Rust 开设 Fediverse 帐号: @rust@social.rust-lang.org 。
https://social.rust-lang.org/@rust/111254933339473088
#Rust #Fediverse
https://social.rust-lang.org/@rust/111254933339473088
#Rust #Fediverse
jabber.ru (xmpp.ru) 称,攻击者签发其站点 TLS 证书并对其进行 MitM 攻击以监听流量。
- 文章称, jabber.ru 是俄罗斯最为古老的 XMPP 服务,托管在德国 Hetzner 和 Linode 的服务器。
- 一次,维护者发现连接到服务时被提供了过期证书,但实际上服务器提供的证书应未过期,于是发现服务被 MitM。
- 经过检查,服务器并未被入侵;各个测试表明,服务器接受的网络配置被人为更改用于 MitM,早至 7/21(或更早至 4/18),而在 10/19 当维护者就此事联系服务商时停止。
- 文章作者认为此次 MitM 攻击很有可能是服务商受德国警方要求而进行。
https://notes.valdikss.org.ru/jabber.ru-mitm/
seealso: HackerNews:37961166
#TLS #MitM #RU
- 文章称, jabber.ru 是俄罗斯最为古老的 XMPP 服务,托管在德国 Hetzner 和 Linode 的服务器。
- 一次,维护者发现连接到服务时被提供了过期证书,但实际上服务器提供的证书应未过期,于是发现服务被 MitM。
- 经过检查,服务器并未被入侵;各个测试表明,服务器接受的网络配置被人为更改用于 MitM,早至 7/21(或更早至 4/18),而在 10/19 当维护者就此事联系服务商时停止。
- 文章作者认为此次 MitM 攻击很有可能是服务商受德国警方要求而进行。
https://notes.valdikss.org.ru/jabber.ru-mitm/
seealso: HackerNews:37961166
#TLS #MitM #RU
The Verge 称,Edge 和 Bing 会四次在用户下载 Chrome 的通常流程中干扰用户。
包括 Bing 搜索界面的广告、Edge 的地址栏和侧栏弹出窗口,以及 Edge 在访问 Chrome 下载页时浏览界面上方的横幅广告。广告提到:
"Microsoft edge runs on the same technology as Chrome, with the added trust of Microsoft"
theverge.com/~
#MicrosoftEdge #Bing
包括 Bing 搜索界面的广告、Edge 的地址栏和侧栏弹出窗口,以及 Edge 在访问 Chrome 下载页时浏览界面上方的横幅广告。广告提到:
"Microsoft edge runs on the same technology as Chrome, with the added trust of Microsoft"
theverge.com/~
#MicrosoftEdge #Bing
The Verge
Microsoft now thirstily injects a poll when you download Google Chrome
It could be worse!
Steam 自 11/20 起将在阿根廷及土耳其等区执行美元定价。
这些区域的 Steam 用户钱包中的当地货币余额则会按 11/20 当天的汇率转换为美元。
help.steampowered.com/~
linksrc: https://www.tg-me.com/ruyoblog/3771
#Steam #AR #TR
这些区域的 Steam 用户钱包中的当地货币余额则会按 11/20 当天的汇率转换为美元。
help.steampowered.com/~
linksrc: https://www.tg-me.com/ruyoblog/3771
#Steam #AR #TR
Steampowered
Steam 客服 :: 从 11 月 20 日(PT)起,阿根廷和土耳其将开始新的美元定价
根据《网络安全法》,开源软件作者或需要对其产品「持续提供安全维护」,即使协议中存在免责条款。
开源中国公众号的一篇文章如是说。《中华人民共和国网络安全法》对「网络产品、服务」存在安全缺陷时提供者的行为作出了要求,也要求提供者「在规定或者当事人约定的期限内,不得终止提供安全维护」。这与开源协议中常存在的免责条款有所冲突。
针对不同的开源软件类别,文章提到:
> 提供完整的网络服务……受到网络安全法和相关规定的约束肯定更重一点。……提供一个中间件,没有提供完整的网络服务……我觉得可能这个责任要更轻一点,有可能不构成网络安全法里面描述的提供网络服务或者提供网络产品。
mp.weixin.qq.com/~
