본문으로 건너뛰기

2023-10-21

헤츠너와 리노드에서 재버 서비스를 대상으로 하는 암호화된 트래픽 차단

  • XMPP 메시징 서비스인 Jabber.ru가 중간자 공격의 희생양이 되어 공격자가 독일의 호스팅 제공업체 Hetzner와 Linode에서 최대 6개월 동안 암호화된 트래픽을 가로채는 피해를 입었습니다.
  • 공격이 장기간 지속되었음에도 불구하고 서버 침해 또는 스푸핑 공격의 증거는 발견되지 않았습니다. 하지만 악성 TLS 인증서가 Let's Encrypt를 사용하여 연결을 가로채는 데 악용되었습니다.
  • 이 공격은 주로 XMPP 서비스의 STARTTLS 포트 5222에 대한 연결에 영향을 미쳤습니다. 이 가로채기는 합법적으로 이루어졌거나 호스팅 제공업체의 네트워크에 침입한 결과로 의심됩니다.

반응

  • 해커 뉴스 스레드에서는 Jabber 메시징 서비스를 대상으로 하는 호스팅 서비스에 대한 암호화된 트래픽 가로채기에 대해 논의하고 추가 인증, SSL/TLS 인증서 모니터링, RIPE Atlas 측정, DLT 기반 시스템 등 다양한 완화 전략에 대해 다룹니다.
  • 이 토론에서는 인증서 인증에 DANE을 사용하는 방법과 인증 기관(CA)의 한계에 대해 살펴봅니다. 다른 주제에는 잠재적인 SSL 인프라 취약성, SSL 인증서 발급의 손상 가능성, DNSSEC, CAA 레코드, PGP 및 OMEMO/OpenPGP와 같은 암호화 방법의 중요성 등이 포함됩니다.
  • 이 스레드에서는 동일한 도메인에 대해 여러 개의 인증서를 사용해야 하는 필요성, SSL 인증서의 신뢰성, 합법적인 가로채기 가능성, 호스팅 서비스에서 보안을 보장하는 데 따르는 어려움에 대해 논의합니다.

Healthcare.gov 구조 10주년 기념식

  • 10년 전, 작동하지 않는 HealthCare.gov 웹사이트의 문제를 해결하기 위해 Todd Park이 이끄는 '기술 서지'라는 숙련된 팀이 결성되었습니다.
  • 정부 내외부 인사로 구성된 이 팀은 코드, 테스트, 릴리스 및 모니터링을 포함하되 이에 국한되지 않는 사이트의 문제를 분석했습니다.
  • 집중적인 토론과 회의 끝에 중요한 성능 문제를 파악하는 모니터링 시스템을 성공적으로 설치하여 사이트를 개선하고 수백만 명이 의료 보험에 가입할 수 있도록 하기 위한 지속적인 노력의 시작을 알렸습니다.

반응

  • 이번 토론에서는 Healthcare.gov 개발 과정에서 발생한 문제, 건강보험개혁법(ACA)에 대한 정치적 영향, 메디케이드의 역량 등 미국의 의료 개혁에 대해 집중적으로 논의합니다.
  • 부패, 정실주의, 연방 기금 분배, 연방 직원에 대한 임금 미지급, 의료 관련 IT 프로젝트에 대한 기업의 참여 등의 문제에 주목하고 있습니다.
  • 전반적으로 이 담화는 의료 개혁의 복잡한 과제를 강조하며 제도 개선과 정치적 개입의 필요성을 강조합니다.

경찰이 허위 체포 영상이 퍼진 후 사생활 침해로 십대를 고소하다

반응

  • 이 텍스트는 경찰의 행동, 개인정보 보호, 명예훼손, 법적 절차 등 다양한 법률 관련 주제에 대한 논의를 포괄합니다.
  • 조사 대상에는 보호 명령의 효과, 법 집행 기관의 역할, 소셜 미디어가 책임에 미치는 영향, 소규모 커뮤니티에서 경찰관의 행동, 명예훼손 청구, 국경 요원의 권한 등 주요 이슈가 포함되어 있습니다.
  • 이 광범위한 주제는 현대 사회와 관련된 법 집행 및 법률 주제에 대한 심층적인 탐구를 제안합니다.

