FTC 宣称将就提前订阅终止费用及终止订阅的冗长流程起诉 Adobe。
文章中,FTC 称 Adobe 的行为违反 Restore Online Shoppers' Confidence Act 之法案。
ftc.gov/~
#FTC #Adobe
文章中,FTC 称 Adobe 的行为违反 Restore Online Shoppers' Confidence Act 之法案。
ftc.gov/~
#FTC #Adobe
Federal Trade Commission
FTC Takes Action Against Adobe and Executives for Hiding Fees, Preventing Consumers from Easily Cancelling Software Subscriptions
The Federal Trade Commission is taking action against software maker Adobe and two of its executives, Maninder Sawhney and David Wadhwani, for deceiving consumers by hiding the early terminati
层叠 - The Cascading
欧盟的 GDPR 是出了名严格的隐私保护法案。然而,这样严格的法案给对儿童性虐待行为的打击带来了压力。昨天,欧盟议会以 537 票通过,133 票反对,24 票弃权的票数通过了为期最多三年的临时法案,允许服务商扫描用户的文本、图片与视频数据等(不含语音通讯)以查找可能存在的儿童性虐待内容。数据保护机关会有更高的权力,以监管服务商扫描行为,确保其保护用户隐私。 Politico 的文章 [1] 同时提到,欧盟委员会希望限制通讯的安全性,阻止通信加密技术的发展, 甚至给端对端加密 IM 安装后门。欧盟内部事务专员…
在隐私方面受到争议的 ChatControl 法案由于未能获得多数支持而推迟在欧盟峰会表决。
法案反对者称此法案以保护儿童及扫描 CSAM 内容为名,实则破坏加密系统及危害用户隐私。
stackdiary.com/~
thread: /2913
#EU #Privacy #ChatControl
法案反对者称此法案以保护儿童及扫描 CSAM 内容为名,实则破坏加密系统及危害用户隐私。
stackdiary.com/~
thread: /2913
#EU #Privacy #ChatControl
Stack Diary
EU Council has withdrawn the vote on Chat Control
The EU Council and its participants have decided to withdraw the vote on the contentious Chat Control plan proposed by Belgium, the current EU President.
层叠 - The Cascading
Polyfill.io 服务改为由 CDN 服务商 Funnull 运营;Fastly 和 Cloudflare 已提供 drop-in 替代。 - Polyfill.io 项目开发者 Jake Champion 提到,已将项目和服务运营移交给一家名为 Funnull 的公司;另一位开发者 Andrew Betts 引用上条,并呼吁开发者停止使用 polyfill.io 服务。[1] - Funnull 称公司位于斯洛文尼亚,但官方网站默认使用中文显示。网站还称公司与许多博彩类服务商存在深度合作关系 [2]。…
#PSA: 请停止使用 polyfill.io ; polyfill.io 被发现注入恶意代码到浏览器,将用户跳转至其它网站。
有需求的网站主可换用 Fastly 和 Cloudflare 的替代服务 [thread]。
theregister.com/~
thread: /4454
#PolyfillIO #Security
有需求的网站主可换用 Fastly 和 Cloudflare 的替代服务 [thread]。
theregister.com/~
thread: /4454
#PolyfillIO #Security
The Register
If you're using Polyfill.io code on your site – like 100,000+ are – remove it immediately
Scripts turn sus after mysterious CDN swallows domain
韩国 ISP KT 在用户设备上安装恶意软件,阻止其使用 BitTorrent 功能。
关于此事的细节:
* 韩国云服务商 Webhard 发现,其基于 BitTorrent 的文件共享服务对大量使用 KT 宽带服务的用户不可用,原因是用户设备受到恶意软件影响。
* 警察介入调查,发现恶意软件来自 KT 的数据中心,并检控包括 KT 员工及外包人员在内的共 13 人。
* KT 与 Webhard 的冲突由来已久:基于 BitTorrent 的文件共享服务为 Webhard 节省数百亿韩元的流量费,但 BitTorrent 对 KT 的网络带来了压力。
* 就两家公司的冲突而言,司法判决更偏向 KT:法院认为 Webhard 并未支付流量费,也未向用户解释其 P2P 网络的工作原理,因此 KT 有理由屏蔽其流量。
* 韩国 ISP 对网络流量费的要价一直相对高昂,这已经使得 Twitch 等服务退出韩国 [1]。
tomshardware.com/~
seealso: HackerNews:40805099
1. /4387
#KR #NetworkNeutrality
关于此事的细节:
* 韩国云服务商 Webhard 发现,其基于 BitTorrent 的文件共享服务对大量使用 KT 宽带服务的用户不可用,原因是用户设备受到恶意软件影响。
* 警察介入调查,发现恶意软件来自 KT 的数据中心,并检控包括 KT 员工及外包人员在内的共 13 人。
* KT 与 Webhard 的冲突由来已久:基于 BitTorrent 的文件共享服务为 Webhard 节省数百亿韩元的流量费,但 BitTorrent 对 KT 的网络带来了压力。
* 就两家公司的冲突而言,司法判决更偏向 KT:法院认为 Webhard 并未支付流量费,也未向用户解释其 P2P 网络的工作原理,因此 KT 有理由屏蔽其流量。
* 韩国 ISP 对网络流量费的要价一直相对高昂,这已经使得 Twitch 等服务退出韩国 [1]。
tomshardware.com/~
seealso: HackerNews:40805099
1. /4387
#KR #NetworkNeutrality
Tom's Hardware
South Korean telecom company attacks customers with malware — over 600,000 torrent users report missing files, strange folders…
ISP sends malware to hundreds of thousands of customers to stop them from using a file-sharing service.