linksrc: https://www.tg-me.com/illusory_world/4630
(The Cascading 不提供法律建议。)
#CN #OpenSource
开源中国公众号的一篇文章如是说。《中华人民共和国网络安全法》对「网络产品、服务」存在安全缺陷时提供者的行为作出了要求,也要求提供者「在规定或者当事人约定的期限内,不得终止提供安全维护」。这与开源协议中常存在的免责条款有所冲突。
针对不同的开源软件类别,文章提到:
> 提供完整的网络服务……受到网络安全法和相关规定的约束肯定更重一点。……提供一个中间件,没有提供完整的网络服务……我觉得可能这个责任要更轻一点,有可能不构成网络安全法里面描述的提供网络服务或者提供网络产品。
mp.weixin.qq.com/~
linksrc: https://www.tg-me.com/illusory_world/4630
(The Cascading 不提供法律建议。)
#CN #OpenSource
Salt 的研究者发现许多网站没有严格验证 OAuth token,使得骇客可以伪造他人身份登录。
许多网站在验证用户提供的 OAuth token 的时候没有验证令牌用途(例如 audience),因此,骇客可以使用用户登录到其它应用(包括骇客自己的应用)的 OAuth token 登录这些网站。
salt.security/~
HackerNews: 38009291
#OAuth
许多网站在验证用户提供的 OAuth token 的时候没有验证令牌用途(例如 audience),因此,骇客可以使用用户登录到其它应用(包括骇客自己的应用)的 OAuth token 登录这些网站。
salt.security/~
HackerNews: 38009291
#OAuth
salt.security
Salt Labs Finds OAuth Abuse Used to Take Over Accounts
OAuth Account Takeover. Salt Labs shows how hackers could abuse OAuth to take over millions of accounts on Grammarly, Vidio, and Bukalapak.
Cloudflare 等厂商观测到一种基于 HTTP/2 特性的新 DDoS 攻击方式:HTTP/2 Rapid Reset。
由于 HTTP/2 的设计特性,攻击者可以通过快速发送大量请求后接 RST 以消耗服务器资源。虽然协议设计了一个最大并发的限制,但此限制在这种攻击下会被绕过。
Google 称自己曾接收到利用此攻击方式进行的约 4 亿请求每秒的 DDoS [1]。
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
1. cloud.google.com/~
CVE: CVE-2023-44487
#HTTP2
由于 HTTP/2 的设计特性,攻击者可以通过快速发送大量请求后接 RST 以消耗服务器资源。虽然协议设计了一个最大并发的限制,但此限制在这种攻击下会被绕过。
Google 称自己曾接收到利用此攻击方式进行的约 4 亿请求每秒的 DDoS [1]。
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
1. cloud.google.com/~
CVE: CVE-2023-44487
#HTTP2
The Cloudflare Blog
HTTP/2 Rapid Reset: deconstructing the record-breaking attack
This post dives into the details of the HTTP/2 protocol, the feature that attackers exploited to generate the massive Rapid Reset attacks, and the mitigation strategies we took to ensure all our customers are protected
包含 MyGO!!!!! 版《春日影》的 MyGO!!!!! 首张专辑《迷跡波》于今日(11/1)发售。
- https://bang-dream.com/discographies/3457
- https://bmu.lnk.to/MEISEKIHAhp
EDIT 10/31: * 因为是 MyGO!!!!! 版所以没有键盘部分。如果订户希望聆听包含键盘部分的版本,请观看《BanG Dream! It's MyGO!!!!!》第三集 [1]。
1. https://www.youtube.com/watch?v=wRwQUk0Dl30
#MyGO #today
- https://bang-dream.com/discographies/3457
- https://bmu.lnk.to/MEISEKIHAhp
