Citizen Lab 分析称多款中文输入法的云输入功能存在漏洞,可用于获取用户输入内容。
研究者建议用户更新输入法、停用云端功能及停用 iOS 中输入法的「允许完整访问权」选项。
报告称:
- QQ 拼音也被发现和之前发现的搜狗输入法一样 [1] 的自制加密算法的漏洞。百度输入法自制的被称为「Baidu CTR」的 AES 加密模式亦存在漏洞。
- 三星键盘被发现使用 HTTP 明文协议发送用户输入数据及与云输入服务进行交互。
- 在 Citizen Lab 告知漏洞详情后,除 QQ 拼音 Windows 版和荣耀设备上默认启用的百度输入法,其它软件均在更新版本中对漏洞进行修正。
- 百度修复了报告中的几个最严重的漏洞,但并未修复其余报告的漏洞。不过目前研究者已经无法获取百度云输入用户的输入内容。
- 腾讯修复了数个定制/非定制版搜狗输入法及 QQ 拼音 Android 版中的漏洞。QQ 拼音 Windows 版的漏洞则由于产品停运而并未进行修正。
citizenlab.ca/~
1. /4284
#China #IME #Privacy
研究者建议用户更新输入法、停用云端功能及停用 iOS 中输入法的「允许完整访问权」选项。
报告称:
- QQ 拼音也被发现和之前发现的搜狗输入法一样 [1] 的自制加密算法的漏洞。百度输入法自制的被称为「Baidu CTR」的 AES 加密模式亦存在漏洞。
- 三星键盘被发现使用 HTTP 明文协议发送用户输入数据及与云输入服务进行交互。
- 在 Citizen Lab 告知漏洞详情后,除 QQ 拼音 Windows 版和荣耀设备上默认启用的百度输入法,其它软件均在更新版本中对漏洞进行修正。
- 百度修复了报告中的几个最严重的漏洞,但并未修复其余报告的漏洞。不过目前研究者已经无法获取百度云输入用户的输入内容。
- 腾讯修复了数个定制/非定制版搜狗输入法及 QQ 拼音 Android 版中的漏洞。QQ 拼音 Windows 版的漏洞则由于产品停运而并未进行修正。
citizenlab.ca/~
1. /4284
#China #IME #Privacy
The Citizen Lab
敲敲打打
重要:我们建议所有用户立即更新所使用的输入法软件以及操作系统。并建议高风险用户停止使用任何输入法提供的云端建议功能,改为完全离线的输入法,以避免数据外泄。
自称官方的微信公众号称 z-lib 将阻断中国大陆访问;文章目前已被删除。
微信公众号文章称,Z-Library 将不再接收大陆捐赠、阻断大陆用户访问,并停止中国大陆的 Z-Points 项目,并提到将在对书籍进行审查和下架后恢复大陆用户访问。
Z-Library 网站上链接到的 Z-Library 中文频道则称 [1] 将不会限制大陆的用户访问和 Z-Points 运行,并提到愿意为了防止封锁而将书籍对特定地区用户隐藏。
mp.weixin.qq.com/~ [失效链接] | web.archive.org
1. https://www.tg-me.com/zlib_china_official/57
#Zlibrary #China
微信公众号文章称,Z-Library 将不再接收大陆捐赠、阻断大陆用户访问,并停止中国大陆的 Z-Points 项目,并提到将在对书籍进行审查和下架后恢复大陆用户访问。
Z-Library 网站上链接到的 Z-Library 中文频道则称 [1] 将不会限制大陆的用户访问和 Z-Points 运行,并提到愿意为了防止封锁而将书籍对特定地区用户隐藏。
mp.weixin.qq.com/~ [失效链接] | web.archive.org
1. https://www.tg-me.com/zlib_china_official/57
#Zlibrary #China
Google 裁员,波及公司内 Python、Dart、Flutter 等团队的成员。
Google 向 TechCrunch 回应称确有发生裁员,但未确认裁员细节;Google 也提到 Flutter 在今年五月的 Google I/O 会宣布新进展。
techcrunch.com/~
#Google #Layoff #Python #Dart #Flutter
Google 向 TechCrunch 回应称确有发生裁员,但未确认裁员细节;Google 也提到 Flutter 在今年五月的 Google I/O 会宣布新进展。
techcrunch.com/~
#Google #Layoff #Python #Dart #Flutter
TechCrunch
Google lays off staff from Flutter, Dart and Python teams weeks before its developer conference
Google told TechCrunch that Flutter will have new updates to share at I/O this year.