위키백과에서 가장 적게 조회된 문서 찾기(2022)

  • 이 블로그 게시물에서는 위키백과에서 가장 적게 조회된 문서 검색을 조사했는데, 그 중 상당수가 곤충과 모호한 지리적 위치에 관한 것이었습니다.
  • 가장 많이 본 페이지 하위 500개에 기업이나 밴드에 대한 기사가 없는 주목도 개념에 관한 커뮤니티 정책과 관행을 살펴봅니다.
  • 조회 수가 적은 글은 향후 편집자가 개선하고 구축할 수 있는 기반을 제공하므로 중요합니다.

반응

  • 이 토론에서는 주제의 주목성 결정, 플랫폼 제한 사항 처리, 삭제 관리 등 위키백과 편집자가 직면하는 문제를 중점적으로 다룹니다.
  • 이를 통해 플랫폼에 존재하는 성 편견과 여성 혐오, 주목도 기준의 편향성, 기타 기여에 대한 문제점을 조명합니다.
  • 이 보고서는 검색 결과에 대한 Wikipedia의 영향에 대한 우려와 함께 플랫폼 내 정보의 정확성 및 신뢰성과 관련된 문제를 제기합니다.

나카토미 스페이스

  • 이 기사에서는 다이 하드의 등장인물들이 건축물을 탐색하기 위해 사용하는 독특한 공간 방식을 조사하여 나블루스 침공 당시 이스라엘 방위군이 사용한 전략과 유사점을 도출합니다.
  • 다이 하드와 같은 영화에서 변화된 건축 탐색을 묘사한 '나카토미 공간'의 개념을 소개하고 더 광범위한 도시 구현을 고려합니다.
  • 또한 벽을 통한 이동, 공간의 유동성, 사적 공간의 침해와 같은 다양한 건축 개념을 탐구하고 영화와 문학에서 이러한 개념이 갖는 힘의 역학 관계와 그 함의를 고찰합니다.

반응

  • bldgblog.com의 대화에서는 도시 계획이 범죄율에 미치는 영향, 현대 비디오 게임에서 개방형 게임플레이의 결함 등 다양한 주제를 다룹니다.
  • 또한 제임스 본드 프랜차이즈의 명백한 쇠퇴에 대해 논의하고 영화 속 로맨스 묘사를 분석합니다.
  • 토론 참가자들은 다양한 관점을 제시하고, 대체 게임과 영화를 추천하며, 논의된 주제의 다각적인 측면을 파헤칩니다.

외국 간섭의 이중 대리인인 EU 집행위원

  • 최근 조사에 따르면 기술 업계와 보안 서비스 관련 단체들이 아동 성학대 방지를 목적으로 하는 유럽연합의 '채팅 통제' 규제안을 지지하는 캠페인에 자금을 지원한 것으로 나타났습니다.
  • 이 규정은 서비스 제공업체가 의심스러운 비공개 메시지와 사진을 의무적으로 스캔하고 공개하도록 하고 있습니다. EU 의회 의원인 패트릭 브레이어가 일바 요한손 EU 내무장관의 개입을 비판하고 있습니다.
  • 지지자들은 이 캠페인이 사적인 메시지와 사진에 대한 무차별적인 검열을 추진하며, 이는 디지털 프라이버시와 암호화를 위협하는 것으로 간주합니다. 현재 미국에는 이러한 법이 존재하지 않습니다.

반응

  • 이 구절은 부패 및 외국 개입에 대한 비난, 주권 논쟁, EU 규정 비판 등 다양한 EU 관련 주제를 강조합니다.
  • 이 보고서는 EU의 무결성과 개인정보 보호 역량에 대한 우려를 강조하며, EU의 규정과 거버넌스에 대한 회의적인 시각을 드러내고 있습니다.
  • 또한 자본주의와 공산주의의 맥락에서 정부 개입과 규제의 장단점에 대한 논쟁을 언급하고 있습니다.

사랑하는 모든 것을 망칠 수 있고 망칠 수 있습니다.

