TextPlace
乙巳蛇年馬上就要到了,TextPlace獲得了一次大更新,這次畫板開始支援包括emoji在內的任意Unicode字元,其他規則都與跨年一致。 🧧 @laoself 將會為所有參與活動的朋友們發紅包,並且會為活動結束時有字元留在畫布上的朋友提供額外紅包。 @sohadays 亦會為在畫板上完成特定目標的朋友們提供更多獎勵。 本次活動時間: 2025年1月28日18:00至2025年1月31日18:00,UTC+8 歡迎使用 @TextPlaceBot 的 mini app 參與: https://t.m…
剛發了春節TextPlace參與紅包和「堅持到底獎」,快發 /rewards 給 @textplacebot 領取。
祝已經上班的同志們開工大吉(x
祝已經上班的同志們開工大吉(x
🆒6❤1👍1
手段沒啥特殊,誘使用戶給app全部相片權限、本地OCR後挑出像加密錢包助記詞的上傳,但是Nicegram和ATV 亞洲電視赫然在列(
https://securelist.com/sparkcat-stealer-in-app-store-and-google-play/115385/
https://securelist.com/sparkcat-stealer-in-app-store-and-google-play/115385/
Securelist
SparkCat crypto stealer in Google Play and App Store
Kaspersky experts discover iOS and Android apps infected with the SparkCat crypto stealer in Google Play and the App Store. It steals crypto wallet data using an OCR model.
🙊4
Forwarded from 竹新社
安娜的档案(Anna's Archive)1月31日发稿呼吁西方国家修订版权法,否则无法在大语言模型和通用人工智能的竞赛中领先。他们介绍,已向约30家大语言模型研发企业或数据商提供访问,其中大部分是中国企业。美国厂商大多在接洽后因法律风险放弃。
他们提议至少应将著作权年限降至20年、与专利权拉齐,并对不向个人分发的大规模藏书项目提供豁免。
(Torrent Freak)
他们提议至少应将著作权年限降至20年、与专利权拉齐,并对不向个人分发的大规模藏书项目提供豁免。
(Torrent Freak)
风向旗参考快讯
移动安全公司 NowSecure 分析发现 DeepSeek 的 iOS 应用程序中存在多个安全漏洞。DeepSeek 全局禁用了 iOS 平台级保护“应用程序传输安全” (ATS),并通过互联网发送未加密的数据。而在数据加密时,该应用选择了已知被破解的加密算法 (3DES),这使数据机密性受到严重损害。应用还将用户名、密码和加密密钥以不安全的方式存储。
我看了一下原文,只根據這篇文章的話,我的結論是都是國產三方統計/風控SDK害的。
這文章感覺是風險檢測工具自動一掃然後AI寫篇文章的水平。當然,DeepSeek這個app用的SDK確實也很爛,尤其這個數美科技,你自己做風控產品然後傳輸資料用HTTP,doc里教人關ATS,真是風風又控控啊……
Unencrypted Data Transmission
HTTP請求的域名是 fengkongcloud.com ,數美科技,做風控產品的。
Weak & Hardcoded Encryption Keys
這項是說BDAutoTrackLocalConfigService裡面的saveUser方法里用到Triple DES,查證了一下這個symbol來自字節跳動火山引擎SDK。不過火山引擎自己我看應該是全走HTTPS的,這裡Triple DES是否有問題要看到底是用來做什麼的,但是就傳輸方面上我覺得沒問題。
Insecure Data Storage
這個指控有點奇怪,是說涉及敏感內容透過NSURLRequest請求的一些資訊默認被iOS cache起來了。不過這個Caches.db在app的sandbox裡面,並且被標記為不備份,如果不是越獄基本上不可能取出來,只是在device上我覺得談不上insecure。按文章截圖,cache裡面出現了一個叫password的field,這很奇怪,因為iOS默認不會cache POST請求。除非是哪個request把password返回來了?
Extensive Data Collection & Fingerprinting
Data Sent to China & Governed by PRC Laws
這沒啥好說的,這些SDK確實是臭名昭著的隱私強磁鐵什麼都拿,DeepSeek確實也是國內部署受中國管轄。
這文章感覺是風險檢測工具自動一掃然後AI寫篇文章的水平。當然,DeepSeek這個app用的SDK確實也很爛,尤其這個數美科技,你自己做風控產品然後傳輸資料用HTTP,doc里教人關ATS,真是風風又控控啊……
🤣18
Laoself
我看了一下原文,只根據這篇文章的話,我的結論是都是國產三方統計/風控SDK害的。 Unencrypted Data Transmission HTTP請求的域名是 fengkongcloud.com ,數美科技,做風控產品的。 Weak & Hardcoded Encryption Keys 這項是說 BDAutoTrackLocalConfigService 裡面的 saveUser 方法里用到Triple DES,查證了一下這個symbol來自字節跳動火山引擎SDK。不過火山引擎自己我看應該是全…
另外有人好奇fengkongcloud.com部分請求里為什麼會有
xjp 這個字串:研究了一下實際上是 數美東南亞區域 部署在「新加坡」(业务机房在欧美(弗吉尼亚机房)// 用户分布范围为欧美
[option setArea:AREA_FJNY];
业务机房在东南亚(新加坡机房)// 用户分布范围为东南亚
[option setArea:AREA_XJP];
😁27🤣3
Forwarded from Reorx’s Forge
狗日的 TOML,这是给人用的语法吗,每次看到这个双方括号就懵逼,什么垃圾配置语言,宁愿用 YAML
edit: 鉴定为飞大了之后创作的,建议改名 Tom's Overdosed Madness Language
edit: 鉴定为飞大了之后创作的,建议改名 Tom's Overdosed Madness Language
Reorx’s Forge
狗日的 TOML,这是给人用的语法吗,每次看到这个双方括号就懵逼,什么垃圾配置语言,宁愿用 YAML edit: 鉴定为飞大了之后创作的,建议改名 Tom's Overdosed Madness Language
同感,至少yaml的層級很直覺,而且層級複雜時候可以部分回落到json,比較容易理解。
Wrangler配置之前只支援toml,經常要打開toml spec複習這個double bracket,而且spec example也很抽象⋯⋯
Wrangler配置之前只支援toml,經常要打開toml spec複習這個double bracket,而且spec example也很抽象⋯⋯
👎2🙉1
Forwarded from sudo recast
很长一段时间,我的生活看似马上就要开始了,真正的生活,但是总有一些障碍阻挡着,有些事得先解决,有些工作还有待完成,时间貌似够用,还有一笔债务要去付清,然后生活就会开始,最后我终于明白,这些障碍,正是我的生活。
https://m.douban.com/note/534747915/
#quotes