DOJ 诉 Apple 垄断。
美国司法部 (DOJ) 称,Apple 通过设立契约限制阻止开发者利用设备能力。
Apple 回应称将积极应诉。Apple 的回应中提到,诉讼一旦成功,将损害其开发「人民期待的 Apple 技术」 (technology people expect from Apple) 的能力,也会成为政府干预「人民技术」 (people's technology) 之危险先例。
theverge.com/~
1. theverge.com/~
#US #Apple #today
美国司法部 (DOJ) 称,Apple 通过设立契约限制阻止开发者利用设备能力。
Apple 回应称将积极应诉。Apple 的回应中提到,诉讼一旦成功,将损害其开发「人民期待的 Apple 技术」 (technology people expect from Apple) 的能力,也会成为政府干预「人民技术」 (people's technology) 之危险先例。
theverge.com/~
1. theverge.com/~
#US #Apple #today
The Verge
US sues Apple for illegal monopoly over smartphones
The lawsuit seeks to upend a major part of Apple’s business.
KDE 警告:第三方全局主题及部件 (widgets) 可能包含可执行代码;有用户在安装主题后文件被删除。
https://floss.social/@kde/112128243960545659
[感谢 夜坂雅 提供此消息。]
#KDE
https://floss.social/@kde/112128243960545659
[感谢 夜坂雅 提供此消息。]
#KDE
FLOSS.social
KDE (@[email protected])
WARNING: Global themes and widgets created by 3rd party developers for Plasma can and will run arbitrary code. You are encouraged to exercise extreme caution when using these products.
A user has had a bad experience installing a global theme on Plasma and…
A user has had a bad experience installing a global theme on Plasma and…
PayPal 称 Pixiv 违反其条款;Pixiv/Fanbox 收紧 PayPal 使用限制。
Pixiv 及 Fanbox 公布的支付方式支持修改包括:
* 在 Pixiv 注册高级会员及约稿时将无法使用 PayPal 付款 [1]。
* 在 Fanbox 上,之前未有使用过 PayPal 的用户将无法使用 PayPal 支持 R-18 创作者 [2]。
1. pixiv.net/~
2. official.fanbox.cc/~
#PayPal #Pixiv #Fanbox
Pixiv 及 Fanbox 公布的支付方式支持修改包括:
* 在 Pixiv 注册高级会员及约稿时将无法使用 PayPal 付款 [1]。
* 在 Fanbox 上,之前未有使用过 PayPal 的用户将无法使用 PayPal 支持 R-18 创作者 [2]。
1. pixiv.net/~
2. official.fanbox.cc/~
#PayPal #Pixiv #Fanbox
pixiv
對於居住在日本以外地區的所有用戶,在註冊pixiv高級會員時,現均支援選擇信用卡付款
親愛的用戶,您好。
自2024年3月21日起的一段時間內,居住在日本以外地區,且用戶設定的「瀏覽限制」(R-18、R-18G)設定為「顯示」的用戶,在註冊pixiv高級會員時有部分付款方式無法選擇。…
自2024年3月21日起的一段時間內,居住在日本以外地區,且用戶設定的「瀏覽限制」(R-18、R-18G)設定為「顯示」的用戶,在註冊pixiv高級會員時有部分付款方式無法選擇。…
[#nsfw] DLSite 由于信用卡公司压力要求创作者停止使用部分词语。
- DLSite 发送给社团的公告称,DLSite 超过一半的交易通过信用卡结算,因而考虑到对大量用户及社团的影响,不得不接受信用卡公司的要求。
- DLSite 也给出了这些词语的「新话」版本供参考。
https://twitter.com/mttb2ccp_pt2/status/1772466120290693434
#DLSite #Payment
- DLSite 发送给社团的公告称,DLSite 超过一半的交易通过信用卡结算,因而考虑到对大量用户及社团的影响,不得不接受信用卡公司的要求。
- DLSite 也给出了这些词语的「新话」版本供参考。
https://twitter.com/mttb2ccp_pt2/status/1772466120290693434
#DLSite #Payment
X (formerly Twitter)
猫乃一族の異端者またたび (@mttb2ccp_pt2) on X
遂にDLsiteにもクレカの圧力が…
