咱警告你们,戴着金属外壳的耳机千万不要摸卵路由!!!尤其是耳机插在接了地的设备上!!!!!!!!!!!!!!!!!!咱要升天了!!!!!!!!!!气鼓鼓!!!!!
Forwarded from 每日消费电子观察 (无羽の翼 (「 • ̀ω•́ )「)
黑客在谷歌上投放广告钓鱼,目标是 Bitwarden/1Password 用户
https://www.landiannews.com/archives/97049.html
https://www.landiannews.com/archives/97049.html
蓝点网
Bitwarden/1Password用户请注意:黑客在谷歌上投放广告钓鱼
之前蓝点网提到有黑客团伙在谷歌搜索上投放关键词广告,当搜索 Firefox 时排名第一的推广内容是个钓鱼网站, […]
ColorOS 13 的短信应用会将用户收到的广告替换为第三方广告
当用户收到如右图显示的广告短信时,ColorOS 的「智能短信识别」服务会自动将广告替换为第三方广告(见左图)。
原短信中的 URL 对应为「众〇保险」的广告,但 ColorOS 给出的卡片化短信点击却会跳转至「泰〇保险」的广告。
如用户关闭此服务,将无法使用验证码识别等功能;如用户关闭「卡片化显示」功能,其他应该被作为卡片显示的短信亦无法被显示(如机票、火车票等)。
测试环境:一加 11(国行,
顺带:一加 11 仍未有任何国行设备完美切换至氧 OS 的方法,目前切换后 OTA 会导致 BootLoop。
PS:
当用户收到如右图显示的广告短信时,ColorOS 的「智能短信识别」服务会自动将广告替换为第三方广告(见左图)。
原短信中的 URL 对应为「众〇保险」的广告,但 ColorOS 给出的卡片化短信点击却会跳转至「泰〇保险」的广告。
如用户关闭此服务,将无法使用验证码识别等功能;如用户关闭「卡片化显示」功能,其他应该被作为卡片显示的短信亦无法被显示(如机票、火车票等)。
测试环境:一加 11(国行,
Color OS PHB110_11_A_06)顺带:一加 11 仍未有任何国行设备完美切换至氧 OS 的方法,目前切换后 OTA 会导致 BootLoop。
PS:
l5y.cn 域名的 ICP 备案信息为苏州致顺杰智能科技有限公司,该公司名下备案的数个域名均为三位左右的短域名,看起来是短链接服务提供商。紫米京东自营旗舰店入口消失,所有商品下架
最性价比的 MFi 配件制造商没了🥹
https://mall.jd.com/index-1000003231.html
2023.04 Update:他又回来了
最性价比的 MFi 配件制造商没了
https://mall.jd.com/index-1000003231.html
2023.04 Update:他又回来了
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 每日消费电子观察 (Kexy Biscuit | 被子饼️ | 百合ヶ咲るる)
Linus Tech Tips 的主要 YouTube 频道被入侵,攻击者修改了频道名称和 @ 开头的 handle,隐藏了绝大部分近年的视频,并进行诈骗直播(截止发稿时直播已经结束,不清楚是否为 YouTube 官方介入),目前 LTT 官方 Twitter 尚未作出回应。
Forwarded from Soha 的日常 (Soha Jin)
科技圈的日常
闲鱼交易不要扫描任何对方发来的二维码,通常是以补快递费等理由发的付款码。 目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。 虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。Mozzie(蚊子)大佬录制了一段视频来展示复现过程,可以看到在开启 Face ID 的情况下会直接完成确认收货操作。 目前支付宝似乎已对大额交易进行风控(确认收货后仍然冻结 3 天资金),但是小额交易仍需谨慎。 这个问题在一…
群友补充内容:
淘宝系 App 本身并不提供担保服务,担保交易功能由支付宝提供。
