國中小學(xué)安全教育專題活動學(xué)校版在哪里觀看？小編為你準(zhǔn)備了觀看操作步驟，收好！

全國中小學(xué)生國家安全教育專題活動學(xué)校版入口

第一步：廣東省學(xué)校安全教育平臺（https://guangdong.xueanquan.com），點(diǎn)擊“2020年全國中小學(xué)生國家安全教育專題活動”板塊

第二步：進(jìn)入專題活動，點(diǎn)擊菜單欄“學(xué)校版”即可

時(shí)間：2020年4月10日—5月10日

參與對象：全國中小學(xué)生

主辦單位：中國教育學(xué)會

活動入口：https://huodong.xueanquan.com/2020415gjaq/video.html

來源：廣州本地寶

瀏覽器文本輸入字段中漏洞的分析表明，大型企業(yè)和政府機(jī)構(gòu)網(wǎng)站的HTML源代碼中保存了明文密碼。發(fā)現(xiàn)該問題的專家報(bào)告說，他們創(chuàng)建了一個(gè)測試擴(kuò)展程序，可以提取敏感數(shù)據(jù)并將其輕松上傳到Chrome網(wǎng)上應(yīng)用店。

[2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields

https://arxiv.org/abs/2308.16321

Chrome extensions can steal plaintext passwords from websites

https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/

威斯康星大學(xué)麥迪遜分校的Asmitt Nayak及其同事在預(yù)印本服務(wù)器arXiv上發(fā)表的一篇論文中指出，“我們發(fā)現(xiàn)支撐瀏覽器擴(kuò)展功能的粗粒度權(quán)限管理模型違背了最小權(quán)限原則和完全中介原則。”，并指出不必要的許可請求以及Chrome等瀏覽器缺乏徹底的安全執(zhí)法導(dǎo)致了漏洞。

根據(jù)研究團(tuán)隊(duì)的說法，這次發(fā)現(xiàn)的錯(cuò)誤是由于擴(kuò)展程序訪問網(wǎng)頁內(nèi)部代碼的方式造成的。 許多站點(diǎn)都使用一種稱為文檔對象模型 （DOM） 的機(jī)制，該機(jī)制允許您以編程方式操作用 HTML 等編寫的文檔，但由于擴(kuò)展可以無限制地訪問此 DOM 樹的問題， 研究小組解釋說，源代碼中的敏感數(shù)據(jù)可以很容易地提取出來。

Google 于 2023 年在 Chrome 中引入了一個(gè)名為“Manifest V3”的規(guī)范，該規(guī)范嚴(yán)格限制了擴(kuò)展程序可以訪問的信息類型，但 Manifest V3 并沒有解決這個(gè)問題，因?yàn)樗鼪]有在擴(kuò)展程序和網(wǎng)頁之間創(chuàng)建安全邊界。

為了測試Chrome網(wǎng)上應(yīng)用店檢查擴(kuò)展程序的能力，研究小組上傳了一個(gè)概念驗(yàn)證擴(kuò)展程序，假裝是基于GPT的助手。 此擴(kuò)展具有在閱讀HTML源代碼后提取用戶輸入的密碼的功能，但它顯然不包含惡意代碼，并且也符合Manifest V3，因此毫無問題地通過了審核并獲得批準(zhǔn)。 研究小組將擴(kuò)展設(shè)置為“非公開”以防止任何傷害，并在批準(zhǔn)后立即將其刪除。

研究小組發(fā)現(xiàn)了190個(gè)可以直接訪問密碼輸入字段的擴(kuò)展功能程序，其中也有下載數(shù)超過10萬次的人氣擴(kuò)展功能程序。另外，擁有惡意利用該漏洞權(quán)限的擴(kuò)展功能程序占全體的12.5%，約有1萬7300個(gè)。

更嚴(yán)重的是，研究人員發(fā)現(xiàn)，許多網(wǎng)站，包括擁有大量用戶的大型和政府網(wǎng)站，都以純文本格式存儲用戶的密碼。

發(fā)現(xiàn)問題的主要站點(diǎn)如下。

?亞馬遜（amazon.com）：包含安全代碼的信用卡信息和郵政編碼在頁面的源代碼上以明文形式顯示

·Gmail（gmail.com）：在HTML源代碼上保存了明文密碼

?Cloudflare（Cloudflare.com）：同上

?Facebook（facebook.com）：可通過DOM API提取用戶輸入

?花旗銀行（citibank.com）：同上

?美國國內(nèi)稅收廳（irs.gov）：社會保障號碼（SSN）在網(wǎng)頁的源代碼上以明文形式顯示

下面顯示了登錄ID和密碼的實(shí)際提取方式。

“谷歌和亞馬遜等主要在線市場尚未對信用卡輸入字段實(shí)施任何保護(hù)，鑒于這些網(wǎng)站的規(guī)模和交易量，這些網(wǎng)站不受保護(hù)尤其令人擔(dān)憂，”研究小組在論文中寫道。

