一个没有常识、活在自己世界中的中二病人(话痨)的自留地。
该频道不专注于 Daily 或 News,而是一个记录我当前关注和思考内容的地方。
1. 随机事项:每月为自己安排一些有趣的活动。(大概率🐦🤣)
2. 同步内容:我会收集在其他平台上发布的内容。
3. 私人笔记:没经大脑的学习笔记以及一些个人随想。
4. ACG 内容:浓度高的部份还是挪到 另外一个频道 @tomoko_acg。
5. 内容转发:在这个频道上转发的内容并不必然代表我个人的立场。
该频道不专注于 Daily 或 News,而是一个记录我当前关注和思考内容的地方。
1. 随机事项:每月为自己安排一些有趣的活动。(大概率🐦🤣)
2. 同步内容:我会收集在其他平台上发布的内容。
3. 私人笔记:没经大脑的学习笔记以及一些个人随想。
4. ACG 内容:浓度高的部份还是挪到 另外一个频道 @tomoko_acg。
5. 内容转发:在这个频道上转发的内容并不必然代表我个人的立场。
🔖 How Heptabase’s founder use Heptabase for learning, research, planning, and writing | Heptabase Public Wiki #pinboard #learning #visual #heptabase
即使不用 Heptabase,也能学到很多
https://wiki.heptabase.com/how-Heptabases-founder-use-Heptabase-for-learning?lang=zh-Hant
即使不用 Heptabase,也能学到很多
https://wiki.heptabase.com/how-Heptabases-founder-use-Heptabase-for-learning?lang=zh-Hant
Heptabase
Founder's Demo | Heptabase Public Wiki
I am the founder of Heptabase and also its first user. Since May 2021, I have been using Heptabase for more than two years and have seen it go through more than 350 iterations. As Heptabase's functionality and user experience continue to improve, I have truly…
我之前是用阿里云 CLI 定期更新 DNS Record,让电脑的内网 ip 绑定到 me.xxx.com 上。这何尝也不是一种 DDNS 呢~~
但事后发现这个事情其实很蠢。在 macOS 上,你的电脑默认就会通过 Bonjour 广播它的 hostname,格式通常是 `[hostname].local`,别人自己通过这个 host 就可以了()
$ALIYUN_CLI --profile nini alidns UpdateDomainRecord --RecordId $RECORD_ID --RR $RR --Type $TYPE --Value $INTERNAL_IP --Line default
但事后发现这个事情其实很蠢。在 macOS 上,你的电脑默认就会通过 Bonjour 广播它的 hostname,格式通常是 `[hostname].local`,别人自己通过这个 host 就可以了()
动态域名解析(Dynamic DNS)
动态域名解析是一项网络服务,允许用户将一个不变的域名指向一个会变化的 IP 地址。 例如一位用户希望从外地访问位于家中的个人服务器。每当服务器的 IP 地址发生变化,DDNS 服务可以自动更新域名系统记录,确保用户总能通过相同的域名连接到服务器。
在 ADSL 宽带和拨号上网普遍的年代,固定 IP 往往过于昂贵,因此 DDNS 的出现极大的方便了需要远程访问但又不愿意支付昂贵费用的用户。
DDNS 提供商通常提供客户端软件,该软件在用户的设备上运行并监测 IP 地址的变化,然后自动通知 DDNS 服务更新相关的 DNS 记录。
然而,DDNS 单独无法解决 NAT(网络地址转换)穿透问题。 如果一个网络设备部署在多层 NAT 后面,例如一个家庭网络设备,仅仅依靠 DDNS 服务,外部网络用户可能无法直接访问这个设备。为了解决这个问题,通常需要额外的 NAT 穿透技术,例如 UPnP(通用即插即用协议)、STUN(会话穿越工具协议)或 VPN(虚拟私人网络)。
DDNS 服务遇到的问题可能包括域名更新的延迟、配置错误或安全隐患。安全问题特别值得注意,因为 DDNS 可能会让网络暴露给未授权的访问尝试。使用复杂密码、确保固件更新以及使用防火墙等措施可以帮助提升安全性。
🔗 Dynamic DNS - Wikipedia | #DDNS #NAT穿透 #网络技术 #可能会错 #笔记
动态域名解析是一项网络服务,允许用户将一个不变的域名指向一个会变化的 IP 地址。 例如一位用户希望从外地访问位于家中的个人服务器。每当服务器的 IP 地址发生变化,DDNS 服务可以自动更新域名系统记录,确保用户总能通过相同的域名连接到服务器。
在 ADSL 宽带和拨号上网普遍的年代,固定 IP 往往过于昂贵,因此 DDNS 的出现极大的方便了需要远程访问但又不愿意支付昂贵费用的用户。
DDNS 提供商通常提供客户端软件,该软件在用户的设备上运行并监测 IP 地址的变化,然后自动通知 DDNS 服务更新相关的 DNS 记录。
然而,DDNS 单独无法解决 NAT(网络地址转换)穿透问题。 如果一个网络设备部署在多层 NAT 后面,例如一个家庭网络设备,仅仅依靠 DDNS 服务,外部网络用户可能无法直接访问这个设备。为了解决这个问题,通常需要额外的 NAT 穿透技术,例如 UPnP(通用即插即用协议)、STUN(会话穿越工具协议)或 VPN(虚拟私人网络)。
DDNS 服务遇到的问题可能包括域名更新的延迟、配置错误或安全隐患。安全问题特别值得注意,因为 DDNS 可能会让网络暴露给未授权的访问尝试。使用复杂密码、确保固件更新以及使用防火墙等措施可以帮助提升安全性。
🔗 Dynamic DNS - Wikipedia | #DDNS #NAT穿透 #网络技术 #可能会错 #笔记
https://www.cyberpunk.net/zh-cn/april-fools
使用 97,619 张 3.5 英寸软盘,体验安装游戏的经典仪式。千万别孤军奋战,叫上你的朋友,制定一份轮班表。因为根据我们的粗略估计,大约需要 2 个月不间断地更换软盘才能完成安装。 哦对了,现在下单,大卡车送货免费上门! source
🔖 Skin in the Game | Armin Ronacher's Thoughts and Writings #pinboard #license #privacy #thought
To anonymize, or not to anonymize, that is the question.