这个接口是公开的 jsbridge 接口,不管是阿里系还是第三方都在调用这个接口。
接口设计之初并没有考虑到根据调用域名来鉴权,所以并不容易改动。
PS:
看起来调用这个接口时支付宝并没有做二次确认,直接触发了确认流程(Face ID),连付款都是假的。
这个页面全套流程都是假的,但用户看到的流程和「支付 1 元」的流程别无二致,大概也是这么多人上当的原因。
(换咱也可能被骗了)
反而不是代码上的漏洞,而是逻辑上的漏洞。
最简单的修复方式大概是在支付宝 SDK 里对「确认收货」行为做二次弹窗确认了。
淘宝系 App 本身并不提供担保服务,担保交易功能由支付宝提供。
这个接口是公开的 jsbridge 接口,不管是阿里系还是第三方都在调用这个接口。
接口设计之初并没有考虑到根据调用域名来鉴权,所以并不容易改动。
PS:
看起来调用这个接口时支付宝并没有做二次确认,直接触发了确认流程(Face ID),连付款都是假的。
这个页面全套流程都是假的,但用户看到的流程和「支付 1 元」的流程别无二致,大概也是这么多人上当的原因。
(换咱也可能被骗了)
反而不是代码上的漏洞,而是逻辑上的漏洞。
最简单的修复方式大概是在支付宝 SDK 里对「确认收货」行为做二次弹窗确认了。
看到隔壁频道主发的诈骗提醒的评论区,似乎最近诈骗的手段又升级了[1]
据说会有 Bot 构建的虚假 Telegram 官方页面,通过这个外部页面来骗取你输入二步验证密码,从而盗取你的账户
给普通用户一点安全建议:
建议所有没有设置二步验证密码的用户,立即设置二步验证密码。这样即使你的验证码泄露,对方也无法成功登录你的账户
除了在官方客户端首次登录时,没有任何时候需要你主动输入二步验证密码。永远不要泄露你的二步验证密码。
一旦对方可以成功登录你的账户,就可以修改你绑定的手机号码,从而永久性的控制你的账户
Telegram 二步验证密码设置方法:
设置 —> 隐私与安全(Privacy and Security) —> 二步验证(Two-Step Verificaton)
[1]: https://www.tg-me.com/lychee_wood/32515?comment=69952
据说会有 Bot 构建的虚假 Telegram 官方页面,通过这个外部页面来骗取你输入二步验证密码,从而盗取你的账户
给普通用户一点安全建议:
建议所有没有设置二步验证密码的用户,立即设置二步验证密码。这样即使你的验证码泄露,对方也无法成功登录你的账户
除了在官方客户端首次登录时,没有任何时候需要你主动输入二步验证密码。永远不要泄露你的二步验证密码。
一旦对方可以成功登录你的账户,就可以修改你绑定的手机号码,从而永久性的控制你的账户
Telegram 二步验证密码设置方法:
设置 —> 隐私与安全(Privacy and Security) —> 二步验证(Two-Step Verificaton)
[1]: https://www.tg-me.com/lychee_wood/32515?comment=69952
Telegram
ⵎodeHz � in 荔枝木评论区
现在有更高明的了,bot发一个按钮点开是tg内开的网页,让你输入2FA密码(有诈骗文案,不会像我写的这么明显),然后输入密码会实时验证,乱输会不通过((
关键那个界面做的非常原生,用的就是web bot的那个api,适配tg的主题设置
仔细想tg的设计是真的坑
不止是登录会要2FA密码!官方会在一些条件下让你再次确认密码的
除了设置界面的一个定期的提示让你再次输入防止你忘记密码的机制之外
还有一种bot要密码的形式
https://core.telegram.org/constructor/keyboa…
关键那个界面做的非常原生,用的就是web bot的那个api,适配tg的主题设置
仔细想tg的设计是真的坑
不止是登录会要2FA密码!官方会在一些条件下让你再次确认密码的
除了设置界面的一个定期的提示让你再次输入防止你忘记密码的机制之外
还有一种bot要密码的形式
https://core.telegram.org/constructor/keyboa…
安全提醒:如果你在一个月左右游玩了装有 Mod 的 MineCraft,请检查你的电脑是否遭到入侵