亞馬遜發(fā)言人在回應(yīng)這一聲明時(shí)表示，“我們鼓勵(lì)瀏覽器和擴(kuò)展程序開發(fā)人員利用安全最佳實(shí)踐來進(jìn)一步保護(hù)使用其服務(wù)的客戶。” 谷歌發(fā)言人也表示，他們正在調(diào)查這個(gè)問題。

谷歌正在推出一項(xiàng)功能，當(dāng)Chrome中安裝的擴(kuò)展程序從網(wǎng)上商店中刪除或被發(fā)現(xiàn)包含惡意軟件時(shí)，它會警告用戶。 此功能將在Chrome 117中正式實(shí)現(xiàn)，但據(jù)IT新聞網(wǎng)站BleepingComputer報(bào)道，最新的Chrome 116可以通過在地址欄中輸入“chrome://flags/#safety-check-extensions”來激活這個(gè)功能。

1月9日，由騰訊聯(lián)合各方共同打造的第二屆主題為“智慧安全 連接賦能”的中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(Cyber Security Summit，簡稱CSS安全領(lǐng)袖峰會)在北京正式拉開帷幕。本屆CSS安全領(lǐng)袖峰會上，騰訊安全聯(lián)合實(shí)驗(yàn)室、中國電子技術(shù)標(biāo)準(zhǔn)化研究院和騰訊網(wǎng)絡(luò)空間研究中心共同發(fā)布了《“互聯(lián)網(wǎng)+”企業(yè)網(wǎng)絡(luò)安全生態(tài)研究報(bào)告》，首次提出“輕足跡”安全管理理念。基于該報(bào)告，大會還舉辦主題為“信息安全之于現(xiàn)代企業(yè)的戰(zhàn)略價(jià)值”的圓桌論壇，由來自騰訊、滴滴、京東和綠盟科技、啟明星辰等互聯(lián)網(wǎng)巨頭公司的權(quán)威安全專家從信息安全威脅升級、安全生態(tài)對企業(yè)信息安全的賦能作用、共建企業(yè)安全生態(tài)三個(gè)維度展開討論。

（圖：《“互聯(lián)網(wǎng)+”企業(yè)網(wǎng)絡(luò)安全生態(tài)研究報(bào)告》發(fā)布）

本報(bào)告在權(quán)威性、參考性、理論性和實(shí)戰(zhàn)性上都有較大的意義。權(quán)威性在于報(bào)告本身由中國互聯(lián)網(wǎng)巨頭騰訊和中國電子技術(shù)標(biāo)準(zhǔn)化研究院共同完成，并在CSS安全領(lǐng)袖峰會上聯(lián)合發(fā)布；參考性在于報(bào)告是基于對國內(nèi)1000家主流企業(yè)在信息安全領(lǐng)域的投入狀況的摸底得出的數(shù)據(jù)，每年一期實(shí)時(shí)更新，對行業(yè)進(jìn)行及時(shí)準(zhǔn)確深度把脈；理論性在于報(bào)告本身不僅發(fā)現(xiàn)問題，還高屋建瓴提出“輕足跡”的安全發(fā)展觀對行業(yè)發(fā)展方向和趨勢做出精準(zhǔn)判斷；實(shí)戰(zhàn)性在于報(bào)告本身除了發(fā)現(xiàn)問題，還建設(shè)性地提出了如何構(gòu)建企業(yè)網(wǎng)絡(luò)安全新生態(tài)的具體實(shí)施舉措，而且大會還組織滴滴、京東等一線互聯(lián)網(wǎng)公司的安全專家基于自身從業(yè)經(jīng)驗(yàn)對報(bào)告進(jìn)行深入探討，并形成構(gòu)建企業(yè)安全生態(tài)需要各行業(yè)深度連接廣泛合作的共識。