EDIT 10/31: * 因为是 MyGO!!!!! 版所以没有键盘部分。如果订户希望聆听包含键盘部分的版本,请观看《BanG Dream! It's MyGO!!!!!》第三集 [1]。
1. https://www.youtube.com/watch?v=wRwQUk0Dl30
#MyGO #today
BanG Dream!(バンドリ!)公式サイト
1st Album「迷跡波」 | BanG Dream!(バンドリ!)公式サイト
1st Album「迷跡波」のご案内。
微博、微信等大陆平台宣布将「引导头部『自媒体』账号进行前台实名展示」。
包括微博 [1]、微信、Bilibili [2]、抖音、知乎、快手等平台均宣布将逐步引导粉丝量 100 万及 50 万以上帐号在前台展示实名信息。
根据各篇通知文章,这些平台大多并未强制帐号前台实名,而是以限制未前台实名相关帐号的流量及收益等方式进行引导。部分平台还对受影响帐号的范围进行了限定,只对专业领域帐号实行前台实名要求。微博等平台则也对能够查看前台实名信息的帐号进行了限定,例如游客、未实名用户及行为异常用户等无法查看前台实名信息。
https://companies.caixin.com/2023-10-31/102122379.html
1. https://weibo.com/1934183965/Nqq75jtjs
2. t.bilibili.com/~
#China #Realname
包括微博 [1]、微信、Bilibili [2]、抖音、知乎、快手等平台均宣布将逐步引导粉丝量 100 万及 50 万以上帐号在前台展示实名信息。
根据各篇通知文章,这些平台大多并未强制帐号前台实名,而是以限制未前台实名相关帐号的流量及收益等方式进行引导。部分平台还对受影响帐号的范围进行了限定,只对专业领域帐号实行前台实名要求。微博等平台则也对能够查看前台实名信息的帐号进行了限定,例如游客、未实名用户及行为异常用户等无法查看前台实名信息。
https://companies.caixin.com/2023-10-31/102122379.html
1. https://weibo.com/1934183965/Nqq75jtjs
2. t.bilibili.com/~
#China #Realname
Caixin
微博、微信、抖音等推进“自媒体”账号前台实名
普通用户及以个人日常生活分享为主的账号不受影响
12ft 作者称 Vercel 停止了其帐号上的所有项目并扣押其域名。
12ft.io 是一个提供绕过付费墙功能的网站。10/29 晚,作者 Thomas Millar 在 Twitter 上称其 Vercel 帐号的所有站点被暂停,域名亦被没收;联系支持服务也未得到回应。
Vercel CEO 在 Twitter 回复 [1] 称站点违反了 Vercel 的使用条款,并且客服也于之前联系了 Thomas。
https://twitter.com/thmsmlr/status/1718663563353755982
1. https://twitter.com/rauchg/status/1718680650067460138
linksrc: https://www.tg-me.com/xhqcankao/6733
#12ft #Vercel
12ft.io 是一个提供绕过付费墙功能的网站。10/29 晚,作者 Thomas Millar 在 Twitter 上称其 Vercel 帐号的所有站点被暂停,域名亦被没收;联系支持服务也未得到回应。
Vercel CEO 在 Twitter 回复 [1] 称站点违反了 Vercel 的使用条款,并且客服也于之前联系了 Thomas。
https://twitter.com/thmsmlr/status/1718663563353755982
1. https://twitter.com/rauchg/status/1718680650067460138
linksrc: https://www.tg-me.com/xhqcankao/6733
#12ft #Vercel
X (formerly Twitter)
Thomas Millar (@thmsmlr) on X
12ft is down, @vercel banned me
No warning on a Friday night, while I was on vacation.
Worst yet, they took down all my projects and confiscated all my domains.
No response from support.
No warning on a Friday night, while I was on vacation.
Worst yet, they took down all my projects and confiscated all my domains.
No response from support.