数个 Curseforge 和 Bukkit Repo 账户遭到入侵,分发了多个包含恶意软件的 Mod 及 Mod 包。
根据研究人员的分析,该恶意代码将会窃取用户的多个浏览器 Cookies 及登录数据、Discord 用户信息、多个启动器的 MineCraft 登录信息、用户的加密货币钱包数据。同时会替换用户剪切板中的加密货币地址。
据称恶意代码最早在四月中就出现了报告,所以如果你在四月中之后下载了 Mod,即使没有直接从上述来源下载 Mod,也建议检查你的电脑是否遭到入侵。
数条来源:
https://www.tg-me.com/abcthoughts/4951
https://hackmd.io/@jaskarth4/B1gaTOaU2
https://hackmd.io/5gqXVri5S4ewZcGaCbsJdQ
https://www.mcbbs.net/thread-1447445-1-1.html
数个 Curseforge 和 Bukkit Repo 账户遭到入侵,分发了多个包含恶意软件的 Mod 及 Mod 包。
根据研究人员的分析,该恶意代码将会窃取用户的多个浏览器 Cookies 及登录数据、Discord 用户信息、多个启动器的 MineCraft 登录信息、用户的加密货币钱包数据。同时会替换用户剪切板中的加密货币地址。
据称恶意代码最早在四月中就出现了报告,所以如果你在四月中之后下载了 Mod,即使没有直接从上述来源下载 Mod,也建议检查你的电脑是否遭到入侵。
数条来源:
https://www.tg-me.com/abcthoughts/4951
https://hackmd.io/@jaskarth4/B1gaTOaU2
https://hackmd.io/5gqXVri5S4ewZcGaCbsJdQ
https://www.mcbbs.net/thread-1447445-1-1.html
Forwarded from 不存在的世界
中图网网站位于涿州的图书仓库遭受洪水袭击,图书库房受损严重,预计 80% 的书籍将报废销,面临巨大损失。
「图书库房一层昨晚就已泡水,早上撤离时,库区水位已将近 3 米,恐怕二层也不能完全幸免,如果洪水不能很快退去,三层的书也会受潮变形,预计至少 80% 的书(400 多万册,三亿码洋以上)会报废。作为一家以销售尾货图书为主的网站,我们损失的不只是金钱,还有那些不可复制、不会加印的稀缺、绝版、老版书。」
https://weibo.com/1740250437/NcLs99bNH
为了自救,中图上线了「加油包」,其中包括 4 本书 + 1 枚金属书签 + 1 枚纪念徽章,售价 99 元。购买链接
希望看到此处的各位都能够伸出援手,帮中图网度过此次难关。毕竟传统图书行业真的太难了😭
「图书库房一层昨晚就已泡水,早上撤离时,库区水位已将近 3 米,恐怕二层也不能完全幸免,如果洪水不能很快退去,三层的书也会受潮变形,预计至少 80% 的书(400 多万册,三亿码洋以上)会报废。作为一家以销售尾货图书为主的网站,我们损失的不只是金钱,还有那些不可复制、不会加印的稀缺、绝版、老版书。」
https://weibo.com/1740250437/NcLs99bNH
为了自救,中图上线了「加油包」,其中包括 4 本书 + 1 枚金属书签 + 1 枚纪念徽章,售价 99 元。购买链接
希望看到此处的各位都能够伸出援手,帮中图网度过此次难关。毕竟传统图书行业真的太难了
Please open Telegram to view this post
VIEW IN TELEGRAM
Weibo
书友们,昨晚我们因被困上了热搜
就在... 来自中图网官方微博 - 微博
就在... 来自中图网官方微博 - 微博
书友们,昨晚我们因“被困”上了热搜。
就在几天前,我们还因今年业绩严重下滑,为如何少花费又能宣传到位伤脑筋,希望能弄出点“声响”被大家看到。没想到这次声响是大了,却是以这样令人揪心的理由,真的很“黑色幽...
就在几天前,我们还因今年业绩严重下滑,为如何少花费又能宣传到位伤脑筋,希望能弄出点“声响”被大家看到。没想到这次声响是大了,却是以这样令人揪心的理由,真的很“黑色幽...