ただし簡単には屈せずに、このように代替案を出してくる辺りDLsiteは我々の側に寄り添ってくれているのがわかって信用できる
というか代替案のワードが秀逸すぎるw
ただし簡単には屈せずに、このように代替案を出してくる辺りDLsiteは我々の側に寄り添ってくれているのがわかって信用できる
というか代替案のワードが秀逸すぎるw
FSE 2024 发表了一个不同原文在弱化版本 SHA-256 的碰撞的研究。
- 此研究攻击的不是 SHA-256 算法,而是只运行了 64 轮中 31 轮的弱化 SHA-256 版本。感兴趣的订户可以参考 [2] 进行复现。
- 作者称这是第一个实际可行 (practical) 的针对此弱化 SHA-256 的攻击,获得这个碰撞的原文花费 43 小时的算力。
- 此研究并不代表 SHA-256 本身被发现进行碰撞攻击或原像攻击的方法。
1: https://twitter.com/jedisct1/status/1772647350554464448
2. gist.github.com/~
linksrc: https://www.tg-me.com/bupt_moe/2114
#Cryptography #SHA256
- 此研究攻击的不是 SHA-256 算法,而是只运行了 64 轮中 31 轮的弱化 SHA-256 版本。感兴趣的订户可以参考 [2] 进行复现。
- 作者称这是第一个实际可行 (practical) 的针对此弱化 SHA-256 的攻击,获得这个碰撞的原文花费 43 小时的算力。
- 此研究并不代表 SHA-256 本身被发现进行碰撞攻击或原像攻击的方法。
1: https://twitter.com/jedisct1/status/1772647350554464448
2. gist.github.com/~
linksrc: https://www.tg-me.com/bupt_moe/2114
#Cryptography #SHA256
#PSA: xz 5.6.0/5.6.1 版本存在后门。请立即更新。
https://www.openwall.com/lists/oss-security/2024/03/29/4
CVE: CVE-2024-3094 (CVSS: 10.0 Critical)
#xz #Security #Backdoor
https://www.openwall.com/lists/oss-security/2024/03/29/4
CVE: CVE-2024-3094 (CVSS: 10.0 Critical)
#xz #Security #Backdoor
政策原因,Okta 的二步验证等 App 或将于 4/1 起于中国 App Store 不可用。
Okta 的文章还提到:
- 建议中国 iDevice 用户在 3/31 及之前将 App 升级至最新版本,或从其它地区的 App Store 继续获得软件更新。
- 没有办法使用外区 App Store 的 iDevice 用户请考虑换用其它平台的 App,或在组织层面支持基于 WebAuthN 的验证方式。
- Android 及桌面端用户不受影响。
support.okta.com/~
#Okta #AppStore #China
Okta 的文章还提到:
- 建议中国 iDevice 用户在 3/31 及之前将 App 升级至最新版本,或从其它地区的 App Store 继续获得软件更新。
- 没有办法使用外区 App Store 的 iDevice 用户请考虑换用其它平台的 App,或在组织层面支持基于 WebAuthN 的验证方式。
- Android 及桌面端用户不受影响。
support.okta.com/~
#Okta #AppStore #China
[旧闻] 新法庭文档展示 Meta 利用 Onavo 应用解密用户流量进行分析的细节。
关于 Onavo:
* Meta 付费给青少年用户安装 Onavo 并分析其网络数据。
* Onavo 软件会在用户设备上安装 CA,并借此分析 Snapchat、YouTube 及 Amazon 的遥测数据。
* 在 TechCrunch 2019 年发表对 Onavo 的调查后,Meta 关停了 Onavo。
techcrunch.com/~
#Meta #Privacy #Onavo
关于 Onavo:
* Meta 付费给青少年用户安装 Onavo 并分析其网络数据。
* Onavo 软件会在用户设备上安装 CA,并借此分析 Snapchat、YouTube 及 Amazon 的遥测数据。
* 在 TechCrunch 2019 年发表对 Onavo 的调查后,Meta 关停了 Onavo。
techcrunch.com/~
#Meta #Privacy #Onavo
TechCrunch
Facebook snooped on users' Snapchat traffic in secret project, documents reveal | TechCrunch
A secret program called "Project Ghostbusters" saw Facebook devise a way to intercept and decrypt the encrypted network traffic of Snapchat users to study their behavior.
网友发现 Reddit 全站开始屏蔽 VPN 访问。
之前数月, reddit.com 处于屏蔽 VPN 访问的状态,但 old.reddit.com 当时仍可使用。
https://news.ycombinator.com/item?id=39883747
#Reddit
之前数月, reddit.com 处于屏蔽 VPN 访问的状态,但 old.reddit.com 当时仍可使用。
https://news.ycombinator.com/item?id=39883747
美国总统在 Threads 开设帐号,Fediverse 用户也可关注。
https://www.threads.net/@potus (
theverge.com/~
#US #Fediverse #Threads
https://www.threads.net/@potus (
@[email protected]
)theverge.com/~
#US #Fediverse #Threads
Threads
President Joe Biden (@potus) on Threads
46th President of the United States, husband to @flotus, proud dad and pop. Finishing the job for all Americans.
Text me: (302) 404-0880. 2.9M Followers.
Text me: (302) 404-0880. 2.9M Followers.
层叠 - The Cascading
[#nsfw] DLSite 由于信用卡公司压力要求创作者停止使用部分词语。 - DLSite 发送给社团的公告称,DLSite 超过一半的交易通过信用卡结算,因而考虑到对大量用户及社团的影响,不得不接受信用卡公司的要求。 - DLSite 也给出了这些词语的「新话」版本供参考。 https://twitter.com/mttb2ccp_pt2/status/1772466120290693434 #DLSite #Payment
DLsite 暂停接受 Visa/MasterCard 信用卡支付。
https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN
thread: /4486
#DLSite #Visa #MasterCard
https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN
thread: /4486
#DLSite #Visa #MasterCard
info.eisys.co.jp
【重要】致使用Visa、Mastercard品牌信用卡的用户【4/4 追记】 | DLsite|服务信息
感谢您一直以来对DLsite的支持与信任。自2024年4月3日 (周三) 18时 (JST) 起,我们将暂时停止接受Visa、Mastercard品牌信用卡支付。对于因此给您带来的不便,我们深表歉意。敬请Visa、Mastercard品牌信用卡用户在结账时,考虑使用其他可用支付方式。--------------------4/4 追记自2024年4月4日(周四)18:30(JST)起,同时暂停接受American Express的使用,特此公告。-------------…
api7.ai 创始人在 PR 下评论称其部分由公司实习生在工作时间完成,知识产权属于公司,并要求关闭 PR。
关于此消息的背景:
- api7.ai 在官网自称是一家开源基础架构 (open-source infrastructure) 公司。 [1]
- 这位创始人同时也是 Apache APISIX 的 PMC (项目管理委员会,Project Management Committee)成员。
https://github.com/ccfos/nightingale/pull/1900#issuecomment-2027899190
1. https://api7.ai/about
linksrc: twitter.com/~
#OpenSource
关于此消息的背景:
- api7.ai 在官网自称是一家开源基础架构 (open-source infrastructure) 公司。 [1]
- 这位创始人同时也是 Apache APISIX 的 PMC (项目管理委员会,Project Management Committee)成员。
https://github.com/ccfos/nightingale/pull/1900#issuecomment-2027899190
1. https://api7.ai/about
linksrc: twitter.com/~
#OpenSource
GitHub
feat(builtin-metrics): add CRUD operations for entity classes by motongxue · Pull Request #1900 · ccfos/nightingale
What type of PR is this?
new feature about builtin-metrics.
What this PR does / why we need it:
With a builtin-metrics management.
new feature about builtin-metrics.
What this PR does / why we need it:
With a builtin-metrics management.
ffmpeg 批评称,微软要求 ffmpeg 加急修复影响微软产品的 bug,却拒绝了 ffmpeg 提出的长期维护支持资助要求。
ffmpeg 在 Twitter 称,微软只愿提供数千美元的单次资助,而这是无法接受的。
1. https://trac.ffmpeg.org/ticket/10341#comment:4
2. twitter.com/~
3. twitter.com/~
linksrc: https://www.tg-me.com/plltxe/5593
#Microsoft #ffmpeg #OpenSource
ffmpeg 在 Twitter 称,微软只愿提供数千美元的单次资助,而这是无法接受的。
1. https://trac.ffmpeg.org/ticket/10341#comment:4
2. twitter.com/~
3. twitter.com/~
linksrc: https://www.tg-me.com/plltxe/5593
#Microsoft #ffmpeg #OpenSource
X (formerly Twitter)
FFmpeg (@FFmpeg) on X
The xz fiasco has shown how a dependence on unpaid volunteers can cause major problems. Trillion dollar corporations expect free and urgent support from volunteers.