我认为界限在于,我是否愿意并为我在网络上的所作所为承担责任。不过让我烦脑的是,很多时候会有误会,我本没有那个意思的,然后被解读为那个意思,于是就被请走了。这种特殊情况下 anonymize 是有必要的。
当然了,我觉得我的反侦查能力并没有高超到真的 anonymize,只能说是提高别人的开盒成本。
https://lucumr.pocoo.org/2024/3/31/skin-in-the-game/
There is obviously a balance to all of this, but given that there are real consequences to “doing stuff on the internet” there has to be a way to get in contact with the person behind it. So as far as “naming a person” here is concerned it's not so much about a particular name, but as in being able to identify the human being behind it.
To anonymize, or not to anonymize, that is the question.
我认为界限在于,我是否愿意并为我在网络上的所作所为承担责任。不过让我烦脑的是,很多时候会有误会,我本没有那个意思的,然后被解读为那个意思,于是就被请走了。这种特殊情况下 anonymize 是有必要的。
当然了,我觉得我的反侦查能力并没有高超到真的 anonymize,只能说是提高别人的开盒成本。
https://lucumr.pocoo.org/2024/3/31/skin-in-the-game/
Everything I Know About the XZ Backdoor (Score: 151+ in 13 hours)
Link: https://readhacker.news/s/653eB
Comments: https://readhacker.news/c/653eB
Link: https://readhacker.news/s/653eB
Comments: https://readhacker.news/c/653eB
boehs.org
Everything I Know About the XZ Backdoor
Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries
TLDR:
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
🔖 Steam 客服 :: Steam 家庭用户指南及常见问题解答 #pinboard #steam
来组建赛博家庭了
https://help.steampowered.com/zh-cn/faqs/view/054C-3167-DD7F-49D4
来组建赛博家庭了
https://help.steampowered.com/zh-cn/faqs/view/054C-3167-DD7F-49D4
Steampowered
Steam 客服 :: Steam 家庭用户指南及常见问题解答
🔖 Canva has acquired Affinity in an effort to compete with Adobe | Hacker News #pinboard #hacker_news #design
好典,我还没用过几次呢
"no changes ... at this time"
", but there are going to be .....
https://news.ycombinator.com/item?id=39824191
Canva’s business model is subscription, are there any plans to change how Affinity is sold?
There are no changes to our current pricing model planned at this time, with all our apps still available as a one-off purchase. Existing Affinity users will be able to continue to use your apps in perpetuity as they were originally purchased – with plenty of free updates to V2 still to look forward to!
好典,我还没用过几次呢
"no changes ... at this time"
", but there are going to be .....
https://news.ycombinator.com/item?id=39824191
评分: ★★★★★
标签: 日本 动画 Anime
备注: 少有的在原作(漫画)倒背如流的情况下,还能让我持续一集不拉地追半年的动画。
我给一个 24 年的年度动画应该没异议吧。(23 年是我内定的《天国大大魔镜》)
期待下一季的黄金乡篇。掐指一算,或者还能出完女神之碑篇?
🔖 我对盗版的态度 - 少数派 #pinboard
https://sspai.com/post/86462
试想一下一本电子书被发布到了书城上,没有做任何保护,会发生什么?当然是盗版满天飞啦!所以出现了数字版权管理系统(DRM)。 看起来非常完美!那么,代价是什么?让我们来看看这些看起来非常脑残的系统设计:
https://sspai.com/post/86462
🔖 重新理解 Heptabase | 槿呈Goidea #pinboard #knowledge
本来想着去找思维导图方面的工具的,现在看来,我或许应该试试 Heptabase
https://justgoidea.com/posts/2024-009/
Heptabase 是一个以卡片、白板和标签为基础,帮助我以中观视角对复杂问题建立深度理解的可视化笔记工具。
本来想着去找思维导图方面的工具的,现在看来,我或许应该试试 Heptabase
https://justgoidea.com/posts/2024-009/
Justgoidea
重新理解 Heptabase | 槿呈Goidea
Heptabase 是一个以卡片、白板和标签为基础,帮助我以中观视角对复杂问题建立深度理解的可视化笔记工具。本文通过重新梳理对 Heptabase 的认知,详细分析了其作为笔记工具的四个特征、功能性以及如何利用 Heptabase 建立深度理解。通过多层次认知结构和中观视角,Heptabase 不仅帮助用户积累和内化知识,还促进了智慧的形成和动态的学习过程。