层叠 - The Cascading
EV (Extended Validation) 证书在过去一直被用来验证网站确实由某公司控制。2017 年的一场实验后,许多厂商意识到,虽然价格和验证精细度相对一般的 DV (Domain Validation) 证书都有提高*,EV 证书并没有让用户更安全**,因而取消了 EV 证书相对于一般 TLS 证书的特殊显示(例如绿底网址栏) [1]。 欧盟 eIDAS 条例近期的修正案提及了一种类似于 EV 证书的机制,叫 QWAC***。条例要求浏览器在访问具有 QWAC 的网站时显示一系列额外元素 […
要求浏览器无条件信任欧盟指定 CA 及公钥的 eIDAS 草案被三方会谈通过,将被送审。
此草案的第 45 条如是说。欧盟成员国可以指定合格信任服务提供商 (QTSPs),而浏览器除非取得政府同意,否则不被允许移除对这些 QTSP 的信任,甚至不被允许进行任何额外核查(例如目前广泛存在的证书透明度要求等)。
这一条款将给政府的监听行为大开方便之门。同时,也会使欧盟一国信任事故的影响放大到全体欧盟公民。公开信还提到,草案的制定大多在闭门会议上,公众难以了解立法进展。
EFF、Mozilla、Linux Foundation 等组织/企业撰写公开信反对草案的这一部分。
- https://last-chance-for-eidas.org/
- https://eidas-open-letter.org/
thread: /3392
#EU #eIDAS #PKI #Privacy
此草案的第 45 条如是说。欧盟成员国可以指定合格信任服务提供商 (QTSPs),而浏览器除非取得政府同意,否则不被允许移除对这些 QTSP 的信任,甚至不被允许进行任何额外核查(例如目前广泛存在的证书透明度要求等)。
这一条款将给政府的监听行为大开方便之门。同时,也会使欧盟一国信任事故的影响放大到全体欧盟公民。公开信还提到,草案的制定大多在闭门会议上,公众难以了解立法进展。
EFF、Mozilla、Linux Foundation 等组织/企业撰写公开信反对草案的这一部分。
- https://last-chance-for-eidas.org/
- https://eidas-open-letter.org/
thread: /3392
#EU #eIDAS #PKI #Privacy
last-chance-for-eidas.org
Last Chance for eIDAS
13 days before the first eIDAS vote, still no public text
层叠 - The Cascading
Google 发布了 Web Environment Integrity 的 spec 草稿。此特性允许网站向浏览器等 user-agent 请求 attestation,证明浏览器环境的完整性。有说法称此功能类似于 Android 平台上的 Play Integrity API(SafetyNet 的后继者)。 Mozilla 已经表示反对此特性,称此特性会损害互联网的开放性,并影响许多已有的互联网参与者,包括辅助技术用户、自动化测试、归档服务及搜索服务等 [1]。 也有观点提到,Apple 的 Private…
Google 宣布不再考虑 WEI,转而在 Android WebView 实现类似功能。
Android WebView Media Integrity API 计划于明年早期进行测试。文章称,此功能将只适用于安装 GMS 设备的 Android WebView 中的嵌入式媒体。
android-developers.googleblog.com/~
thread: /4268
#Google #WEI #Chromium
Android WebView Media Integrity API 计划于明年早期进行测试。文章称,此功能将只适用于安装 GMS 设备的 Android WebView 中的嵌入式媒体。
android-developers.googleblog.com/~
thread: /4268
#Google #WEI #Chromium
Telegram
层叠 - The Cascading
Google 发布了 Web Environment Integrity 的 spec 草稿。此特性允许网站向浏览器等 user-agent 请求 attestation,证明浏览器环境的完整性。有说法称此功能类似于 Android 平台上的 Play Integrity API(SafetyNet 的后继者)。
Mozilla 已经表示反对此特性,称此特性会损害互联网的开放性,并影响许多已有的互联网参与者,包括辅助技术用户、自动化测试、归档服务及搜索服务等 [1]。
也有观点提到,Apple 的 Private…
Mozilla 已经表示反对此特性,称此特性会损害互联网的开放性,并影响许多已有的互联网参与者,包括辅助技术用户、自动化测试、归档服务及搜索服务等 [1]。
也有观点提到,Apple 的 Private…
Cloudflare 就 11/2-11/4 的 API 及服务中断发布了 postmortem。
文章提到了一系列导致事故发生的原因:
- 机房设备故障、电源故障、UPS 供电支持未能达到预期时长,以及门锁失效
- Stream 等部分服务并未实现高可用;其余一些在高可用集群上的服务存在对受影响集群的单点依赖
blog.cloudflare.com/~
seealso: HackerNews:38138640
EDIT 11/6: 修正一处笔误。
