匿名的哔哩哔哩 might some Feature:
1. a share account
2. video list
3. video play
4. fav video list
5. history
1. a share account
2. video list
3. video play
4. fav video list
5. history
#think 打印机日志可能会披露用户名——信息安全随想
一些打印机可能会安装硬盘来存储信息,有一些打印机(例如学校里安置的打印机)会记录从操作系统发送的打印文件名,可能包含该文件的路径,如果一个文件是从 WeChat 下载的并直接从下载目录打印,操作系统就会发送包括 wxid 以及系统用户名的目录。
若计算机系统配置了域,攻击者可以通过统一的密码和固定格式的用户名来攻击服务器。
★解决方案
一些程序不会发送路径到打印机,可以转用这些程序来打印。
另一种方式则是通过使用其他的路径或使用公共的计算机来打印,以避免泄露。
其他的方式是给打印机修改密码。
★延伸阅读
扫盲“社会工程学”[1]:攻击手法之【信息收集】@编程随想的博客
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
一些打印机可能会安装硬盘来存储信息,有一些打印机(例如学校里安置的打印机)会记录从操作系统发送的打印文件名,可能包含该文件的路径,如果一个文件是从 WeChat 下载的并直接从下载目录打印,操作系统就会发送包括 wxid 以及系统用户名的目录。
若计算机系统配置了域,攻击者可以通过统一的密码和固定格式的用户名来攻击服务器。
★解决方案
一些程序不会发送路径到打印机,可以转用这些程序来打印。
另一种方式则是通过使用其他的路径或使用公共的计算机来打印,以避免泄露。
其他的方式是给打印机修改密码。
★延伸阅读
扫盲“社会工程学”[1]:攻击手法之【信息收集】@编程随想的博客
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
👍1
比特随想
#evaluate 评价对象:uid1541076896 如果真的可以盗用模型那另当别论,但是用 api 建的网站还能叫盗用吗?
经典的基因决定论,仅仅因为它来自中国人就断定它是偷来的。 事实上,任何人都可以使用开源前端构建所谓的 ChatGPT 服务。
★延伸阅读
常见的24个逻辑谬误@Zine (存档)
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
★延伸阅读
常见的24个逻辑谬误@Zine (存档)
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
#think Reproducible Build 扫盲:如何证明你的二进制文件是用这段代码编译的?
★简介
今天想到一件事,如果我下载了一个开源应用的安装包和应用程序,如果这个应用不是用这套代码编译的怎么办? 今天就分享这个方法。
★为什么这么重要?
如果您下载的应用程序被植入了后门,而源代码却没有后门,这会让您误以为该软件是安全的。
★什么是可重现构建?
可重现构建(洋文:Reproducible builds)是一个编译过程,目的是让每次生成的二进制文件都一样。
有相当多的软件支持可复制构建,例如 Telegram(不一定,详见这里)、Tor 浏览器、Debian 等。
当然,有些软件不支持可重现构建,并且有一定的要求,比如代码中不记录编译日期,尽可能在最纯净的环境中编译等。
★普遍方法
clone一个编译版本的仓库源码,按照指南编译,与下载的二进制文件对比。
★提醒
仍然需要 code review
★延伸阅读
Reproducible-builds.org
投票:如果一个开源项目提供了可以使用的二进制文件,你会下载并运行它还是自行编译?@比特随想的频道
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
★简介
今天想到一件事,如果我下载了一个开源应用的安装包和应用程序,如果这个应用不是用这套代码编译的怎么办? 今天就分享这个方法。
★为什么这么重要?
如果您下载的应用程序被植入了后门,而源代码却没有后门,这会让您误以为该软件是安全的。
★什么是可重现构建?
可重现构建(洋文:Reproducible builds)是一个编译过程,目的是让每次生成的二进制文件都一样。
有相当多的软件支持可复制构建,例如 Telegram(不一定,详见这里)、Tor 浏览器、Debian 等。
当然,有些软件不支持可重现构建,并且有一定的要求,比如代码中不记录编译日期,尽可能在最纯净的环境中编译等。
★普遍方法
clone一个编译版本的仓库源码,按照指南编译,与下载的二进制文件对比。
★提醒
仍然需要 code review
★延伸阅读
Reproducible-builds.org
投票:如果一个开源项目提供了可以使用的二进制文件,你会下载并运行它还是自行编译?@比特随想的频道
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
#forward 转载:中国的防火长城是如何检测和封锁完全加密流量的
摘要:全加密协议是翻墙生态系统中的一块基石。这类协议对数据包有效载荷的每一个字节都进行了加密,以期让流量"看起来什么都不像"。2021年11月初,中国的防火长城(GFW)部署了一种新的审查技术,这种技术可以实时地被动检测并阻断全加密流量......查看更多
我的评价:文章介绍了中国的 GFW 是如何识别和拦截加密流量的,同时也给出了一些防止被拦截的建议,对自建加密流量协议有帮助。 由于 GFW 的黑盒特性,文章可能不准确,但值得阅读以供参考。
摘要:全加密协议是翻墙生态系统中的一块基石。这类协议对数据包有效载荷的每一个字节都进行了加密,以期让流量"看起来什么都不像"。2021年11月初,中国的防火长城(GFW)部署了一种新的审查技术,这种技术可以实时地被动检测并阻断全加密流量......查看更多
我的评价:文章介绍了中国的 GFW 是如何识别和拦截加密流量的,同时也给出了一些防止被拦截的建议,对自建加密流量协议有帮助。 由于 GFW 的黑盒特性,文章可能不准确,但值得阅读以供参考。
Forwarded from 新·世界观察日志 (NPGamma)
提问须知
问编程问题,最重要的是能让别人能轻松复现你说的现象,最好的办法是提供 SSCCE。贴代码最好的方式是 gist.github.com 和 ideone.com 。
Short, Self Contained, Compilable, Example
所谓 SSCCE,就是能复现你描述的现象的完整能编译运行的(短)代码。你提供的代码要让我拿到之后立刻就能编译运行。不要只贴那个你认为关键的成员函数,你不把完整的 class 贴出来,我怎么知道这个成员函数用到的那些成员变量是什么类型的?
