Google 发布了 Web Environment Integrity 的 spec 草稿。此特性允许网站向浏览器等 user-agent 请求 attestation，证明浏览器环境的完整性。有说法称此功能类似于 Android 平台上的 Play Integrity API（SafetyNet 的后继者）。

Mozilla 已经表示反对此特性，称此特性会损害互联网的开放性，并影响许多已有的互联网参与者，包括辅助技术用户、自动化测试、归档服务及搜索服务等 [1]。

也有观点提到，Apple 的 Private Access Token 特性 [2] 其实已经实现了类似的功能 [3]。

https://rupertbenwiser.github.io/Web-Environment-Integrity/

1. gh:mozilla/standards-positions#852
2. /3628
3. https://httptoolkit.com/blog/apple-private-access-tokens-attestation/

#Google #Chromium #Web

一位用户提交 PR 到 Nintendo Switch 模拟器 Yuzu 上，PR 中删除了代码中对「台湾语」的提及。在 PR 被拒绝后，这位用户又在 archlinuxcn 发送 issue，以「项目在代码里搞台独」的原因要求移除 yuzu 相关软件包，后述请求亦被拒绝。

- https://github.com/yuzu-emu/yuzu/pull/11151
- https://github.com/yuzu-emu/yuzu/pull/11152
- https://github.com/archlinuxcn/repo/issues/3382
- https://github.com/archlinuxcn/repo/issues/3383

#OpenSource #Politics

自 7/27 17 时 (UTC+8) 起，Slack 服务中断约一小时。目前已经恢复。

https://status.slack.com/2023-07/08e3781ccbef33d5

#Outage #Slack

欧盟决定对微软的 Teams 产品进行反垄断调查。

上次欧盟对微软的反垄断调查还是 2009 年的 Windows Media Player (WMP) 和 IE 在 Windows 上的捆绑事件——最后微软发布不含 WMP 的 Windows XP N 版本。

2020 年 7 月，Slack 向欧盟提告 Teams 的垄断行为。其中提到，微软将 Teams 与 Office 绑定进行强制安装，并且防止其其被卸载。微软曾向欧盟提出停止绑定 Teams 与 Office 的提议，但从 FT 的报道来看，两方对于此提议的具体细节及其对产品价格的影响没有达成一致。

www.theverge.com/~
seealso: HackerNews:36892451

#Teams #Microsoft #EU #Slack

Twitter（或者说 Elon Musk）将 @x 和 @xAI 两个 ID 强行回收，用于 Twitter 官方及 xAI 公司的账号。两位账号的原用户均称 Twitter 从未与其就此进行任何协商。

https://mashable.com/article/xai-twitter-handle-elon-musk-x

#Twitter #xAI

Python 指导委员会 (Steering Council) 计划接受 PEP 703，并正在策划工作细节。

Python 指导委员会的远期计划是让 GIL 移除出 Python（而非并行保留 GIL 和 no-GIL）；但在这期间，委员会也希望处理好后向兼容性问题，防止像 Python 2 到 Python 3 这样的兼容性惨案再次发生。

discuss.python.org/~

thread: /4255

#Python

来自中国的新中间（以及根） CA：
- BJCA (北京数字认证 [1] )：
- BJCA SMIME CA1
- 北京新网：
- Xinnet DV SSL
- Xinnet OV SSL

查看 diff (csv) | 目前的中级 CA 列表 (HTML)

#NewIntermediateCA

AWS 发布公告。自 2024/2/1 起，除已有的对未绑定到实例的 IP 地址收费外，也将开始对已经绑定到实例的 IPv4 地址收费，价格均为 $0.005/h。

https://aws.amazon.com/blogs/aws/new-aws-public-ipv4-address-charge-public-ip-insights/
seealso: HackerNews:36910855

#AWS

普京签署了新的修正案，包括一些十二月起开始实行的关于互联网的新政策，例如：

* 俄罗斯线上平台需要通过政府承认的身份验证平台验证用户身份后，才能对其提供服务
* 合规的 VPN 运营商依然可以正常运作；针对绕过审查提出使用 VPN 及 Tor 的建议会构成违法

[linksrc] 中较为详细地总结了修正案的细节。

torrentfreak.com/~

linksrc: https://www.tg-me.com/xhqcankao/5677

#Russia #Privacy

8 月 2 日，Asahi Linux 宣布与 Fedora 合作，将于八月末发布 Fedora Asahi Remix 发行版。希望试用的用户已经可以在 fedora-asahi-remix.org 尝试。

Asahi Linux 是一个将 Linux 移植到 Apple Silicon 平台的企划。

https://asahilinux.org/2023/08/fedora-asahi-remix/

linksrc: https://www.tg-me.com/chicaomei/3774

#AppleSilicon #AsahiLinux #Fedora

网信办发布《移动互联网未成年人模式建设指南（征求意见稿）》，设计移动终端上的「未成年模式」功能。

https://mp.weixin.qq.com/s/TsRy5kUUc_6wVDSNDhMOdA

linksrc: weibo.com/~

#China #Teenager

vim 创始者 Bram Moolenaar 过世。

https://groups.google.com/g/vim_announce/c/tWahca9zkt4

#vim #RIP

lib.rs 是一个非官方的 Rust 包预览站点。相比官方的 crates.io，它增加了分类查找，以及显示一些生态系统统计数据的易用功能等。

前些日子（7/18），有用户注意到 bitcoin 包在 lib.rs 被标记为废弃状态。一位 Reddit 用户在 repo 中提 issue 询问作者（7/19），作者回应称这是在表达自己反对加密货币的观点（参见 [1] 对加密货币的描述）时，给 bitcoin 相关包搜索降权时的无心之举。后亦有数位用户就此事提 issue 要求 lib.rs 停止索引自己所维护的 crates 包等。