国内部分手机厂开始承诺提供长系统维护时间
部分厂商提供的承诺如下:
小米为 K60 至尊版(MTK)提供 4 个大版本更新,5 年 OTA。
一加为 11 提供 4 个大版本更新,5 年 OTA;为 Ace 系列提供 3 个大版本更新,4 年 OTA。
OPPO 为 Find X 系列提供 4 个大版本更新,5 年 OTA。
用于对比:
Google 从 Pixel 6 开始提供 3 年系统更新,5 年安全更新。(根据 Pixel 的发布周期,3 年系统更新往往会垮 4 个大版本)
苹果的 iOS 更新时间目前为 6 年,安全更新时间目前为 7 年。*
索尼往往只提供 2 年左右的系统更新。
Ubuntu LTS 的支持周期是 5 年。
五年时间对于手机来说已经足够长到大部分钉子户更换下一代手机了,国内手机厂开始承诺 EOL 时间的事情咱觉得是好事。
* 部分数据取自 endoflife.date
via https://www.tg-me.com/TooruchanNews/27121
部分厂商提供的承诺如下:
小米为 K60 至尊版(MTK)提供 4 个大版本更新,5 年 OTA。
一加为 11 提供 4 个大版本更新,5 年 OTA;为 Ace 系列提供 3 个大版本更新,4 年 OTA。
OPPO 为 Find X 系列提供 4 个大版本更新,5 年 OTA。
用于对比:
Google 从 Pixel 6 开始提供 3 年系统更新,5 年安全更新。(根据 Pixel 的发布周期,3 年系统更新往往会垮 4 个大版本)
苹果的 iOS 更新时间目前为 6 年,安全更新时间目前为 7 年。*
索尼往往只提供 2 年左右的系统更新。
Ubuntu LTS 的支持周期是 5 年。
五年时间对于手机来说已经足够长到大部分钉子户更换下一代手机了,国内手机厂开始承诺 EOL 时间的事情咱觉得是好事。
* 部分数据取自 endoflife.date
via https://www.tg-me.com/TooruchanNews/27121
你知道吗?VSCode 并不是一款完全开源的软件。
VSCode 的前端部分是开源的,但远程开发部分是闭源的,
如果你用过 VSCode Remote 功能的话(包括 WSL、Dev Containers、SSH、Tunnel 等功能),细心观察你会发现这些插件都处于「预览」状态[0]。
此部分代码并不开放,并且不允许二次开发。部分拓展功能未来有可能收费。官方的说法如下[1]:
The Visual Studio Code Remote Development extensions and their related components..., but are not currently open source.
In the future, we may provide additional "premium" developer services like GitHub Codespaces, which provide additional functionality, but the extensions will be free.
You can use the extensions with your own internal or private services. You cannot build a public or commercial service on top of the VS Code Remote Development extensions or their related components (for example VS Code Server)
广为人知的 Code-Server(在浏览器中运行 VSCode)的项目并不是由微软开发的,而是 Coder.com 基于原始 VSCode 二次开发的[2]。
上文提到的 VS Code Server 才是 VSCode 直接提供的 Web 服务,且需要同意微软的附加条款[3]。
还有另一个开源项目 OpenVSCode-Server 提供了一个较新的 VSCode Server 的开源替代[4]。
一点不冷不热的 VSCode 知识。
[0]: https://marketplace.visualstudio.com/items?itemName=ms-vscode-remote.remote-ssh
[1]: https://code.visualstudio.com/docs/remote/faq
[2]: https://github.com/coder/code-server
[3]: https://code.visualstudio.com/license/server
[4]: https://github.com/gitpod-io/openvscode-server
VSCode 的前端部分是开源的,但远程开发部分是闭源的,
如果你用过 VSCode Remote 功能的话(包括 WSL、Dev Containers、SSH、Tunnel 等功能),细心观察你会发现这些插件都处于「预览」状态[0]。
此部分代码并不开放,并且不允许二次开发。部分拓展功能未来有可能收费。官方的说法如下[1]:
The Visual Studio Code Remote Development extensions and their related components..., but are not currently open source.
In the future, we may provide additional "premium" developer services like GitHub Codespaces, which provide additional functionality, but the extensions will be free.