Chrome 宣布停止信任 2024/10/31 后在 CT 登记的由 Entrust CA 签发的证书。
- Entrust 是一家 CA,旗下证书品牌包括 Entrust 和 AffirmTrust 等。
- Google 决定停止信任 Entrust 的原因是,后者近期发生多起违反 CA/B BR 的事件,并且在多个方面未能使公众信服其作为 CA 的能力。 [1]
security.googleblog.com/~
linksrc: blog.gslin.org/~
1. groups.google.com/~
#PKI #Google
- Entrust 是一家 CA,旗下证书品牌包括 Entrust 和 AffirmTrust 等。
- Google 决定停止信任 Entrust 的原因是,后者近期发生多起违反 CA/B BR 的事件,并且在多个方面未能使公众信服其作为 CA 的能力。 [1]
security.googleblog.com/~
linksrc: blog.gslin.org/~
1. groups.google.com/~
#PKI #Google
Google Online Security Blog
Sustaining Digital Certificate Security - Entrust Certificate Distrust
Posted by Chrome Root Program, Chrome Security Team Update (09/10/2024): In support of more closely aligning Chrome’s planned compliance ...
层叠 - The Cascading
法国法院裁定要求 Google、Cloudflare 及 Cisco 对其指定的盗版体育串流网站进行 DNS 污染。 torrentfreak.com/~ #FR #DNS #Piracy
OpenDNS 宣布停止向法国用户提供服务。
support.opendns.com/~
linksrc: torrentfreak.com/~
thread: /4546
#FR #DNS #OpenDNS
support.opendns.com/~
linksrc: torrentfreak.com/~
thread: /4546
#FR #DNS #OpenDNS
OpenDNS
OpenDNS Service Not Available To Users In France and Portugal
July 23, 2024: Cisco's OpenDNS service has been reactivated in Portugal and is currently available following a decision by the Lisbon Court of Appeal.
Effective June 28, 2024: Due to a court orde...
Effective June 28, 2024: Due to a court orde...
#PSA :请更新 OpenSSH;远程任意代码执行漏洞。
关于此 CVE:
- 这是 CVE-2006-5051 的 regression。
- 在开启 ASLR 的 i386 设备上,大约需要 6-8 小时获取 root shell;在开启 ASLR 的 amd64 设备上则可能需要约一周左右。
- 临时的修复是设置
CVE: CVE-2024-6387
Affects: [8.5p1, 9.8p1)
https://www.qualys.com/regresshion-cve-2024-6387/
#CVE #RegreSSHion
关于此 CVE:
- 这是 CVE-2006-5051 的 regression。
- 在开启 ASLR 的 i386 设备上,大约需要 6-8 小时获取 root shell;在开启 ASLR 的 amd64 设备上则可能需要约一周左右。
- 临时的修复是设置
LoginGraceTime
为 0,不过这会使 ssh 服务易于受到 DoS 攻击。CVE: CVE-2024-6387
Affects: [8.5p1, 9.8p1)
https://www.qualys.com/regresshion-cve-2024-6387/
#CVE #RegreSSHion
Qualys
OpenSSH Vulnerability: CVE-2024-6387 FAQs and Resources | Qualys
Get to know about CVE-2024-6387, the OpenSSH vulnerability, and explore its FAQs on Regresshion for detailed insights and updates. Read More!