FCC 处罚数家美国通讯公司,因其违法私自出售客户位置信息。
受到处罚的公司包括 AT&T、Sprint、T-Mobile 及 Verizon。总罚金约 1.96 亿美元。
fcc.gov/~
#FCC #US #Privacy
受到处罚的公司包括 AT&T、Sprint、T-Mobile 及 Verizon。总罚金约 1.96 亿美元。
fcc.gov/~
#FCC #US #Privacy
www.fcc.gov
FCC Fines Largest Wireless Carriers for Sharing Location Data
美国航空系统误将 101 岁老人识别为婴儿。
BBC 报道:美航将 1922 年出生的成人票旅客识别为 2022 年出生。
[感谢 夜坂雅 提供此消息。]
https://www.bbc.com/news/articles/c9wz7pvvjypo
#US #CompSci
BBC 报道:美航将 1922 年出生的成人票旅客识别为 2022 年出生。
[感谢 夜坂雅 提供此消息。]
https://www.bbc.com/news/articles/c9wz7pvvjypo
#US #CompSci
BBC News
Airline keeps mistaking 101-year-old woman for baby
An IT glitch leaves the cabin crew expecting to welcome a baby on board rather than a centenarian.
微软消费者账户 (MSA) 现可使用 Passkey 登录。
microsoft.com/~
linksrc: https://www.tg-me.com/CE_Observe/32952
* 注:各平台对 Passkey 备份的支持不同,但大多只支持云端备份或完全不支持备份。在配置 Passkey 前,请审慎考虑对 Passkey 保存厂商的信任及 Passkey 丢失/遗失带来的潜在问题。
#Microsoft #Passkey
microsoft.com/~
linksrc: https://www.tg-me.com/CE_Observe/32952
* 注:各平台对 Passkey 备份的支持不同,但大多只支持云端备份或完全不支持备份。在配置 Passkey 前,请审慎考虑对 Passkey 保存厂商的信任及 Passkey 丢失/遗失带来的潜在问题。
#Microsoft #Passkey
Microsoft News
Microsoft introduces passkeys for consumer accounts
Today, we’re announcing passkey support for Microsoft consumer accounts, the next step toward our vision of simple, safe access for everyone.
一位开发者发现,大量用户运行的某备份程序默认会上传到特定名称的 S3 存储桶。
这些由于权限原因未能成功的 S3 上传 (PUT) 请求约有每天 100 万次,总共为这位开发者带来了约 $1300 的计费。
在开发者公开此事后,AWS 联系其并取消了这笔费用。
arstechnica.com/~
#S3 #Security
这些由于权限原因未能成功的 S3 上传 (PUT) 请求约有每天 100 万次,总共为这位开发者带来了约 $1300 的计费。
在开发者公开此事后,AWS 联系其并取消了这笔费用。
arstechnica.com/~
#S3 #Security
Ars Technica
AWS S3 storage bucket with unlucky name nearly cost developer $1,300
Amazon says it's working on stopping others from "making your AWS bill explode."
systemd 256 版将发布 run0 工具,旨在替代 sudo。
- run0 将不是 SUID 程序,而是 systemd-run 在某种程度上的包装。
- run0 希望解决 sudo 的一些安全隐患,其中最大的一点是 sudo 是 SUID。
- run0 会利用 Polkit 进行权限管理,而不会利用(也不会兼容) sudoers 文件等配置格式。
- run0 在用户提权时会将终端背景变色。默认是暗红,但也可以指定其它颜色。
- https://mastodon.social/@pid_eins/112353324518585654
- https://news.itsfoss.com/systemd-run0/
#systemd #sudo
- run0 将不是 SUID 程序,而是 systemd-run 在某种程度上的包装。
- run0 希望解决 sudo 的一些安全隐患,其中最大的一点是 sudo 是 SUID。
- run0 会利用 Polkit 进行权限管理,而不会利用(也不会兼容) sudoers 文件等配置格式。
- run0 在用户提权时会将终端背景变色。默认是暗红,但也可以指定其它颜色。
- https://mastodon.social/@pid_eins/112353324518585654
- https://news.itsfoss.com/systemd-run0/
#systemd #sudo
Mastodon
Lennart Poettering (@[email protected])
5️⃣ Here's the 5th installment of my series of posts highlighting key new features of the upcoming v256 release of systemd.