You can use the extensions with your own internal or private services. You cannot build a public or commercial service on top of the VS Code Remote Development extensions or their related components (for example VS Code Server)
广为人知的 Code-Server(在浏览器中运行 VSCode)的项目并不是由微软开发的,而是 Coder.com 基于原始 VSCode 二次开发的[2]。
上文提到的 VS Code Server 才是 VSCode 直接提供的 Web 服务,且需要同意微软的附加条款[3]。
还有另一个开源项目 OpenVSCode-Server 提供了一个较新的 VSCode Server 的开源替代[4]。
一点不冷不热的 VSCode 知识。
[0]: https://marketplace.visualstudio.com/items?itemName=ms-vscode-remote.remote-ssh
[1]: https://code.visualstudio.com/docs/remote/faq
[2]: https://github.com/coder/code-server
[3]: https://code.visualstudio.com/license/server
[4]: https://github.com/gitpod-io/openvscode-server
Visualstudio
Remote - SSH - Visual Studio Marketplace
Extension for Visual Studio Code - Open any folder on a remote machine using SSH and take advantage of VS Code's full feature set.
今天路过优衣库,发现竟然和 Akamai 做了联名(没错就是你想的那个 Akamai)
对应的是优衣库的 Peace for all 活动
(官方介绍:※ 优衣库中国大陆地区本系列销售收入的20%将捐赠给致力于关爱儿童、促进社会和谐的曹鹏公益基金会。)
上面的 go 代码有人试图完善了一下,仓库在这: https://github.com/yoidea/akamai-t-shirt
商品链接: https://www.uniqlo.cn/product-detail.html?productCode=u0000000044028
#可能是也可能不是科技圈的日常
对应的是优衣库的 Peace for all 活动
(官方介绍:※ 优衣库中国大陆地区本系列销售收入的20%将捐赠给致力于关爱儿童、促进社会和谐的曹鹏公益基金会。)
上面的 go 代码有人试图完善了一下,仓库在这: https://github.com/yoidea/akamai-t-shirt
商品链接: https://www.uniqlo.cn/product-detail.html?productCode=u0000000044028
#可能是也可能不是科技圈的日常
原帖:JetBrain 为啥不出家庭订阅服务
> 楼主:我爷爷还在用 EMACS, 我跟我爸都是单独订阅的,现在大环境不好,又逢 RMB 贬值,有点扛不住了
>> 1 楼:
你有一个用 Emacs 的爷爷,你和你爸还用 JetBrains IDE 。
你这都已经算是程序员世家了。三代人在一个到现在风口了二十多年的行业里,居然赚的钱还扛不住个 RMB 贬值。
建议还是转行算了。
>> 61 楼:
等等,你爷爷你爸爸和你,不会是一个大学宿舍的舍友吧
https://www.v2ex.com/t/973019
笑死,看评论区已经乐了五分钟了
#可能是也可能不是科技圈的日常
> 楼主:我爷爷还在用 EMACS, 我跟我爸都是单独订阅的,现在大环境不好,又逢 RMB 贬值,有点扛不住了
>> 1 楼:
你有一个用 Emacs 的爷爷,你和你爸还用 JetBrains IDE 。
你这都已经算是程序员世家了。三代人在一个到现在风口了二十多年的行业里,居然赚的钱还扛不住个 RMB 贬值。
建议还是转行算了。
>> 61 楼:
等等,你爷爷你爸爸和你,不会是一个大学宿舍的舍友吧
https://www.v2ex.com/t/973019
笑死,看评论区已经乐了五分钟了
#可能是也可能不是科技圈的日常
V2EX
JetBrain 为啥不出家庭订阅服务 - V2EX
程序员 - @eatgrass - 我爷爷还在用 EMACS, 我跟我爸都是单独订阅的,现在大环境不好,又逢 RMB 贬值,有点扛不住了
今日苹果发布会速报(超精简版)
新的 Apple Watch:
- 多了手指点击操控(残疾人辅助功能下放到普通人)
- 屏幕亮度 1-2000 nit
- U2 超宽频芯片
- 新的粉色
- 包装更环保了
- 增加了赛博赌石表带
新的 iPhone:
- 粉色!