  • 독립 아티스트를 지원하는 것으로 유명한 음악 사이트 밴드캠프가 콘텐츠 라이선싱 및 서비스 회사인 송트레이더에 인수되었습니다.
  • 이번 인수로 인해 이미 밴드캠프의 편집진과 바이닐 팀에 영향을 미치는 해고가 발표되어 아티스트와 팬들 사이에서 우려를 불러일으켰습니다.
  • 이번 매각으로 인해 밴드캠프의 미래와 독립 아티스트 지원에 대한 지속적인 노력에 대한 불확실성이 커졌고, 새로운 소유주 아래에서 독립 음악 플랫폼으로서 사이트의 명성이 훼손될 수 있다는 우려를 불러 일으켰습니다.

반응

  • 이 담론은 밴드캠프 직원들의 실직, 음악 플랫폼으로서 밴드캠프의 중요성, 에픽게임즈에 인수된 것에 대한 우려를 중심으로 이루어졌습니다.
  • 영리 중심의 디지털 게임 스토어의 단점, 커뮤니티를 육성하기 위한 비영리 단체의 필요성, 고용주와 직원의 관계에 대한 심도 있는 논의가 이루어집니다.
  • 그 밖에도 노동 가치와 자본 가치의 균형, 웹 자산의 지속가능성 문제, 인터넷 아카이브와 같은 기관의 문화 콘텐츠 보존, 개인 프라이버시 권리, 마이스페이스와 트위터 같은 소셜 미디어 플랫폼의 쇠퇴 등 다양한 주제가 논의됩니다.

해커가 Okta의 지원 부서에서 액세스 토큰을 훔쳤습니다.

  • 비즈니스 신원 확인 도구 제공업체인 Okta는 고객 지원 부서에서 보안 침해가 발생하여 해커가 통제될 때까지 약 2주 동안 액세스 권한을 부여했습니다.
  • 이 침해로 인해 공격자는 특정 고객이 업로드한 파일을 볼 수 있었고, 쿠키 및 세션 토큰과 같은 민감한 데이터가 노출되었을 가능성이 있습니다.
  • 이 사건은 소수의 고객에게 영향을 미쳤지만, Okta는 모든 고객에게 파일 공유 전에 파일 내의 자격 증명과 토큰을 정리할 것을 권고하며 익숙한 위협 행위자가 이들을 표적으로 삼았을 가능성이 높다고 추측하고 있습니다.

반응

  • 중앙 집중식 ID 제공업체인 Okta는 해커가 지원 부서에서 액세스 토큰을 훔쳐가는 보안 침해가 발생했는데, 이는 직원이 Okta의 지원 도구에 민감한 데이터를 업로드한 후 발생했습니다.
  • 이 사건은 중요한 IT 시스템을 관리하는 Okta의 무결성과 신뢰성, 보안 프로토콜의 효율성, 온프레미스 시스템과 클라우드 서비스 간의 인증에 대한 지속적인 논쟁을 촉발시켰습니다.
  • 강력한 보안 조치를 구현하고, 선제적인 사이버 보안 경계를 유지하며, 대체 인증 제공업체를 고려해야 할 필요성이 강조되고 있습니다.

No-GIL CPython 진행 상황

  • 파이썬 운영 위원회는 여러 네이티브 스레드가 한 번에 파이썬 바이트코드를 실행하는 것을 방지하는 메커니즘인 글로벌 인터프리터 잠금(GIL)을 향후 파이썬 릴리스에서 선택 사항으로 제공하는 것을 고려하고 있습니다.
  • 확장 프로그램과의 호환성, API 변경 제안, 비-GIL 버전의 잠재적 이름에 대한 논의가 진행 중이며, '프리 스레딩'과 '노길'이 후보로 거론되고 있습니다. 또한 'abi4'라는 새로운 애플리케이션 바이너리 인터페이스(ABI)를 도입하는 방안도 고려하고 있습니다.
  • 이러한 변경 사항과 관련된 파이썬 개선 제안(PEP)의 최종 승인은 보류 중입니다. 운영 위원회는 마이그레이션과 인식에 미칠 수 있는 잠재적 영향에 대해 논의하면서 수용 기준을 정의하는 중입니다.

