Nitrokey 的网站上发布了一篇文章，质疑使用高通芯片的设备均会向高通发送数据，即使是主打隐私特性的 Fairphone 或刷入 /e/OS 等 ROM 后的设备也存在此问题，并宣称 NitroPhone 和 GrapheneOS 不受此影响。

独立安全研究者 Paul Privacy 的这篇文章提到，其安全研究发现刷入 /e/OS 的 Sony Xperia XA2 设备会私自向 izatcloud.net 发送未加密数据。此域名的 WHOIS 数据显示其是由高通控制的域名。研究者就此向高通咨询，后者回应称此域名用于高通的 XTRA 服务。文章称此服务是设备 A-GPS 功能的一部分。

NitroPhone 是 Nitrokey 公司的产品。

www.nitrokey.com/~
seealso: HackerNews:35698547

EDIT 4/26: 编辑注：我们认为本篇文章有明显的宣传自家产品的意图。请各位订户在阅读本文时注意甄别事实及推断内容。

#Nitrokey #Qualcomm #today

> 我们认为本篇文章有明显的宣传自家产品的意图。请各位订户在阅读本文时注意甄别事实及推断内容。

seealso: https://blog.brixit.nl/nitrokey-dissapoints-me/

thread: /4165

#today

Skeb 现已支持支付宝、支付宝（香港）及微信支付等。

https://medium.com/skeb-jp/overseas-payment-86f67a638f85

linksrc: https://www.tg-me.com/abcthoughts/4906

#Skeb

来自中国的新中间 CA：
- 阿里云：
- Alibaba Cloud GCC R3 AlphaSSL CA 2023
- Alibaba Cloud GCC R3 DV/OV TLS CA 2023
- SHECA（上海市数字证书认证中心 [1] ）：
- SHECA OV Server CA G7

查看 diff (csv) | 目前的中级 CA 列表 (HTML)

1. https://www.sheca.com/

#NewIntermediateCA

二月初起，Netflix 在西班牙等区域使用技术检测与它人共享帐号的用户，并要求这些帐号为每个额外共享帐号用户支付每月 5.99 欧元的价格 [1]。市场调研机构 Kantar 的报告称，Netflix 第一季度在西班牙失去了 100 万名用户，其中的三分之二归因于此政策。

www.bloomberg.com/~ (Paywall) | 通过 archive.ph 绕过 paywall
seealso: HackerNews:35710269

1. https://about.netflix.com/en/news/an-update-on-sharing

#Netflix

在 SIF 于 3/31 停服及 SIF2 与 LLLL 于 4/15 开服后，Love Live! 系列的另一款旧有游戏《学园偶像祭：群星闪耀》（又称 LLAS）的各运营区域也于近日宣布将于 6/30 停止服务。

至此，Love Live! 还在活跃更新的手游只余下 SIF2 （目前只有日服）。

- https://lovelive-as.bushimo.jp/news/94ng/
- lovelive-as-global.com/~
- https://llas.web.sdo.com/web2/news_cont.html?id=349394

thread: /4151

#LoveLive

Public Interest Research Group (PIRG) 的一篇报告提到，近几年间由于疫情原因在教育领域尤为盛行的 Chromebook 设备逐渐接近了它们的支持结束期（平均数在约 2027 年）。在此期限后，设备将不再能得到及时的更新，甚至无法用于进行一些线上公共考试。届时，替换这些设备会耗资巨大，并且带来严重的浪费问题。除此之外，这些设备的设计使其难以维修或维修成本昂贵。

文章呼吁 Google 等厂商延长 Chromebook 设备的支持期以减少浪费，并节省税金在教育经费上的支出。

- https://publicinterestnetwork.org/articles/when-will-my-chromebook-expire-why-computers-should-be-designed-to-last/
- https://publicinterestnetwork.org/wp-content/uploads/2023/04/PIRG-Chromebook-Churn.pdf

[感谢 Orca 提供此消息。]

#Chromebook #Google

Vercel 发布了 Vercel KV、Vercel Postgres 及 Vercel Blob 预览版本；它们分别由 Vercel 与 Upstash、Neon 及 Cloudflare R2 合作提供。

Deno 也发布了 Deno KV 预览版本，开发者可以加入功能体验的 waitlist。

- https://vercel.com/changelog/vercel-kv
- https://vercel.com/changelog/vercel-postgres
- https://vercel.com/changelog/vercel-blob
- https://deno.com/blog/kv
seealso: https://service-markup.vercel.app/

#Vercel #Deno #Serverless

有 Reddit 用户称收到 Microsoft 的告知 (MC548092)，Outlook for Windows 中的链接将只从 Edge 打开，无论用户设置的默认浏览器是什么。此特性在将来也会应用到从 Teams 客户端打开的链接上。

The Verge 的报道提到，Microsoft 365 Enterprise 订阅的 tenant 的管理员可以透过策略进行配置，而 Microsoft 365 for business 用户则需在机器上各个配置。

www.theverge.com/~

#Microsoft #Edge

FYI：OpenAI 在其隐私政策中提供了提交从 ChatGPT 输出中移除个人信息之请求的申请表格。

- https://openai.com/policies/privacy-policy
- https://share.hsforms.com/1UPy6xqxZSEqTrGDh4ywo_g4sk30
seealso: HackerNews:35814480