I am pretty sure all of you are well aware of the venerable "sudo" tool that is a key component of most Linux distributions since…
I am pretty sure all of you are well aware of the venerable "sudo" tool that is a key component of most Linux distributions since…
Apple 发布:M2 芯片 iPad Air ($599 起)、M4 芯片 iPad Pro ($999 起)、Apple Penil Pro ($129)、Magic Keyboard ($299 起)。
请随意阅读世界各地 Apple 爱好者的新闻稿。
techcrunch.com/~
* The Cascading 不是专业 Apple 媒体,无法提供 Apple 产品的购买建议。
#Apple
请随意阅读世界各地 Apple 爱好者的新闻稿。
techcrunch.com/~
* The Cascading 不是专业 Apple 媒体,无法提供 Apple 产品的购买建议。
#Apple
TechCrunch
Here’s everything Apple just announced at its Let Loose event, including new iPad Pro with M4 chip, iPad Air, Apple Pencil and…
Today is Apple iPad Event day, and we bring you all the iPad goodness you can stand, including if some of the rumors are true of what’s coming, like a new
SEGA 发布:「25 时,在 Nightcord。」组合翻唱《Bad Apple!!》。
https://www.youtube.com/watch?v=v-fc1zv31zE
#ProjectSekai #Touhou #today
https://www.youtube.com/watch?v=v-fc1zv31zE
#ProjectSekai #Touhou #today
YouTube
Bad Apple!! feat.SEKAI / 25時、ナイトコードで。 × 初音ミク
『Bad Apple!! feat.SEKAI』
25時、ナイトコードで。 × 初音ミク
作詞:Haruka
作曲:ZUN(上海アリス幻樂団) https://twitter.com/korindo
編曲:ビートまりお×まろん、まらしぃ、Masayoshi Minoshima
https://twitter.com/beatmario
https://twitter.com/maron47
https://twitter.com/marasy8
https://twitter.com/M_Minoshima…
25時、ナイトコードで。 × 初音ミク
作詞:Haruka
作曲:ZUN(上海アリス幻樂団) https://twitter.com/korindo
編曲:ビートまりお×まろん、まらしぃ、Masayoshi Minoshima
https://twitter.com/beatmario
https://twitter.com/maron47
https://twitter.com/marasy8
https://twitter.com/M_Minoshima…
层叠 - The Cascading
在 Python 关闭 GIL 的功能已经合并入主分支。 https://github.com/python/cpython/pull/116338 thread: /4273 #Pyton #GIL
Python 3.13 起已可使用
https://docs.python.org/3.13/whatsnew/3.13.html#free-threaded-cpython
thread: /4469
#Python #GIL
--disable-gil
关闭 GIL。https://docs.python.org/3.13/whatsnew/3.13.html#free-threaded-cpython
thread: /4469
#Python #GIL
Python documentation
What’s New In Python 3.13
Editors, Adam Turner and Thomas Wouters,. This article explains the new features in Python 3.13, compared to 3.12. Python 3.13 was released on October 7, 2024. For full details, see the changelog. ...
欢迎参加第 11 次年度 curl 用户调查问卷。此问卷将于 5/28 (CEST, UTC+2) 午夜截止。
https://forms.gle/FYBtP1otwaMvej797
https://daniel.haxx.se/blog/2024/05/14/curl-user-survey-2024/
#curl
https://forms.gle/FYBtP1otwaMvej797
https://daniel.haxx.se/blog/2024/05/14/curl-user-survey-2024/
#curl
Google Docs
curl and libcurl user survey 2024
In order to better understand where we are and where to go next, this is a set of questions to poll interests and opinions from users of curl and libcurl. The questions are mostly the same as last year and the year before that, to make it easier for us to…
GitLab.com #Breaking: 2023/5/15 前创建的所有 GitLab.com access token 现在已经过期,这可能使一些自动化服务中断。
GitLab 于 2023/5/15 的 16.0 版本起移除创建永久有效 access token 的功能。从此时间起,所有新 access token 最多有 365 天有效期。现有的永久有效 token 会于 2024/5/15 过期。
- gitlab:gitlab-com/gl-infra/production#18003
- about.gitlab.com/~
#GitLab #Security
GitLab 于 2023/5/15 的 16.0 版本起移除创建永久有效 access token 的功能。从此时间起,所有新 access token 最多有 365 天有效期。现有的永久有效 token 会于 2024/5/15 过期。
- gitlab:gitlab-com/gl-infra/production#18003
- about.gitlab.com/~
#GitLab #Security
GitLab
2024-05-14: Multiple reports of authentication failures accessing GitLab.com (#18003) · Issues · GitLab.com / GitLab Infrastructure…
Customer Impact Tokens with infinite lifetimes were expired. This was a planned activity which was...