@Microsoft @MicrosoftTeams posted on a bug tracker full of volunteers that their issue is…
@Microsoft @MicrosoftTeams posted on a bug tracker full of volunteers that their issue is…
层叠 - The Cascading
DLsite 暂停接受 Visa/MasterCard 信用卡支付。 https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN thread: /4486 #DLSite #Visa #MasterCard
DLsite 亦暂停接受 AMEX 信用卡支付。
https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN
thread: /4493
#DLsite #AMEX
https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN
thread: /4493
#DLsite #AMEX
info.eisys.co.jp
【重要】致使用Visa、Mastercard品牌信用卡的用户【4/4 追记】 | DLsite|服务信息
感谢您一直以来对DLsite的支持与信任。自2024年4月3日 (周三) 18时 (JST) 起,我们将暂时停止接受Visa、Mastercard品牌信用卡支付。对于因此给您带来的不便,我们深表歉意。敬请Visa、Mastercard品牌信用卡用户在结账时,考虑使用其他可用支付方式。--------------------4/4 追记自2024年4月4日(周四)18:30(JST)起,同时暂停接受American Express的使用,特此公告。-------------…
Google 宣布由 Android 设备组成的众包 "Find My Device" 网络。
文章还提到:
- 设备的位置资料为端对端加密,Google 无法解密。
- Android 及 iOS 用户均可收取附近未知跟踪设备的警告,防止他人利用此功能追踪用户位置。
https://blog.google/products/android/android-find-my-device/
#Google #Privacy
文章还提到:
- 设备的位置资料为端对端加密,Google 无法解密。
- Android 及 iOS 用户均可收取附近未知跟踪设备的警告,防止他人利用此功能追踪用户位置。
https://blog.google/products/android/android-find-my-device/
#Google #Privacy
Google
5 ways to use the new Find My Device on Android
We’re sharing a few ways to use the new Find My Device experience on Android.
层叠 - The Cascading
#PSA: xz 5.6.0/5.6.1 版本存在后门。请立即更新。 https://www.openwall.com/lists/oss-security/2024/03/29/4 CVE: CVE-2024-3094 (CVSS: 10.0 Critical) #xz #Security #Backdoor
GitHub
GitHub - tukaani-project/xz: XZ Utils
XZ Utils. Contribute to tukaani-project/xz development by creating an account on GitHub.
6/6 起,Let's Encrypt 将换用新中间证书。
- Let's Encrypt 的新中间证书包括用于替代 R3/R4 的 R10-R14(RSA,其中 R12-R14 为备用)及用于替代 E1/E2 的 E5-E9(ECDSA,其中 E7-E9 为备用)。欲了解 LE 各证书的当前信任链,请参 [1]。
- LE 的 ECDSA 根证书 ISRG Root X2 已经在大量系统中被信任,它将可以不再依赖 ISRG Root X1 的 cross-sign。因此,用户将可以使用全 ECDSA 证书链(X2 -> E5/E6 -> 叶证书);这会进一步减小 TLS 握手体积。
letsencrypt.org/~
1. https://letsencrypt.org/certificates/
#LetsEncrypt
- Let's Encrypt 的新中间证书包括用于替代 R3/R4 的 R10-R14(RSA,其中 R12-R14 为备用)及用于替代 E1/E2 的 E5-E9(ECDSA,其中 E7-E9 为备用)。欲了解 LE 各证书的当前信任链,请参 [1]。
- LE 的 ECDSA 根证书 ISRG Root X2 已经在大量系统中被信任,它将可以不再依赖 ISRG Root X1 的 cross-sign。因此,用户将可以使用全 ECDSA 证书链(X2 -> E5/E6 -> 叶证书);这会进一步减小 TLS 握手体积。
letsencrypt.org/~
1. https://letsencrypt.org/certificates/
#LetsEncrypt
letsencrypt.org
Deploying Let's Encrypt's New Issuance Chains
On Thursday, June 6th, 2024, we will be switching issuance to use our new intermediate certificates. Simultaneously, we are removing the DST Root CA X3 cross-sign from our API, aligning with our strategy to shorten the Let’s Encrypt chain of trust. We will…
#CVE:PuTTY 使用 ECDSA p-521 密钥对的方式不安全;攻击者或能从大量签名中还原私钥。
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
- 其它类别密钥,包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
ecdsa-sha2-nistp521
识别名开头。- 其它类别密钥,包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
cve.mitre.org
CVE -
CVE-2024-31497
CVE-2024-31497
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.