#today #OpenAI

英国竞争和市场管理局 (Competition and Markets Authority) 否决了微软收购动视暴雪的交易，称此收购将影响在新兴云游戏市场的竞争。

微软总裁 Brad Smith 回应称对此决定表示失望，并批评称「欧盟比英国有着更好的营商环境」。微软也称将就此决定上诉。

- www.theverge.com/~
- www.reuters.com/~

#Microsoft #Acquision #ATVI

[预警] 闲鱼交易不要扫描任何对方发来的二维码。目前支付宝收货逻辑存在严重业务逻辑漏洞，在最坏情况（开启面容支付）下可以实现受害者 0 click 自动确认收货，导致钱货两空。目前支付宝似乎已对大额交易进行风控，但是小额交易仍需谨慎。

在使用支付宝支付时（例如，在第三方网页中），闲鱼可能会在支付后自动确认对应订单收货。然而，这可能不符合用户的预期，使得用户无意间确认了尚未收到货物的订单，从而导致财产损失。

感兴趣的订户可以在 [seealso] 参考复现视频。

seealso: https://www.tg-me.com/MyOutsider/263

#Alipay #Goofish

Bluesky 是一款去中心式社交网络企划，Twitter 创始人 Jack Dorsey 在 2019 年开始此项目 [1]。

Bluesky 用户可以使用域名代替自己的 ID（例如 @atproto.com ）。对于验证域名所有权的方法，除了普遍使用的 DNS 记录验证方式外，Bluesky 还自行设计了另一种基于 HTTP 的验证方式：用户可以在 <域名>/xrpc/com.atproto.identity.resolveHandle 写入自己的 Bluesky ID 信息以验证域名所有权。然而，与 RFC 5785 提到的 /.well-known 目录不同， /xrpc 并不是业界标准，因此用户可能也可以通过这种方式「验证」不属于自己的域名。于是，我们就会看到 @s3.amazonaws.com 这样的账户。

https://chaos.social/@jonty/110307532009155432
seealso: HackerNews:35820368

1. https://blueskyweb.xyz/faq
2. https://blueskyweb.xyz/blog/4-28-2023-domain-handle-tutorial

#Bluesky #Web

比利时于今年二月立法许可道德黑客 (ethical hacking) 之行为。黑客可以无需授权及对比利时组织进行渗透测试以找出潜在安全问题，而不必承担刑事责任，惟需遵守一些规则：包括不得故意损害或企图非法获利（漏洞奖励计划不在此限）、发现漏洞后需尽快报告给国家网安部门及当事组织、不可为测试目的而行为过度或影响服务可用性，以及不可未授权公开漏洞细节等。

https://www.law.kuleuven.be/citip/blog/belgium-legalises-ethical-hacking-a-threat-or-an-opportunity-for-cybersecurity/
seealso: HackerNews:35847860

#Belgium #Security

印度屏蔽了 14 款移动通讯 App，包括 Mediafire、Briar、Threema 和 Element，称这些软件参与散播恐怖主义内容；因为它们的运营商没有在印度设置代表机构，政府难以监视平台传播的内容。

- timesofindia.indiatimes.com/~
- element.io/~

[感谢 夜坂雅 提供此消息。]

#India #SNS #Element

原属 774 的 VTuber 周防パトラ自 5/9 起从 774 离开，转为独立 VTuber。

https://www.774.ai/post/「周防パトラ」独立に関するお知らせ

#VTuber #774 #Patora

Elon Musk 称计划清理多年无活动的帐号，后又解释称这些帐号是会被存档，而释放长期未使用的用户名则是重点。

根据 Twitter 政策 [1]，用户需要每 30 天登录一次帐号以避免帐号被删除。在之前这个要求是每六个月登录一次 [2]。然而，近期的一些变化，包括将搜索放在登录墙后 [3] 等，也使得第三方 Twitter 前端及存档用户推文变得困难。

https://twitter.com/elonmusk/status/1655720273872560132

1. https://help.twitter.com/en/rules-and-policies/inactive-twitter-accounts
2. web.archive.org/~
3. https://github.com/zedeus/nitter/issues/839

[感谢 伞木希美 提供此消息。]

#Twitter

欧盟要求 Apple 遵从其于 2022 年末完成的 USB-C 充电标准，否则将不允许 Apple 产品在欧盟成员国家销售。此标准要求自 2024 年末起销售的相关产品支持通用 USB-C 充电接口。

https://www.techradar.com/news/apple-may-not-restrict-usb-c-charging-on-new-iphones-after-all

#Apple #EU #TypeC

美国第十一巡回上诉法院判决 Corellium 的 CORSEC 模拟器符合版权法中「合理使用」之规则。CORSEC 是一款模拟 iOS 系统的模拟器，根据 Corellium 的描述，主要用于安全研究等领域。

Apple 发言人拒绝对此判决置评。

https://news.bloomberglaw.com/ip-law/apple-fails-to-revive-copyright-case-over-iphone-ios-simulator

#Apple #Corellium #Copyright #iOS