#think Reproducible Build 扫盲:如何证明你的二进制文件是用这段代码编译的?
★简介
今天想到一件事,如果我下载了一个开源应用的安装包和应用程序,如果这个应用不是用这套代码编译的怎么办? 今天就分享这个方法。
★为什么这么重要?
如果您下载的应用程序被植入了后门,而源代码却没有后门,这会让您误以为该软件是安全的。
★什么是可重现构建?
可重现构建(洋文:Reproducible builds)是一个编译过程,目的是让每次生成的二进制文件都一样。
有相当多的软件支持可复制构建,例如 Telegram(不一定,详见这里)、Tor 浏览器、Debian 等。
当然,有些软件不支持可重现构建,并且有一定的要求,比如代码中不记录编译日期,尽可能在最纯净的环境中编译等。
★普遍方法
clone一个编译版本的仓库源码,按照指南编译,与下载的二进制文件对比。
★提醒
仍然需要 code review
★延伸阅读
Reproducible-builds.org
投票:如果一个开源项目提供了可以使用的二进制文件,你会下载并运行它还是自行编译?@比特随想的频道
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
★简介
今天想到一件事,如果我下载了一个开源应用的安装包和应用程序,如果这个应用不是用这套代码编译的怎么办? 今天就分享这个方法。
★为什么这么重要?
如果您下载的应用程序被植入了后门,而源代码却没有后门,这会让您误以为该软件是安全的。
★什么是可重现构建?
可重现构建(洋文:Reproducible builds)是一个编译过程,目的是让每次生成的二进制文件都一样。
有相当多的软件支持可复制构建,例如 Telegram(不一定,详见这里)、Tor 浏览器、Debian 等。
当然,有些软件不支持可重现构建,并且有一定的要求,比如代码中不记录编译日期,尽可能在最纯净的环境中编译等。
★普遍方法
clone一个编译版本的仓库源码,按照指南编译,与下载的二进制文件对比。
★提醒
仍然需要 code review
★延伸阅读
Reproducible-builds.org
投票:如果一个开源项目提供了可以使用的二进制文件,你会下载并运行它还是自行编译?@比特随想的频道
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
#forward 转载:中国的防火长城是如何检测和封锁完全加密流量的
摘要:全加密协议是翻墙生态系统中的一块基石。这类协议对数据包有效载荷的每一个字节都进行了加密,以期让流量"看起来什么都不像"。2021年11月初,中国的防火长城(GFW)部署了一种新的审查技术,这种技术可以实时地被动检测并阻断全加密流量......查看更多
我的评价:文章介绍了中国的 GFW 是如何识别和拦截加密流量的,同时也给出了一些防止被拦截的建议,对自建加密流量协议有帮助。 由于 GFW 的黑盒特性,文章可能不准确,但值得阅读以供参考。
摘要:全加密协议是翻墙生态系统中的一块基石。这类协议对数据包有效载荷的每一个字节都进行了加密,以期让流量"看起来什么都不像"。2021年11月初,中国的防火长城(GFW)部署了一种新的审查技术,这种技术可以实时地被动检测并阻断全加密流量......查看更多
我的评价:文章介绍了中国的 GFW 是如何识别和拦截加密流量的,同时也给出了一些防止被拦截的建议,对自建加密流量协议有帮助。 由于 GFW 的黑盒特性,文章可能不准确,但值得阅读以供参考。
Forwarded from 新·世界观察日志 (NPGamma)
提问须知
问编程问题,最重要的是能让别人能轻松复现你说的现象,最好的办法是提供 SSCCE。贴代码最好的方式是 gist.github.com 和 ideone.com 。
Short, Self Contained, Compilable, Example
所谓 SSCCE,就是能复现你描述的现象的完整能编译运行的(短)代码。你提供的代码要让我拿到之后立刻就能编译运行。不要只贴那个你认为关键的成员函数,你不把完整的 class 贴出来,我怎么知道这个成员函数用到的那些成员变量是什么类型的?
如果你问的问题本身是编译错误,那么你提供的代码应该能让我在我的机器上用我的编译器立刻复现出同样的错误。或者直接用 ideone.com 贴代码和编译器输出。
如果以上方法都行不通,那复现故障还有一个终极办法,你建一个 VPS,复现现象,给我 root 或者 sudo 权限,我有空登上去看看。本条只适用于 muduo 相关问题。
https://zhuanlan.zhihu.com/p/20752519
问编程问题,最重要的是能让别人能轻松复现你说的现象,最好的办法是提供 SSCCE。贴代码最好的方式是 gist.github.com 和 ideone.com 。
Short, Self Contained, Compilable, Example
所谓 SSCCE,就是能复现你描述的现象的完整能编译运行的(短)代码。你提供的代码要让我拿到之后立刻就能编译运行。不要只贴那个你认为关键的成员函数,你不把完整的 class 贴出来,我怎么知道这个成员函数用到的那些成员变量是什么类型的?
如果你问的问题本身是编译错误,那么你提供的代码应该能让我在我的机器上用我的编译器立刻复现出同样的错误。或者直接用 ideone.com 贴代码和编译器输出。
如果以上方法都行不通,那复现故障还有一个终极办法,你建一个 VPS,复现现象,给我 root 或者 sudo 权限,我有空登上去看看。本条只适用于 muduo 相关问题。
https://zhuanlan.zhihu.com/p/20752519
知乎专栏
提问须知
在知乎,有很多人邀请我回答编程问题,但很多问题问得没有章法,让人看了只好默默关闭窗口。这里我给点提示:问编程问题,最重要的是能让别人能轻松复现你说的现象,最好的办法是提供 SSCCE。贴代码最好的方式是 g…
#think 使用新顶级域欺骗
本文实际上是翻译这篇文章。
Google 在早些时候推出了 zip. 和 mov. 等顶级域名 ,这两个域名分别意味着以 zip 为后缀的压缩包和以 mov 为后缀的视频。
问题就出在这里,攻击者可以设计一个精心制作的 URL 来欺骗你进入非预期的页面。
★示例
(应跳转 Youtube)
(应显示 Not Found)
★为什么会这样
一个 URL 的构成是...
https:// (协议)
用户名:密码@ (用户信息)
二级域.示例.中文 (域名)
:11451 (端口)
/路径 (路径)
?query=keyword (参数)
#main (哪块儿)
拼起来就是
一些浏览器会忽略用户信息,让用户不会意外登录到某网站,直接进入这个 URL。
https://a.com@b.com 这个网址会把解析到 b.com。如果我们在@之前添加反斜杠就会解析 a.com,就像 https://a.com/path@b.com。
所以欺骗一个人只需要让一个网址看起来是带你到 a.com,但实则是带到 b.com。
根据一个 Chromium 的 bug。浏览器允许在地址栏使用 U+2044 (⁄) 和 U+2215 (∕),但不视作 U+002F (/) 正斜杠。
利用这点,我们假设有这样一个链接...
★预防
排查任何链接,尤其是带@的。
★延伸阅读
The Dangers of Google’s .zip TLD
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
本文实际上是翻译这篇文章。
Google 在早些时候推出了 zip. 和 mov. 等顶级域名 ,这两个域名分别意味着以 zip 为后缀的压缩包和以 mov 为后缀的视频。
问题就出在这里,攻击者可以设计一个精心制作的 URL 来欺骗你进入非预期的页面。
★示例
https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip(应跳转 Youtube)
https://github.com/example/example/archive/refs/tags/release.zip(应显示 Not Found)
★为什么会这样
一个 URL 的构成是...
https:// (协议)
用户名:密码@ (用户信息)
二级域.示例.中文 (域名)
:11451 (端口)
/路径 (路径)
?query=keyword (参数)
#main (哪块儿)
拼起来就是
https://用户名:密码@二级域.示例.中文:11451/路径?query=keyword#main。一些浏览器会忽略用户信息,让用户不会意外登录到某网站,直接进入这个 URL。
https://a.com@b.com 这个网址会把解析到 b.com。如果我们在@之前添加反斜杠就会解析 a.com,就像 https://a.com/path@b.com。
所以欺骗一个人只需要让一个网址看起来是带你到 a.com,但实则是带到 b.com。
根据一个 Chromium 的 bug。浏览器允许在地址栏使用 U+2044 (⁄) 和 U+2215 (∕),但不视作 U+002F (/) 正斜杠。
利用这点,我们假设有这样一个链接...
https://github.com/example/example/archive/refs/tags/release.zip,只需要稍加改造,在 release.zip 前添加@并且全部换成 U+2215 (∕) 字符使浏览器认成用户信息,现在这个链接会指向 release.zip 域了。现在别人花了 $15 租用这个域名指向了 Youtube 的一个视频...https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip★预防
排查任何链接,尤其是带@的。
★延伸阅读
The Dangers of Google’s .zip TLD
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
#forward #think
https://www.bumingbai.net/2023/05/ep-048-program-think/
这个频道命名为“比特随想”,灵感就是来自编程随想。
编程随想中之人阮晓寰于 2021 年 5 月 10 日被捕。向简体中文互联网先锋敬礼,保持独立思考。
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
https://www.bumingbai.net/2023/05/ep-048-program-think/
这个频道命名为“比特随想”,灵感就是来自编程随想。
编程随想中之人阮晓寰于 2021 年 5 月 10 日被捕。向简体中文互联网先锋敬礼,保持独立思考。
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
👏2👍1
#accelerate Vocaloid 音乐被大陆自媒体痛批“合成音”、“毒音乐”。
★延伸阅读
https://www.bilibili.com/video/av826194789
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
★延伸阅读
https://www.bilibili.com/video/av826194789
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
👍1
#accelerate 德国之声发文称中华人民共和国福建省开始采取仅允许白名单上的网站可被访问。频道主先前了解到部分站长表明很早之前就有这个麻烦了,所以在此文章(德国之声)发表很久以前就采取了白名单制度。
★延伸阅读
德国之声
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
★延伸阅读
德国之声
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。