- 2000nits
- 超磁晶后盖
- 48MP 主摄
- 卫星通讯增强(没有大中华区)
新的 iPhone Pro(和 Pro Max):
- 音量键变成 Action 按钮了
- 钛合金机身
- A17 Pro
- USB 3(10Gbps)
- 光线追踪
- 5X 变焦
其他更详细的内容可以去看各种友台的图文直播 / 总结。
今年科技春晚结束。
新的 Apple Watch:
- 多了手指点击操控(残疾人辅助功能下放到普通人)
- 屏幕亮度 1-2000 nit
- U2 超宽频芯片
- 新的粉色
- 包装更环保了
- 增加了赛博赌石表带
新的 iPhone:
- 粉色!
- 2000nits
- 超磁晶后盖
- 48MP 主摄
- 卫星通讯增强(没有大中华区)
新的 iPhone Pro(和 Pro Max):
- 音量键变成 Action 按钮了
- 钛合金机身
- A17 Pro
- USB 3(10Gbps)
- 光线追踪
- 5X 变焦
其他更详细的内容可以去看各种友台的图文直播 / 总结。
今年科技春晚结束。
树莓派发布第五代开发板
省流助手:
4GB 内存 60$
8GB 内存 80$
主要配置:
CPU: 4 核 A76 @2.4GHz BCM2712
GPU: VideoCore7 @0.8Ghz
4k60p HEVC 解码,两个 4k60p HDMI 接口
802.11ac WiFi + 蓝牙 5.0
2x USB3.0 5Gbps (也能叫 USB 3.2 Gen 1x1)
2x USB2.0
千兆以太网(PoE 需额外购买拓展版)
2x 4-lane MIPI 接口
1x PCIe 2.0
40P GPIO
Type-C 供电,自带了一个电源按钮
(但还是很阴间的 5V 5A @25W 的阴间供电格式)
使用树莓派自己的 RP1 芯片用于 IO 管理
增加了外置 RTC(RTC 电池需额外购买)
用于传输音视频的 3.5mm 接口被移除
本代官方增加了使用涡轮风扇的主动散热鳍片(需额外购买)
https://www.raspberrypi.com/news/introducing-raspberry-pi-5/
省流助手:
4GB 内存 60$
8GB 内存 80$
主要配置:
CPU: 4 核 A76 @2.4GHz BCM2712
GPU: VideoCore7 @0.8Ghz
4k60p HEVC 解码,两个 4k60p HDMI 接口
802.11ac WiFi + 蓝牙 5.0
2x USB3.0 5Gbps (也能叫 USB 3.2 Gen 1x1)
2x USB2.0
千兆以太网(PoE 需额外购买拓展版)
2x 4-lane MIPI 接口
1x PCIe 2.0
40P GPIO
Type-C 供电,自带了一个电源按钮
(但还是很阴间的 5V 5A @25W 的阴间供电格式)
使用树莓派自己的 RP1 芯片用于 IO 管理
增加了外置 RTC(RTC 电池需额外购买)
用于传输音视频的 3.5mm 接口被移除
本代官方增加了使用涡轮风扇的主动散热鳍片(需额外购买)
https://www.raspberrypi.com/news/introducing-raspberry-pi-5/
北京地铁的英语翻译命名应该是咱见过的城市里最乱的。
每年都有新花样,每年都有新感觉,同为「大都市」的上海、深圳、广州要好不少,起码一眼上去你知道这个站该怎么分词。
有个 UP 针对北京地铁的翻译「乱象」做了个视频,没注意有这么多细节,还挺好玩的。
https://www.bilibili.com/video/av659085371/
#大概率不是科技圈的日常
每年都有新花样,每年都有新感觉,同为「大都市」的上海、深圳、广州要好不少,起码一眼上去你知道这个站该怎么分词。
有个 UP 针对北京地铁的翻译「乱象」做了个视频,没注意有这么多细节,还挺好玩的。
https://www.bilibili.com/video/av659085371/
#大概率不是科技圈的日常