Windows 11 22H2 和 23H2 的 Insider 发布预览频道新版本将为中国设备预装微软电脑管家。
blogs.windows.com/~
[感谢 夜坂雅 提供此消息。]
#Windows #PCManager
blogs.windows.com/~
[感谢 夜坂雅 提供此消息。]
#Windows #PCManager
Windows Insider Blog
Releasing Windows 11 Builds 22621.3668 and 22631.3668 to the Release Preview Channel
Hello Windows Insiders, today we’re releasing Windows 11 Builds 22621.3668 and 22631.3668 (KB5037853) to Insiders in the Release Preview Channel on Windows 11, version 22H2 (Build
Slack(自 2023 年九月起)使用用户数据训练非 LLM 类 AI;workspace 管理员发邮件才可 opt out。
细节:
- 有 Hacker News 用户贴文提到 Slack 隐私政策宣称其会使用用户数据训练推荐系统 AI。
- TechCrunch 向 Slack 确认,此政策于 2023 年九月起就已实施。虽然 Slack 也有名为 Slack AI 的 LLM 功能,但公司称此功能不使用用户数据训练。 [1]
- 虽然 AI 会用于全体用户,但 Slack 称此 AI 无法「学习、记忆,或者复现用户数据」。
slack.com/~
HackerNews:40383978
1. techcrunch.com/~
linksrc: blog.gslin.org/~
#Slack #AI #Privacy
细节:
- 有 Hacker News 用户贴文提到 Slack 隐私政策宣称其会使用用户数据训练推荐系统 AI。
- TechCrunch 向 Slack 确认,此政策于 2023 年九月起就已实施。虽然 Slack 也有名为 Slack AI 的 LLM 功能,但公司称此功能不使用用户数据训练。 [1]
- 虽然 AI 会用于全体用户,但 Slack 称此 AI 无法「学习、记忆,或者复现用户数据」。
slack.com/~
HackerNews:40383978
1. techcrunch.com/~
linksrc: blog.gslin.org/~
#Slack #AI #Privacy
Slack
Privacy principles: search, learning and artificial intelligence | Legal
Slack’s terms and policies, including privacy, terms of service, API terms, security and more.
Pew Research Center 称,2013 年存在的页面中,38% 目前已无法访问。
文章还提到:
- 研究者取得的 50000 个英文维基百科条目中,82% 的条目有至少一个链接失效。
- 研究者于今年三月至四月取得的约 500 万条推文中,18% 的推文在三个月后已经无法公开访问,11% 的推文甚至连发送者账户都无法公开访问(被锁推、封禁或注销)。
pewresearch.org/~
#Web
文章还提到:
- 研究者取得的 50000 个英文维基百科条目中,82% 的条目有至少一个链接失效。
- 研究者于今年三月至四月取得的约 500 万条推文中,18% 的推文在三个月后已经无法公开访问,11% 的推文甚至连发送者账户都无法公开访问(被锁推、封禁或注销)。
pewresearch.org/~
#Web
Pew Research Center
When Online Content Disappears
A quarter of all webpages that existed at one point between 2013 and 2023 are no longer accessible.
Scarlett Johansson 称 OpenAI 未经允许使用其声音用于 ChatGPT 4.0 "Sky";OpenAI 而后撤下语音功能。
Johansson 的声明提到:
- Sam Altman 曾寻求她为 ChatGPT 配音,以「架桥弥补科技公司和创意工作者间的鸿沟」,但她拒绝了。ChatGPT 4.0 的 demo 发布两天前,OpenAI 再次联系并寻求合作。
- Sam Altman 还在 Twitter 发文引用 Johansson 参与的电影《触不到的她》 (Her) 的标题。在这部电影中,Johansson 为 AI 虚拟助手 Samantha 配音。
- Johansson 认为这些行为都表明 ChatGPT 使用的配音是故意模仿了自己的声音。
OpenAI 回应称:
- Sky 的配音并非模仿 Johansson;配音由另外的不具名配音演员使用自己自然的声音完成。
- 出于对 Johansson 的尊重,OpenAI 撤下了此功能。
- twitter.com/BobbyAllyn/~
- npr.org/~
#OpenAI #Privacy
Johansson 的声明提到:
- Sam Altman 曾寻求她为 ChatGPT 配音,以「架桥弥补科技公司和创意工作者间的鸿沟」,但她拒绝了。ChatGPT 4.0 的 demo 发布两天前,OpenAI 再次联系并寻求合作。
- Sam Altman 还在 Twitter 发文引用 Johansson 参与的电影《触不到的她》 (Her) 的标题。在这部电影中,Johansson 为 AI 虚拟助手 Samantha 配音。
- Johansson 认为这些行为都表明 ChatGPT 使用的配音是故意模仿了自己的声音。
OpenAI 回应称:
- Sky 的配音并非模仿 Johansson;配音由另外的不具名配音演员使用自己自然的声音完成。
- 出于对 Johansson 的尊重,OpenAI 撤下了此功能。
- twitter.com/BobbyAllyn/~
- npr.org/~
#OpenAI #Privacy
X (formerly Twitter)
Bobby Allyn (@BobbyAllyn) on X
Statement from Scarlett Johansson on the OpenAI situation. Wow: