国中小学安全教育专题活动学校版在哪里观看？小编为你准备了观看操作步骤，收好！

全国中小学生国家安全教育专题活动学校版入口

第一步：广东省学校安全教育平台（https://guangdong.xueanquan.com），点击“2020年全国中小学生国家安全教育专题活动”板块

第二步：进入专题活动，点击菜单栏“学校版”即可

时间：2020年4月10日—5月10日

参与对象：全国中小学生

主办单位：中国教育学会

活动入口：https://huodong.xueanquan.com/2020415gjaq/video.html

来源：广州本地宝

浏览器文本输入字段中漏洞的分析表明，大型企业和政府机构网站的HTML源代码中保存了明文密码。发现该问题的专家报告说，他们创建了一个测试扩展程序，可以提取敏感数据并将其轻松上传到Chrome网上应用店。

[2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields

https://arxiv.org/abs/2308.16321

Chrome extensions can steal plaintext passwords from websites

https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/

威斯康星大学麦迪逊分校的Asmitt Nayak及其同事在预印本服务器arXiv上发表的一篇论文中指出，“我们发现支撑浏览器扩展功能的粗粒度权限管理模型违背了最小权限原则和完全中介原则。”，并指出不必要的许可请求以及Chrome等浏览器缺乏彻底的安全执法导致了漏洞。

根据研究团队的说法，这次发现的错误是由于扩展程序访问网页内部代码的方式造成的。 许多站点都使用一种称为文档对象模型 （DOM） 的机制，该机制允许您以编程方式操作用 HTML 等编写的文档，但由于扩展可以无限制地访问此 DOM 树的问题， 研究小组解释说，源代码中的敏感数据可以很容易地提取出来。

Google 于 2023 年在 Chrome 中引入了一个名为“Manifest V3”的规范，该规范严格限制了扩展程序可以访问的信息类型，但 Manifest V3 并没有解决这个问题，因为它没有在扩展程序和网页之间创建安全边界。

为了测试Chrome网上应用店检查扩展程序的能力，研究小组上传了一个概念验证扩展程序，假装是基于GPT的助手。 此扩展具有在阅读HTML源代码后提取用户输入的密码的功能，但它显然不包含恶意代码，并且也符合Manifest V3，因此毫无问题地通过了审核并获得批准。 研究小组将扩展设置为“非公开”以防止任何伤害，并在批准后立即将其删除。

研究小组发现了190个可以直接访问密码输入字段的扩展功能程序，其中也有下载数超过10万次的人气扩展功能程序。另外，拥有恶意利用该漏洞权限的扩展功能程序占全体的12.5%，约有1万7300个。

更严重的是，研究人员发现，许多网站，包括拥有大量用户的大型和政府网站，都以纯文本格式存储用户的密码。

发现问题的主要站点如下。

?亚马逊（amazon.com）：包含安全代码的信用卡信息和邮政编码在页面的源代码上以明文形式显示

·Gmail（gmail.com）：在HTML源代码上保存了明文密码

?Cloudflare（Cloudflare.com）：同上

?Facebook（facebook.com）：可通过DOM API提取用户输入

?花旗银行（citibank.com）：同上

?美国国内税收厅（irs.gov）：社会保障号码（SSN）在网页的源代码上以明文形式显示

下面显示了登录ID和密码的实际提取方式。

“谷歌和亚马逊等主要在线市场尚未对信用卡输入字段实施任何保护，鉴于这些网站的规模和交易量，这些网站不受保护尤其令人担忧，”研究小组在论文中写道。

亚马逊发言人在回应这一声明时表示，“我们鼓励浏览器和扩展程序开发人员利用安全最佳实践来进一步保护使用其服务的客户。” 谷歌发言人也表示，他们正在调查这个问题。

谷歌正在推出一项功能，当Chrome中安装的扩展程序从网上商店中删除或被发现包含恶意软件时，它会警告用户。 此功能将在Chrome 117中正式实现，但据IT新闻网站BleepingComputer报道，最新的Chrome 116可以通过在地址栏中输入“chrome://flags/#safety-check-extensions”来激活这个功能。

1月9日，由腾讯联合各方共同打造的第二届主题为“智慧安全 连接赋能”的中国互联网安全领袖峰会(Cyber Security Summit，简称CSS安全领袖峰会)在北京正式拉开帷幕。本届CSS安全领袖峰会上，腾讯安全联合实验室、中国电子技术标准化研究院和腾讯网络空间研究中心共同发布了《“互联网+”企业网络安全生态研究报告》，首次提出“轻足迹”安全管理理念。基于该报告，大会还举办主题为“信息安全之于现代企业的战略价值”的圆桌论坛，由来自腾讯、滴滴、京东和绿盟科技、启明星辰等互联网巨头公司的权威安全专家从信息安全威胁升级、安全生态对企业信息安全的赋能作用、共建企业安全生态三个维度展开讨论。

（图：《“互联网+”企业网络安全生态研究报告》发布）

本报告在权威性、参考性、理论性和实战性上都有较大的意义。权威性在于报告本身由中国互联网巨头腾讯和中国电子技术标准化研究院共同完成，并在CSS安全领袖峰会上联合发布；参考性在于报告是基于对国内1000家主流企业在信息安全领域的投入状况的摸底得出的数据，每年一期实时更新，对行业进行及时准确深度把脉；理论性在于报告本身不仅发现问题，还高屋建瓴提出“轻足迹”的安全发展观对行业发展方向和趋势做出精准判断；实战性在于报告本身除了发现问题，还建设性地提出了如何构建企业网络安全新生态的具体实施举措，而且大会还组织滴滴、京东等一线互联网公司的安全专家基于自身从业经验对报告进行深入探讨，并形成构建企业安全生态需要各行业深度连接广泛合作的共识。

报告剑指问题核心：轻处理+安全生态应对安全威胁升级

报告结合当前网络环境，重点分析了“互联网+”时代企业面临的网络安全挑战，提出“轻足迹”的安全发展理念，并对如何加速构建网络安全新生态提出建设性意见。该报告不仅为国家的网络安全战略提供重要的价值参考，给网络安全企业带来详实可靠的数据支撑，同时也增加了互联网企业的网络安全忧患意识，为加快企业网络安全新生态建设提供重要指引。

互联网与各行业产生神奇“化学反应”带来产业转型升级的同时也形成隐忧。随着云计算、大数据等技术的运用，基于网络安全的问题也越来越突出，而且相比传统变得更加复杂，呈现出“VUCA”四大新特性（即易变性、不确定性、复杂性和模糊性）。分区分域的防护理念因为模糊的边界而不再有效，安全威胁与安全事件的后果充满不确定性，后果和威胁更加严重。

这背后的原因，除了企业网络安全外部生态的先天不足和自身生态的不健全，还有新技术新应用带来的新安全挑战。自身生态的不健全，主要体现在自身网络安全意识有待提升、体系急需完善、培养网络安全人才等；外部生态的先天不足，则是法律法规不完善、资源与技术落后，尤其是关键信息技术产品严重依赖国外等。与此同时，以云计算、大数据为代表的新技术新应用也增加了网络安全的复杂性和挑战性。

针对当前复杂的网络环境，构建企业网络安全新生态显得尤为重要。报告提出“互联网+”时代企业网络安全生态的愿景：在“互联网+”时代中，好的企业网络安全生态环境本质上就是要保障“线上和线下高效、持续、安全的服务”。想达到这一目标，报告提出科学的“游戏规则”、明晰的企业生态位、开放的共同进化体和闭环的生态平衡系统四大基本要求。保障网络安全对于保障公民、企业网络空间权益、保证国家安全和社会稳定至关重要，需要协同各界力量共同抵御。

基于此，报告首次建设性提出“轻足迹”的安全管理理念。该理念特色主要体现在四个方面：防护手段模块化、应急管理扁平化、防御机制协同化以及处理过程快速化。防护手段模块化可降低网络防御手段和技术之间的依赖性，根据网络安全的变化不断调整安全措施；应急管理扁平化则做到第一时间获取终端的网络资源使用情况和安全状态；防御机制协同化可以实现对全网的协同防御、关联分析、信息共享；处理过程快速化则是利用云计算、大数据的平台，迅速有效地解决安全问题。四方面入手，高效灵活地应对出现的新型网络安全难题，加快构建网络安全新生态。

除了理论建设，报告在实践层面也给出了建树性的举措。为了协同作战提高效率，加快构建“互联网+”时代企业网络安全生态，报告认为应从以下五方面着手：加强法规政策建设，完善网络安全生态顶层设计；健全网络安全产业标准体系，构建统一协调的发展模式；借助热点加速全产业链融合，提高生态综合防御能力；打造健康开放共享交互平台，建立可信可控高效保障机制；鼓励不同领域技术碰撞，加快技术带动生态安全升级速度。