報(bào)告劍指問題核心：輕處理+安全生態(tài)應(yīng)對安全威脅升級

報(bào)告結(jié)合當(dāng)前網(wǎng)絡(luò)環(huán)境，重點(diǎn)分析了“互聯(lián)網(wǎng)+”時(shí)代企業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)，提出“輕足跡”的安全發(fā)展理念，并對如何加速構(gòu)建網(wǎng)絡(luò)安全新生態(tài)提出建設(shè)性意見。該報(bào)告不僅為國家的網(wǎng)絡(luò)安全戰(zhàn)略提供重要的價(jià)值參考，給網(wǎng)絡(luò)安全企業(yè)帶來詳實(shí)可靠的數(shù)據(jù)支撐，同時(shí)也增加了互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡(luò)安全憂患意識，為加快企業(yè)網(wǎng)絡(luò)安全新生態(tài)建設(shè)提供重要指引。

互聯(lián)網(wǎng)與各行業(yè)產(chǎn)生神奇“化學(xué)反應(yīng)”帶來產(chǎn)業(yè)轉(zhuǎn)型升級的同時(shí)也形成隱憂。隨著云計(jì)算、大數(shù)據(jù)等技術(shù)的運(yùn)用，基于網(wǎng)絡(luò)安全的問題也越來越突出，而且相比傳統(tǒng)變得更加復(fù)雜，呈現(xiàn)出“VUCA”四大新特性（即易變性、不確定性、復(fù)雜性和模糊性）。分區(qū)分域的防護(hù)理念因?yàn)槟：倪吔缍辉儆行В踩{與安全事件的后果充滿不確定性，后果和威脅更加嚴(yán)重。

這背后的原因，除了企業(yè)網(wǎng)絡(luò)安全外部生態(tài)的先天不足和自身生態(tài)的不健全，還有新技術(shù)新應(yīng)用帶來的新安全挑戰(zhàn)。自身生態(tài)的不健全，主要體現(xiàn)在自身網(wǎng)絡(luò)安全意識有待提升、體系急需完善、培養(yǎng)網(wǎng)絡(luò)安全人才等；外部生態(tài)的先天不足，則是法律法規(guī)不完善、資源與技術(shù)落后，尤其是關(guān)鍵信息技術(shù)產(chǎn)品嚴(yán)重依賴國外等。與此同時(shí)，以云計(jì)算、大數(shù)據(jù)為代表的新技術(shù)新應(yīng)用也增加了網(wǎng)絡(luò)安全的復(fù)雜性和挑戰(zhàn)性。

針對當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境，構(gòu)建企業(yè)網(wǎng)絡(luò)安全新生態(tài)顯得尤為重要。報(bào)告提出“互聯(lián)網(wǎng)+”時(shí)代企業(yè)網(wǎng)絡(luò)安全生態(tài)的愿景：在“互聯(lián)網(wǎng)+”時(shí)代中，好的企業(yè)網(wǎng)絡(luò)安全生態(tài)環(huán)境本質(zhì)上就是要保障“線上和線下高效、持續(xù)、安全的服務(wù)”。想達(dá)到這一目標(biāo)，報(bào)告提出科學(xué)的“游戲規(guī)則”、明晰的企業(yè)生態(tài)位、開放的共同進(jìn)化體和閉環(huán)的生態(tài)平衡系統(tǒng)四大基本要求。保障網(wǎng)絡(luò)安全對于保障公民、企業(yè)網(wǎng)絡(luò)空間權(quán)益、保證國家安全和社會穩(wěn)定至關(guān)重要，需要協(xié)同各界力量共同抵御。

基于此，報(bào)告首次建設(shè)性提出“輕足跡”的安全管理理念。該理念特色主要體現(xiàn)在四個(gè)方面：防護(hù)手段模塊化、應(yīng)急管理扁平化、防御機(jī)制協(xié)同化以及處理過程快速化。防護(hù)手段模塊化可降低網(wǎng)絡(luò)防御手段和技術(shù)之間的依賴性，根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施；應(yīng)急管理扁平化則做到第一時(shí)間獲取終端的網(wǎng)絡(luò)資源使用情況和安全狀態(tài)；防御機(jī)制協(xié)同化可以實(shí)現(xiàn)對全網(wǎng)的協(xié)同防御、關(guān)聯(lián)分析、信息共享；處理過程快速化則是利用云計(jì)算、大數(shù)據(jù)的平臺，迅速有效地解決安全問題。四方面入手，高效靈活地應(yīng)對出現(xiàn)的新型網(wǎng)絡(luò)安全難題，加快構(gòu)建網(wǎng)絡(luò)安全新生態(tài)。