层叠 - The Cascading
#PSA: 请停止使用 polyfill.io ; polyfill.io 被发现注入恶意代码到浏览器,将用户跳转至其它网站。 有需求的网站主可换用 Fastly 和 Cloudflare 的替代服务 [thread]。 theregister.com/~ thread: /4454 #PolyfillIO #Security
关于 polyfill.io 、 bootcdn.net 及 staticfile.org 等的后续消息:
- 受影响的 CDN 包括 bootcdn.net 、 bootcss.com 、 staticfile.net 、 staticfile.org 等 [1]。
- uBlock 的 "Badware risks" 过滤器已经阻断了到这些站点的访问;Namecheap 关停了 polyfill.io 和 polyfill.com 域名 [2];Google 亦开始停止投放使用 polyfill.io 网站的广告 [1]。
- Cloudflare 提供了自动替换至自有 Polyfill 的服务,默认对免费计划的站点启用;付费计划的站点可以手工启用 [3]。
- 一位安全研究者发现,GitHub 上的 data.polyfill.com 库存储了 Cloudflare API 密钥,并用密钥访问 Cloudflare API 发现同一个账户控制着以上的这些域名 [2]。
1. sansec.io/~
2. bleepingcomputer.com/~
3. blog.cloudflare.com/~
thread: /4551
[感谢 夜坂雅 提供此消息。]
#PolyfillIO #Security
- 受影响的 CDN 包括 bootcdn.net 、 bootcss.com 、 staticfile.net 、 staticfile.org 等 [1]。
- uBlock 的 "Badware risks" 过滤器已经阻断了到这些站点的访问;Namecheap 关停了 polyfill.io 和 polyfill.com 域名 [2];Google 亦开始停止投放使用 polyfill.io 网站的广告 [1]。
- Cloudflare 提供了自动替换至自有 Polyfill 的服务,默认对免费计划的站点启用;付费计划的站点可以手工启用 [3]。
- 一位安全研究者发现,GitHub 上的 data.polyfill.com 库存储了 Cloudflare API 密钥,并用密钥访问 Cloudflare API 发现同一个账户控制着以上的这些域名 [2]。
1. sansec.io/~
2. bleepingcomputer.com/~
3. blog.cloudflare.com/~
thread: /4551
[感谢 夜坂雅 提供此消息。]
#PolyfillIO #Security
Sansec
Polyfill supply chain attack hits 100K+ sites
The new Chinese owner of the popular Polyfill JS project injects malware into more than 100 thousand sites.
#PSA :Mastodon 实例管理员请更新至 4.2.10;新漏洞或会使私有贴文泄露。
https://github.com/mastodon/mastodon/releases/tag/v4.2.10
CVE: CVE-2024-37903
CVSS: 8.2 (GitHub)
#Mastodon
https://github.com/mastodon/mastodon/releases/tag/v4.2.10
CVE: CVE-2024-37903
CVSS: 8.2 (GitHub)
#Mastodon
GitHub
Release v4.2.10 · mastodon/mastodon
WarningThis release is an important security release fixing a major security issue.
A corresponding security release is available for the 4.1.x branch.
NoteIf you are using nightly builds, do not ...
A corresponding security release is available for the 4.1.x branch.
NoteIf you are using nightly builds, do not ...
Twilio 在骇客放出数据后确认 Authy 用户手机号码遭到泄露。受影响用户数约 3300 万。
Authy 是 Twilio 的 2FA 软件,需要手机号码注册。Twilio 的部分服务只支持此 App 作为 2FA 方式。
securityweek.com/~
#Twilio #Privacy
Authy 是 Twilio 的 2FA 软件,需要手机号码注册。Twilio 的部分服务只支持此 App 作为 2FA 方式。
securityweek.com/~
#Twilio #Privacy
SecurityWeek
Twilio Confirms Data Breach After Hackers Leak 33M Authy User Phone Numbers
Twilio has confirmed a data breach after hackers leaked 33 million phone numbers associated with the Authy app.
