010年，安全研究员Ke Liu在Black Hat Asia上发布了一个震惊行业的数字：他在一年内发现了超过100个PDF阅读器漏洞。这不是个案。根据Check Point Research 2025年的报告，22%的恶意邮件附件是PDF文件，仅次于Office文档。每年超过4000亿个PDF文件被打开，其中隐藏的威胁远比大多数人想象的更加危险。 ...

2024年12月24日，圣诞节前夜，网络安全公司Cyberhaven的一名员工收到了一封看似来自Google Support的邮件。邮件警告说，公司的Chrome扩展违反了政策，面临被下架的风险。这名员工点击了邮件中的链接，在看似合法的Google OAuth页面上授权了一个名为"Privacy Policy Extension"的应用。 ...