行业领袖把脉企业安全：深度连接与生态“赋能”势在必行

报告是基于大量的事实调研得出的理念结晶，不仅对中国企业信息安全的状况做出了全面诊断，为各行业企业深入快速了解中国安全网络环境提供索引，在本届CSS安全领袖峰会上，也成为大会议程设置中圆桌会议讨论的重点。

（图：“信息安全之于现代企业的战略价值”圆桌论坛环节）

在报告发布当天，主办方特别举办了主题为“信息安全之于现代企业的战略价值”的圆桌论坛。来自滴滴出行信息安全战略副总裁弓峰敏、京东首席信息安全专家Tony Lee、绿盟科技高级副总裁叶晓虎三位知名一线企业大咖以及腾讯安全玄武实验室负责人于旸、腾讯安全科恩实验室总监吕一平两位腾讯安全专家，针对报告结论从信息安全威胁升级、安全生态对企业信息安全的赋能作用以及共建安全生态三个维度进行了更深入的讨论。

作为业界领先的互联网安全从业者，腾讯对新时期的网络安全趋势有着深刻的理解。今年9月，腾讯安全科恩实验室宣布以“远程无物理接触”的方式成功入侵了特斯拉汽车，这在全球尚属首次，这既是白帽黑客在推动企业修复安全漏洞方面的典型案例，也让我们看到企业网络威胁升级的端倪。吕一平表示，随着新技术新应用的出现，网络安全也不断呈现出新形态，不确定性和复杂性都在升高。作为全球顶级白帽黑客现在腾讯安全玄武实验室负责人，于旸认为要改变“被动防守”地位，需要迅速建立起快速、透明、有效的响应机制。绿盟科技作为领先的安全产品和解决方案提供商对此也深有感触，叶晓虎表示，移动互联网安全问题、APT攻击、云安全问题、以及应用软件漏洞问题，正成为“互联网+”时代企业安全问题的焦点。

除了专业的网络安全厂商，互联网公司对遭受到网络安全威胁和攻击的感受也越来越强烈，他们迫切希望借助大平台和安全生态体系来实现对企业的“赋能”。滴滴作为中国最大的出行平台，掌握了海量的用户信息和资源。弓峰敏表示，新技术导致网络安全对抗不断升级，对滴滴而言，除了自建网络安全体系，还需要与有实力的安全实验室深度连接与合作。作为中国第二大电商平台，京东平台聚拢众多中小商家， Tony Lee表示，新时代的网络安全攻防，不仅需要安全厂商、运营商深度连接，还需要政府的高度参与和赋能；此外，加强与国际大厂商的技术交流和合作，引进相关的技术人才也是一大着力点。以“开放”为起点，构建横向跨越企业、行业边界与国界，纵向跨越人、企业、机构、产业、政府的全连接已经成为行业共识。

报告长效价值：方向指引，加速企业安全生态构建

除了成为大会看点和为大会提供理论支撑，《报告》还具有深刻的政策指导意义和行业影响力，在网络安全决策层面具有重要的战略指导价值。报告是基于对国内1000家主流企业在信息安全领域的深入研究得出的结论和数据，来源于一线的鲜活数据和实例，报告的结论和趋势探讨不仅让现场与会的全球500家企业受益匪浅，更对整个网络安全行业企业在未来的方向聚焦和施力点上提供重要的坐标指引。同时，报告本身也增加传统企业转型互联网的忧患意识，强化网络安全问题刻不容缓的行业认知，为加速推动企业网络安全新生态提供理论依据。

此外，作为CSS安全领袖峰会的重要理论依据，每年的安全生态报告已经成为全行业的一大期待。在2015年首届CSS安全领袖峰会上，腾讯安全团队发布了《2015网络生态安全报告》，报告显示了同年网络诈骗呈高发态势，网络犯罪呈现趋利化、产业化、移动化趋势，并开始走从线上到线下蔓延的“O2O”模式。针对报告内容，腾讯副总裁丁珂倡导全球行业打破壁垒，“连接”在一起，构建安全新生态。

本届CSS安全领袖峰会，基于《报告》对动态发展的网络安全环境变迁进行深度探讨。除了与全球顶尖科技企业达成共建安全生态的共识，还明确了安全生态需具备深度连接、人工智能协作、智慧防御三大基因。并提出深化连接，打破合作壁垒；建立常态化的互联网安全国际合作机制；建立人才与技术的标准化等国际安全新秩序的三大实现路径。全球化问题必然需要全球化应对，在报告的参考指导下，一个无边界全连接的企业网络安全新生态也正在加速成型。