如果你问的问题本身是编译错误,那么你提供的代码应该能让我在我的机器上用我的编译器立刻复现出同样的错误。或者直接用 ideone.com 贴代码和编译器输出。
如果以上方法都行不通,那复现故障还有一个终极办法,你建一个 VPS,复现现象,给我 root 或者 sudo 权限,我有空登上去看看。本条只适用于 muduo 相关问题。
https://zhuanlan.zhihu.com/p/20752519
问编程问题,最重要的是能让别人能轻松复现你说的现象,最好的办法是提供 SSCCE。贴代码最好的方式是 gist.github.com 和 ideone.com 。
Short, Self Contained, Compilable, Example
所谓 SSCCE,就是能复现你描述的现象的完整能编译运行的(短)代码。你提供的代码要让我拿到之后立刻就能编译运行。不要只贴那个你认为关键的成员函数,你不把完整的 class 贴出来,我怎么知道这个成员函数用到的那些成员变量是什么类型的?
如果你问的问题本身是编译错误,那么你提供的代码应该能让我在我的机器上用我的编译器立刻复现出同样的错误。或者直接用 ideone.com 贴代码和编译器输出。
如果以上方法都行不通,那复现故障还有一个终极办法,你建一个 VPS,复现现象,给我 root 或者 sudo 权限,我有空登上去看看。本条只适用于 muduo 相关问题。
https://zhuanlan.zhihu.com/p/20752519
知乎专栏
提问须知
在知乎,有很多人邀请我回答编程问题,但很多问题问得没有章法,让人看了只好默默关闭窗口。这里我给点提示:问编程问题,最重要的是能让别人能轻松复现你说的现象,最好的办法是提供 SSCCE。贴代码最好的方式是 g…
#think 使用新顶级域欺骗
本文实际上是翻译这篇文章。
Google 在早些时候推出了 zip. 和 mov. 等顶级域名 ,这两个域名分别意味着以 zip 为后缀的压缩包和以 mov 为后缀的视频。
问题就出在这里,攻击者可以设计一个精心制作的 URL 来欺骗你进入非预期的页面。
★示例
(应跳转 Youtube)
(应显示 Not Found)
★为什么会这样
一个 URL 的构成是...
https:// (协议)
用户名:密码@ (用户信息)
二级域.示例.中文 (域名)
:11451 (端口)
/路径 (路径)
?query=keyword (参数)
#main (哪块儿)
拼起来就是
一些浏览器会忽略用户信息,让用户不会意外登录到某网站,直接进入这个 URL。
https://a.com@b.com 这个网址会把解析到 b.com。如果我们在@之前添加反斜杠就会解析 a.com,就像 https://a.com/path@b.com。
所以欺骗一个人只需要让一个网址看起来是带你到 a.com,但实则是带到 b.com。
根据一个 Chromium 的 bug。浏览器允许在地址栏使用 U+2044 (⁄) 和 U+2215 (∕),但不视作 U+002F (/) 正斜杠。
利用这点,我们假设有这样一个链接...
★预防
排查任何链接,尤其是带@的。
★延伸阅读
The Dangers of Google’s .zip TLD
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
本文实际上是翻译这篇文章。
Google 在早些时候推出了 zip. 和 mov. 等顶级域名 ,这两个域名分别意味着以 zip 为后缀的压缩包和以 mov 为后缀的视频。
问题就出在这里,攻击者可以设计一个精心制作的 URL 来欺骗你进入非预期的页面。
★示例
https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip(应跳转 Youtube)
https://github.com/example/example/archive/refs/tags/release.zip(应显示 Not Found)
★为什么会这样
一个 URL 的构成是...
https:// (协议)
用户名:密码@ (用户信息)
二级域.示例.中文 (域名)
:11451 (端口)
/路径 (路径)
?query=keyword (参数)
#main (哪块儿)
拼起来就是
https://用户名:密码@二级域.示例.中文:11451/路径?query=keyword#main。一些浏览器会忽略用户信息,让用户不会意外登录到某网站,直接进入这个 URL。
https://a.com@b.com 这个网址会把解析到 b.com。如果我们在@之前添加反斜杠就会解析 a.com,就像 https://a.com/path@b.com。
所以欺骗一个人只需要让一个网址看起来是带你到 a.com,但实则是带到 b.com。
根据一个 Chromium 的 bug。浏览器允许在地址栏使用 U+2044 (⁄) 和 U+2215 (∕),但不视作 U+002F (/) 正斜杠。
利用这点,我们假设有这样一个链接...
https://github.com/example/example/archive/refs/tags/release.zip,只需要稍加改造,在 release.zip 前添加@并且全部换成 U+2215 (∕) 字符使浏览器认成用户信息,现在这个链接会指向 release.zip 域了。现在别人花了 $15 租用这个域名指向了 Youtube 的一个视频...https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip★预防
排查任何链接,尤其是带@的。
★延伸阅读
The Dangers of Google’s .zip TLD
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。