반응

  • 이 토론에서는 파이썬 병렬 프로그래밍의 다양한 측면에 대해 논의합니다. 여기에는 대학 커리큘럼에서 보다 명시적인 병렬 처리의 필요성과 여러 스레드에서 파이썬 바이트코드를 동시에 실행하는 것을 방지하는 메커니즘인 글로벌 인터프리터 잠금(GIL)의 잠재적 제거가 포함됩니다.
  • 참가자들은 다양한 의견을 제시했는데, 일부는 부작용이 없는 기능적 코드를 장려하는 반면, 다른 참가자들은 샌드박스 가상 머신(VM) 및 라이브러리로 작업 오프로딩과 같은 대안적인 접근 방식을 제안했습니다.
  • 파이썬의 단일 스레드 성능과 파이썬 2에서 3으로의 전환에 대한 우려가 있지만, GIL을 제거하고 병렬성을 향상시키는 데 따른 잠재적 영향과 이점도 인정받고 있습니다.

헤츠너/리노드 XMPP.ru MitM 가로채기 사고 완화하기

  • jabber.ru 및 xmpp.ru의 소유자는 독일에서 시작된 것으로 추정되는 중간자 공격을 보고했으며, 이 공격은 트래픽을 자동으로 가로채고 인증되지 않은 인증서를 발급하는 것으로 나타났습니다.
  • 이 보고서는 TLS(전송 계층 보안) 인프라의 결함을 강조하고 자동 인증서 관리 환경(ACME)-인증 기관 권한 부여(CAA)-도메인 이름 시스템 보안 확장(DNSSEC) 사용과 같은 강화된 보안 조치를 제안합니다.
  • 이 기사는 타사 솔루션에 의존하지 말 것을 권고하고, 엔드투엔드 암호화를 지지하며, 견고한 보안을 제공하는 '기밀 컴퓨팅' 기술의 효용성에 의문을 제기합니다.

반응

  • 최근 헤츠너/리노드 네트워크에서 XMPP 트래픽을 가로채는 보안 침해가 확인되었는데, 특히 XMPP STARTTLS 포트를 노린 것으로 보입니다.
  • 이 공격은 완화되었지만 취약점을 노출하고 데이터 센터 및 잠재적인 공급망 손상과 관련된 보안 위험을 강조했습니다.
  • 토론에서는 Cloudflare 사용에 대한 사용자들의 우려와 함께 장단점을 살펴보는 시간을 가졌습니다. XMPP는 확장 가능한 메시징 및 프레즌스 프로토콜의 약자로, 통신 프로토콜이며, STARTTLS는 암호화되지 않은 연결을 암호화(TLS 또는 SSL) 연결로 업그레이드하는 방법입니다.

["31M"? 2023년 ANSI 터미널 보안 및 10개의 CVE 발견

  • 이 백서에서는 터미널 에뮬레이터에 존재하는 취약점과 잠재적인 익스플로잇 체인에 대해 설명하며, 특히 탈출 시퀀스에 중점을 두고 있습니다.
  • 이 보고서는 널리 사용되는 터미널 에뮬레이터의 위험을 식별하고 이러한 취약성에 대한 적절한 처리 및 완화 조치를 구현하는 것이 중요함을 강조합니다.
  • 이 연구는 또한 단말기용 테스트 도구의 개발을 지적하고 이 분야의 이전 연구자들의 공헌을 인정합니다.

반응

  • 이 글에서는 보안 위험을 완화하기 위해 텍스트 기반 도구에서 제어 문자를 살균하는 것의 중요성을 강조하며 일부 터미널 시스템에서 발생하는 문제를 강조합니다.
  • 특히 표준화 부족으로 인한 터미널 에뮬레이션과 관련된 어려움과 과제에 주목하여 새로운 텍스트 터미널 프로토콜의 필요성을 제안합니다.
  • 또한 터미널 에뮬레이터 및 제어 시퀀스와 관련된 문제를 다루며 이스케이프 키의 역사적 맥락, Lisp 프로그램에서의 PostScript 사용 및 관련 프로젝트에 대해 다룹니다.

F-Droid: 안드로이드 FOSS 앱 스토어

  • F-Droid는 Android용 무료 오픈 소스 소프트웨어(FOSS) 앱의 저장소로, 기기에서 쉽게 검색, 설치 및 업데이트할 수 있는 클라이언트를 제공합니다.
  • 가장 최근 업데이트에서는 새로운 애플리케이션과 개선된 기능을 도입하여 F-Droid의 사용성과 기능을 향상시켰습니다.
  • F-Droid는 대중의 기부금에 의존하여 서비스를 유지하고 Android 커뮤니티에 서비스를 계속 제공하는 비영리 단체입니다.