除了理論建設(shè)，報(bào)告在實(shí)踐層面也給出了建樹性的舉措。為了協(xié)同作戰(zhàn)提高效率，加快構(gòu)建“互聯(lián)網(wǎng)+”時(shí)代企業(yè)網(wǎng)絡(luò)安全生態(tài)，報(bào)告認(rèn)為應(yīng)從以下五方面著手：加強(qiáng)法規(guī)政策建設(shè)，完善網(wǎng)絡(luò)安全生態(tài)頂層設(shè)計(jì)；健全網(wǎng)絡(luò)安全產(chǎn)業(yè)標(biāo)準(zhǔn)體系，構(gòu)建統(tǒng)一協(xié)調(diào)的發(fā)展模式；借助熱點(diǎn)加速全產(chǎn)業(yè)鏈融合，提高生態(tài)綜合防御能力；打造健康開放共享交互平臺，建立可信可控高效保障機(jī)制；鼓勵(lì)不同領(lǐng)域技術(shù)碰撞，加快技術(shù)帶動生態(tài)安全升級速度。

行業(yè)領(lǐng)袖把脈企業(yè)安全：深度連接與生態(tài)“賦能”勢在必行

報(bào)告是基于大量的事實(shí)調(diào)研得出的理念結(jié)晶，不僅對中國企業(yè)信息安全的狀況做出了全面診斷，為各行業(yè)企業(yè)深入快速了解中國安全網(wǎng)絡(luò)環(huán)境提供索引，在本屆CSS安全領(lǐng)袖峰會上，也成為大會議程設(shè)置中圓桌會議討論的重點(diǎn)。

（圖：“信息安全之于現(xiàn)代企業(yè)的戰(zhàn)略價(jià)值”圓桌論壇環(huán)節(jié)）

在報(bào)告發(fā)布當(dāng)天，主辦方特別舉辦了主題為“信息安全之于現(xiàn)代企業(yè)的戰(zhàn)略價(jià)值”的圓桌論壇。來自滴滴出行信息安全戰(zhàn)略副總裁弓峰敏、京東首席信息安全專家Tony Lee、綠盟科技高級副總裁葉曉虎三位知名一線企業(yè)大咖以及騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸、騰訊安全科恩實(shí)驗(yàn)室總監(jiān)呂一平兩位騰訊安全專家，針對報(bào)告結(jié)論從信息安全威脅升級、安全生態(tài)對企業(yè)信息安全的賦能作用以及共建安全生態(tài)三個(gè)維度進(jìn)行了更深入的討論。

作為業(yè)界領(lǐng)先的互聯(lián)網(wǎng)安全從業(yè)者，騰訊對新時(shí)期的網(wǎng)絡(luò)安全趨勢有著深刻的理解。今年9月，騰訊安全科恩實(shí)驗(yàn)室宣布以“遠(yuǎn)程無物理接觸”的方式成功入侵了特斯拉汽車，這在全球尚屬首次，這既是白帽黑客在推動企業(yè)修復(fù)安全漏洞方面的典型案例，也讓我們看到企業(yè)網(wǎng)絡(luò)威脅升級的端倪。呂一平表示，隨著新技術(shù)新應(yīng)用的出現(xiàn)，網(wǎng)絡(luò)安全也不斷呈現(xiàn)出新形態(tài)，不確定性和復(fù)雜性都在升高。作為全球頂級白帽黑客現(xiàn)在騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人，于旸認(rèn)為要改變“被動防守”地位，需要迅速建立起快速、透明、有效的響應(yīng)機(jī)制。綠盟科技作為領(lǐng)先的安全產(chǎn)品和解決方案提供商對此也深有感觸，葉曉虎表示，移動互聯(lián)網(wǎng)安全問題、APT攻擊、云安全問題、以及應(yīng)用軟件漏洞問題，正成為“互聯(lián)網(wǎng)+”時(shí)代企業(yè)安全問題的焦點(diǎn)。