绿联私有云 NAS 向用户分发公用泛域名证书私钥。
目前此证书已被吊销 [2]。
1. https://www.bilibili.com/video/av1706021446/
2. https://crt.sh/?id=13146419955&opt=ocsp
#Ugreen #TLS
目前此证书已被吊销 [2]。
1. https://www.bilibili.com/video/av1706021446/
2. https://crt.sh/?id=13146419955&opt=ocsp
#Ugreen #TLS
Bilibili
视频去哪了呢?_哔哩哔哩_bilibili
undefined, 视频播放量 undefined、弹幕量 undefined、点赞数 undefined、投硬币枚数 undefined、收藏人数 undefined、转发人数 undefined, 视频作者 undefined, 作者简介 undefined,相关视频:
Figma 开放 AI 特性;Starter 及 Professional 计划用户默认允许自己作品用于训练。
Figma 还提到:
- 关于启用 AI 特性的功能,所有用户默认是打开状态。
- 关于 8/15 后允许自己作品用于 AI 训练的选项,Starter/Professional 计划用户默认开启,Organization/Enterprise 计划用户默认关闭。
help.figma.com/~
#Figma #AI
Figma 还提到:
- 关于启用 AI 特性的功能,所有用户默认是打开状态。
- 关于 8/15 后允许自己作品用于 AI 训练的选项,Starter/Professional 计划用户默认开启,Organization/Enterprise 计划用户默认关闭。
help.figma.com/~
#Figma #AI
Figma Learn - Help Center
Control AI features and content training settings
Who can use this feature
Available on all paid plans
Note: Figma’s AI features are currently free while in beta, but usage limits may apply. When made generally available, Figma AI will be...
Available on all paid plans
Note: Figma’s AI features are currently free while in beta, but usage limits may apply. When made generally available, Figma AI will be...
有 Twitter 用户发现 Chrome 内置隐藏插件 [1] 允许 Google 站点访问用户设备资源占用数据。
- 网站可以获取的数据包括用户设备 CPU、GPU、内存用量及处理器细节等。
- 此特性在第三方 Chromium 内核浏览器的 Edge 和 Brave 亦存在。
- 此插件名称显示其或与 Google Hangouts 有关,后者在 2022 年停止服务。也有 Hacker News 评论称 Google Meet 也用此特性显示调试数据。
twitter.com/lcasdev/~
seealso: HackerNews:40918052
1. source.chromium.org/~
#Chrome #Privacy
- 网站可以获取的数据包括用户设备 CPU、GPU、内存用量及处理器细节等。
- 此特性在第三方 Chromium 内核浏览器的 Edge 和 Brave 亦存在。
- 此插件名称显示其或与 Google Hangouts 有关,后者在 2022 年停止服务。也有 Hacker News 评论称 Google Meet 也用此特性显示调试数据。
twitter.com/lcasdev/~
seealso: HackerNews:40918052
1. source.chromium.org/~
#Chrome #Privacy
AT&T 称几乎所有用户的电话和短信记录元数据(不含内容)遭到泄露。
TechCrunch 还提到:
- 被泄露的包括用户 2022/5/1-2022/10/31 的数据,部分用户的数据新至 2023/1/2。
- 部分使用 AT&T 网络的其它运营商用户也受影响。
- 部分泄露数据还能够透过信号塔信息关联到用户的地理位置。
- AT&T 称数据泄露自其使用的 Snowflake 数据云平台,后者则将其归咎于客户未妥善使用 2FA 保全账户。
- 多家公司,包括票务服务 Ticketmaster 及贷款信息服务 LendingTree 等近期均称自己在 Snowflake 的数据遭到泄露。
techcrunch.com/~
seealso: HackerNews:40944505
#ATNT #Privacy
TechCrunch 还提到:
- 被泄露的包括用户 2022/5/1-2022/10/31 的数据,部分用户的数据新至 2023/1/2。
- 部分使用 AT&T 网络的其它运营商用户也受影响。
- 部分泄露数据还能够透过信号塔信息关联到用户的地理位置。
- AT&T 称数据泄露自其使用的 Snowflake 数据云平台,后者则将其归咎于客户未妥善使用 2FA 保全账户。
- 多家公司,包括票务服务 Ticketmaster 及贷款信息服务 LendingTree 等近期均称自己在 Snowflake 的数据遭到泄露。
techcrunch.com/~
seealso: HackerNews:40944505
#ATNT #Privacy
TechCrunch
AT&T says criminals stole phone records of ‘nearly all’ customers in new data breach
The stolen data includes 110 million AT&T customer phone numbers, calling and text records, and some location-related data.