#Cloudflare #Postmortem
文章提到了一系列导致事故发生的原因:
- 机房设备故障、电源故障、UPS 供电支持未能达到预期时长,以及门锁失效
- Stream 等部分服务并未实现高可用;其余一些在高可用集群上的服务存在对受影响集群的单点依赖
blog.cloudflare.com/~
seealso: HackerNews:38138640
EDIT 11/6: 修正一处笔误。
#Cloudflare #Postmortem
The Cloudflare Blog
Post mortem on the Cloudflare Control Plane and Analytics Outage
Beginning on Thursday, November 2, 2023 at 11:43 UTC Cloudflare's control plane and analytics services experienced an outage. Here are the details
雷军称,小米 14 (及 Pro)会将一部分存储内部预留空间分配给用户使用。
通过此方式,256G 版及 512G 版的用户会分别多获得 8G 及 16G 的存储空间。雷军也表示,会「把技术规范申请专利」。有用户质疑此举会影响手机存储的寿命。
https://weibo.com/1749127163/NpKJdB4u4
#Xiaomi
通过此方式,256G 版及 512G 版的用户会分别多获得 8G 及 16G 的存储空间。雷军也表示,会「把技术规范申请专利」。有用户质疑此举会影响手机存储的寿命。
https://weibo.com/1749127163/NpKJdB4u4
#Xiaomi
Weibo
我们在研发小米澎湃OS过程中,做了大量的底... 来自雷军 - 微博
我们在研发小米澎湃OS过程中,做了大量的底层重构,工程师有一个重大发现。以前我们都知道,存储芯片都有额外的预留空间,来负责存取的性能优化等功能,但具体预留多少,没有人知道。这次深入研究后发现:256G芯...
层叠 - The Cascading
Clash for Windows 作者宣布停止更新。 https://twitter.com/fndroid/status/1719980029571109092 #ClashForWindows
多个 Clash 分支、周边软件以及 TUIC 等软件均停止更新、删除仓库,或将非代码分支设置为主分支。
linksrc: https://www.tg-me.com/BDovo_Channel/2601
thread: /4360
#Clash
linksrc: https://www.tg-me.com/BDovo_Channel/2601
thread: /4360
#Clash
Telegram
这是你叠的频道
仅限tg内或其他个人社交平台传播
往国内或者其他大型平台发的先④个🐴
汇总一下因此事件受到 clash 事件影响的仓库,有新增请在评论指出
未注明仓库均为彻底删库或仓库内已无任何代码
- https://github.com/Fndroid/clash_for_windows_pkg
- https://github.com/Dreamacro/clash
- https://github.com/MetaCubeX/Clash.Meta (存档换分支,内容还在)
- https://github.com/EAimTY/tuic…
往国内或者其他大型平台发的先④个🐴
汇总一下因此事件受到 clash 事件影响的仓库,有新增请在评论指出
未注明仓库均为彻底删库或仓库内已无任何代码
- https://github.com/Fndroid/clash_for_windows_pkg
- https://github.com/Dreamacro/clash
- https://github.com/MetaCubeX/Clash.Meta (存档换分支,内容还在)
- https://github.com/EAimTY/tuic…
小米收紧升级到澎湃 OS 设备的 bootloader 解锁权限。
用户需要在小米社区达到 5 级,并进行实名认证之后才有可能通过审核并获得 bootloader 解锁权限。未升级到澎湃 OS 的解锁 MIUI 设备不会收到澎湃 OS 的更新推送。
https://www.ithome.com/0/731/004.htm
linksrc: https://www.tg-me.com/CE_Observe/30022
#Xiaomi #HyperOS #Bootloader
用户需要在小米社区达到 5 级,并进行实名认证之后才有可能通过审核并获得 bootloader 解锁权限。未升级到澎湃 OS 的解锁 MIUI 设备不会收到澎湃 OS 的更新推送。
https://www.ithome.com/0/731/004.htm
linksrc: https://www.tg-me.com/CE_Observe/30022
#Xiaomi #HyperOS #Bootloader
Ithome
小米:澎湃 OS 的 Bootloader 解锁权限将仅针对开发者和手机发烧友开放 - IT之家
小米澎湃 OS 项目组今日发布小米澎湃 OS・Bootloader 解锁权限变更公告,公告称 Bootloader 锁处于上锁状态时,有助于保护设备安全、避免数据泄露,为给用户提供更加安全、稳定的使用体验。自即日起,升级到小米澎湃 OS 后的 Bootloader 解锁权限将仅针对开发者和手机发烧友开放。