除了專業(yè)的網(wǎng)絡(luò)安全廠商，互聯(lián)網(wǎng)公司對遭受到網(wǎng)絡(luò)安全威脅和攻擊的感受也越來越強(qiáng)烈，他們迫切希望借助大平臺和安全生態(tài)體系來實(shí)現(xiàn)對企業(yè)的“賦能”。滴滴作為中國最大的出行平臺，掌握了海量的用戶信息和資源。弓峰敏表示，新技術(shù)導(dǎo)致網(wǎng)絡(luò)安全對抗不斷升級，對滴滴而言，除了自建網(wǎng)絡(luò)安全體系，還需要與有實(shí)力的安全實(shí)驗(yàn)室深度連接與合作。作為中國第二大電商平臺，京東平臺聚攏眾多中小商家， Tony Lee表示，新時(shí)代的網(wǎng)絡(luò)安全攻防，不僅需要安全廠商、運(yùn)營商深度連接，還需要政府的高度參與和賦能；此外，加強(qiáng)與國際大廠商的技術(shù)交流和合作，引進(jìn)相關(guān)的技術(shù)人才也是一大著力點(diǎn)。以“開放”為起點(diǎn)，構(gòu)建橫向跨越企業(yè)、行業(yè)邊界與國界，縱向跨越人、企業(yè)、機(jī)構(gòu)、產(chǎn)業(yè)、政府的全連接已經(jīng)成為行業(yè)共識。

報(bào)告長效價(jià)值：方向指引，加速企業(yè)安全生態(tài)構(gòu)建

除了成為大會看點(diǎn)和為大會提供理論支撐，《報(bào)告》還具有深刻的政策指導(dǎo)意義和行業(yè)影響力，在網(wǎng)絡(luò)安全決策層面具有重要的戰(zhàn)略指導(dǎo)價(jià)值。報(bào)告是基于對國內(nèi)1000家主流企業(yè)在信息安全領(lǐng)域的深入研究得出的結(jié)論和數(shù)據(jù)，來源于一線的鮮活數(shù)據(jù)和實(shí)例，報(bào)告的結(jié)論和趨勢探討不僅讓現(xiàn)場與會的全球500家企業(yè)受益匪淺，更對整個(gè)網(wǎng)絡(luò)安全行業(yè)企業(yè)在未來的方向聚焦和施力點(diǎn)上提供重要的坐標(biāo)指引。同時(shí)，報(bào)告本身也增加傳統(tǒng)企業(yè)轉(zhuǎn)型互聯(lián)網(wǎng)的憂患意識，強(qiáng)化網(wǎng)絡(luò)安全問題刻不容緩的行業(yè)認(rèn)知，為加速推動企業(yè)網(wǎng)絡(luò)安全新生態(tài)提供理論依據(jù)。

此外，作為CSS安全領(lǐng)袖峰會的重要理論依據(jù)，每年的安全生態(tài)報(bào)告已經(jīng)成為全行業(yè)的一大期待。在2015年首屆CSS安全領(lǐng)袖峰會上，騰訊安全團(tuán)隊(duì)發(fā)布了《2015網(wǎng)絡(luò)生態(tài)安全報(bào)告》，報(bào)告顯示了同年網(wǎng)絡(luò)詐騙呈高發(fā)態(tài)勢，網(wǎng)絡(luò)犯罪呈現(xiàn)趨利化、產(chǎn)業(yè)化、移動化趨勢，并開始走從線上到線下蔓延的“O2O”模式。針對報(bào)告內(nèi)容，騰訊副總裁丁珂倡導(dǎo)全球行業(yè)打破壁壘，“連接”在一起，構(gòu)建安全新生態(tài)。

本屆CSS安全領(lǐng)袖峰會，基于《報(bào)告》對動態(tài)發(fā)展的網(wǎng)絡(luò)安全環(huán)境變遷進(jìn)行深度探討。除了與全球頂尖科技企業(yè)達(dá)成共建安全生態(tài)的共識，還明確了安全生態(tài)需具備深度連接、人工智能協(xié)作、智慧防御三大基因。并提出深化連接，打破合作壁壘；建立常態(tài)化的互聯(lián)網(wǎng)安全國際合作機(jī)制；建立人才與技術(shù)的標(biāo)準(zhǔn)化等國際安全新秩序的三大實(shí)現(xiàn)路徑。全球化問題必然需要全球化應(yīng)對，在報(bào)告的參考指導(dǎo)下，一個(gè)無邊界全連接的企業(yè)網(wǎng)絡(luò)安全新生態(tài)也正在加速成型。