赞助/内容销售平台「爱发电」站点被停止解析;域名被锁定。
whois 信息显示,域名处于 clientHold 及 clientTransferProhibited 状态,或是被注册商锁定。
另参:The Cascading 关于重新考虑使用受中国企业管辖的域名的建议 [1]。
1. /3893
#DNS #China #Xinnet #Afdian
whois 信息显示,域名处于 clientHold 及 clientTransferProhibited 状态,或是被注册商锁定。
另参:The Cascading 关于重新考虑使用受中国企业管辖的域名的建议 [1]。
1. /3893
#DNS #China #Xinnet #Afdian
Telegram
层叠 - The Cascading
内容销售平台「面包多」的主域名 mianbaoduo.com 在 10/22 被腾讯云/新网暂停解析。服务商告知称,政府部门要求面包多删除平台上的一个有害内容。在处理内容及提交相应报告后数天,面包多被告知其域名无法解封。
此平台已经切换到 mbd.pub 域名。
2019 年和 2021 年,The Cascading 曾经提及至少 LeanCloud [1]、 Gitee [2],及画图本 [3] 三个由于类似原因域名被阿里云/万网和腾讯云/新网停止解析的案例。本台再次建议订户不要注册管理局或注册商在中国的域名…
此平台已经切换到 mbd.pub 域名。
2019 年和 2021 年,The Cascading 曾经提及至少 LeanCloud [1]、 Gitee [2],及画图本 [3] 三个由于类似原因域名被阿里云/万网和腾讯云/新网停止解析的案例。本台再次建议订户不要注册管理局或注册商在中国的域名…
Firefox 128 起提供「『保护隐私的』广告效果衡量」功能;因默认启用而引发争议。
mastodon.social/~
seealso: HackerNews:40954535
#Firefox #Privacy
mastodon.social/~
seealso: HackerNews:40954535
#Firefox #Privacy
Mastodon
mcc (@[email protected])
Attached: 1 image
So this, from Firefox, is fucking toxic: https://mstdn.social/@Lokjo/112772496939724214
You might be aware Chrome— a browser made by an ad company— has been trying to claw back the limitations recently placed on ad networks by the death…
So this, from Firefox, is fucking toxic: https://mstdn.social/@Lokjo/112772496939724214
You might be aware Chrome— a browser made by an ad company— has been trying to claw back the limitations recently placed on ad networks by the death…
层叠 - The Cascading
Firefox 128 起提供「『保护隐私的』广告效果衡量」功能;因默认启用而引发争议。 mastodon.social/~ seealso: HackerNews:40954535 #Firefox #Privacy
Firefox CTO 在 Reddit 回应对「广告效果衡量」功能的质疑。
文章提到:
- 广告业是大型行业,不会单纯因为用户的抵制而消失
- 用户尝试绕过广告势必会加剧广告业与用户的对立;帮助双方共同寻找保护隐私的替代方案会更有意义
- Mozilla 与 Meta 这样的大型广告主合作,亦有和 W3C 及 ISRG 合作,以确保研究成果有效用
- 「广告效果衡量」功能是一个临时原型,只在 Firefox 访问特定站点时启用;它旨在收集数据,不进行追踪行为
- Firefox 认为就此功能向用户弹窗索要授权并不用户友好,因而选择自行配置「更好的默认值」 (better defaults)
old.reddit.com/~
thread: /4565
[感谢订户提供此消息。]
#Firefox #Privacy
文章提到:
- 广告业是大型行业,不会单纯因为用户的抵制而消失
- 用户尝试绕过广告势必会加剧广告业与用户的对立;帮助双方共同寻找保护隐私的替代方案会更有意义
- Mozilla 与 Meta 这样的大型广告主合作,亦有和 W3C 及 ISRG 合作,以确保研究成果有效用
- 「广告效果衡量」功能是一个临时原型,只在 Firefox 访问特定站点时启用;它旨在收集数据,不进行追踪行为
- Firefox 认为就此功能向用户弹窗索要授权并不用户友好,因而选择自行配置「更好的默认值」 (better defaults)
old.reddit.com/~
thread: /4565
[感谢订户提供此消息。]
#Firefox #Privacy
Reddit
From the firefox community on Reddit: A Word About Private Attribution in Firefox
Explore this post and more from the firefox community
[旧闻] CrowdStrike 安全软件导致全世界大量机场、医院等组织的 Windows 设备蓝屏无法启动。
受影响用户可以手动进入安全模式删除
- forbes.com/~
- crowdstrike.com/~
EDIT 7/21: 修正笔误。感谢订户指出。
#CrowdStrike #Windows #BSOD
受影响用户可以手动进入安全模式删除
%WINDIR%\System32\drivers\CrowdStrike
下形似 C-00000291*.sys
的文件以解决故障。- forbes.com/~
- crowdstrike.com/~
EDIT 7/21: 修正笔误。感谢订户指出。
#CrowdStrike #Windows #BSOD
Forbes
CrowdStrike Windows Outage—What Happened And What To Do Next
A CrowdStrike update is breaking computers running Windows. Here's what happened and what to do to fix the issue.