7 月 21 日， lib.rs 作者将 lib.rs 源代码从 repo 移除，称许多人（包括 rust-lang 官方成员）将代码片段断章取义来批评和诋毁自己，因此不再公开 lib.rs 源代码。

- https://www.reddit.com/r/rust/comments/153aigg/
- https://gitlab.com/lib.rs/main

1. https://lib.rs/cryptography/cryptocurrencies

#Rust #Bitcoin #Librs

为学校教职工免费提供桌面版 Office 应用的教育订阅 Office A1 Plus 将自 2024/8/1 退出历史舞台。教育用户的存储空间政策也将更新，改为整个 tenant 的所有用户共享 100TB （以及每个 A3/A5 订阅用户增加 50/100 GB）的总空间。自 2024/2/1 开始，除了上述总空间限制外，免费订阅 Office 365 A1 的用户最多将有 100GB 的存储空间（曾为最多 5TB）。

Google Workspace for Education （旧称 G Suite for Education）自 2022/7 开始也已经执行类似的政策 [1]。

techcommunity.microsoft.com/~

1. https://support.google.com/a/answer/10403871

#M365 #Education

网信办发布《人脸识别技术应用安全管理规定（试行）（征求意见稿）》。其中提到：

> 第四条 ……实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。
> 第十一条 除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需，或者取得个人单独同意外，任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。
> 第十四条 物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式，……
> 第十六条 在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应当在30个工作日内向所属地市级以上网信部门备案。……

www.moj.gov.cn/~

linksrc: https://www.tg-me.com/tnews365/27844

#China #Bionic

工信部发布《工业和信息化部关于开展移动互联网应用程序备案工作的通知》，要求境内 App （包括小程序等）主办者对其应用进行备案。

根据文档所述工作安排，2023 年 9 月至 2024 年 3 月为存量 App 备案阶段：「在本通知发布前已开展业务的APP应……履行备案手续」；「在本通知发布后拟开展业务的APP，应……先履行备案手续后再开展业务」。

《互联网信息服务备案登记表》中需备案的信息包括域名列表*、包名/ID、公钥*、MD5*，及 IP 地址列表等。

www.miit.gov.cn/~

* 标 [*] 的项目，表格中标注「小程序、快应用无需填写」。

#China #App

The Citizen Lab 发现，腾讯公司开发的搜狗输入法在上传用户的输入数据到服务器时（官方称是用于云输入服务），使用了 HTTP 配合自行开发的 EncryptWall 加密方案，而非标准 HTTPS*。骇客可以利用 CBC padding oracle attack 及云端对于合法/非法 padding 的密文的不同回应解密客户端向云端的请求，并还原出 Windows/Android 用户输入的（拼音）内容。

建议搜狗输入法用户更新至最新版本，例如 13.7 (Windows)、11.26 (Android) 或 11.25 (iOS)。

另外值得提到的一点是，由于 citizenlab.ca 在中国大陆被墙，腾讯的邮件服务器可能无法回复邮件给 @citizenlab.ca 的漏洞报告邮箱；最后漏洞报告者使用了另外的 @utoronto.ca 邮箱与腾讯进行联系。

https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/
seealso: HackerNews:37063568

* iOS 版本软件在上传这些数据时使用了 HTTPS。

linksrc: https://www.tg-me.com/billchenla/18902

#Sogou #Tencent #Privacy #DontRollYourOwnCrypto

HashiCorp 发文，称将修改 HashiCorp 产品的授权协议从 MPL 2.0 到 BSL (Business Source License)*。HashiCorp API 及 SDK 等依然保持 MPL 2.0 协议。在 HashiCorp 之 BSL 协议下，源代码用户不被允许利用这些代码发布与 HashiCorp 竞争的产品。

https://www.hashicorp.com/blog/hashicorp-adopts-business-source-license
seealso: HackerNews:37081306

* 在 OSI (Open Source Initiative) 的对「开源」的定义下，BSL 不属开源协议。

#HashiCorp #OpenSource #BSL

Moq 是 .NET 环境上的知名 mocking 库解决方案。

4.20 版本开始，Moq 库在其中添加闭源组件 SponsorLink。此组件在库编译时会从 git 配置等方面提取开发者设备上保存的邮件地址，并提交其散列值到第三方服务以检查其是否在赞助者列表中。

https://github.com/moq/moq/issues/1372

#Moq #dotNET #OpenSource

Firefox for Android 目前只官方支持个别几个著名附加组件。今年年末前，Firefox for Android 版计划也开始对一般桌面端附加组件提供支持。开发者可以开始为其附加组件准备移动端支持相关的修改了。

blog.mozilla.org/~
seealso: HackerNews:37084677

#Firefox #Android