반응

  • 이 문서에서는 무료 오픈 소스 Android 앱 스토어인 F-Droid에 대해 살펴봅니다. 향상된 기능과 앱 설치를 위해 사용자들이 추천하는 대체 클라이언트로는 Aurora Droid와 Neo Store가 있습니다.
  • 이 문서에서는 F-Droid에 대한 사용 통계 부족, 구현 시 발생할 수 있는 장애물, 새로운 소프트웨어의 느린 추가에 대해 논의합니다. 사용자들은 접근성을 개선하기 위해 추가 저장소를 추가할 것을 권장하고 F-Droid의 버전인 F-Droid Basic을 언급합니다.
  • 사용자들은 F-Droid의 긍정적인 면과 부정적인 면을 모두 강조하며, 일부 사용자들은 이 플랫폼을 좋아하지만 다른 사용자들은 수년간 업데이트되지 않은 여러 앱이 포함되어 있다고 비판합니다.

헥사곤 그리드 (2013)

  • 이 가이드에서는 다양한 좌표계, 알고리즘 및 공식을 프로그래밍 코드 샘플과 함께 다루면서 육각형 그리드를 만들고 작업하는 방법을 자세히 설명합니다.
  • 장애물 처리, 지도 저장, 랩어라운드 지도, 경로 찾기를 위한 알고리즘과 함께 육각형 그리드의 거리 계산, 선 그리기, 이동 범위 결정에 대해 설명합니다.
  • 저자는 웹 사이트에서 사용할 수 있는 Unity의 GameLogic 그리드 라이브러리, Hex-Grid 유틸리티 라이브러리, 샘플 코드, PDF 문서, 절차 생성 코드 등의 관련 리소스를 추천합니다.

반응

  • 이 글에서는 육각형 그리드 처리를 위한 리소스와 가이드를 제공하는 웹페이지인 레드 블롭 게임에 대해 자세히 설명합니다.
  • 뾰족한 정육각형과 평평한 정육각형의 차이점을 설명하여 코딩에서 정육각형의 사용법을 이해하는 데 도움을 줍니다.
  • 좌표계와 게임 디자인에서 육각형 그리드를 사용할 때의 장단점에 대해 논의합니다.

비영리 병원은 자선 단체에 인색한 반면 CEO는 수백만 달러를 벌어들이고 있다는 보고서가 나왔습니다.

  • 미국의 비영리 병원들이 저소득층 환자를 위한 자선 의료 서비스 제공보다 경영진의 보수를 선호한다는 이유로 조사를 받고 있습니다.
  • 상원 보건, 교육, 노동, 연금 위원회의 보고서에 따르면 많은 비영리 병원이 수익의 2% 미만을 자선 진료에 지출하는 반면, 병원 CEO는 수백만 달러의 연봉을 받는 것으로 나타났습니다.
  • 이 보고서는 병원들이 바가지를 씌우고 비영리 의무를 위반하고 있다고 비난합니다. 그러나 미국 병원협회는 이 보고서가 병원이 지역사회에 제공하는 혜택을 간과하고 있다고 항의합니다.

반응

  • 이 보고서에 따르면 비영리 병원은 높은 CEO 연봉에도 불구하고 상대적으로 낮은 자선 진료로 인해 면밀한 조사를 받고 있으며, 공적 자금이 투입된 조직에 대한 공정성 문제가 제기되고 있습니다.
  • 이 토론에서는 메디케이드 및 메디케어 환자에게 서비스를 제공하는 병원의 어려움, 정부 지불이 의료 비용에 미치는 영향, 임원 보상에 대한 견해 등을 다루며 이 문제를 해결해야 할 필요성을 제시합니다.
  • 이 보고서에서는 비영리 단체의 성격과 재정 운영에 관한 투명성, 담합 혐의, 선거자금법 개정의 필요성, 병원 기금을 자선 의료에 배분하는 것의 중요성에 대해서도 논의합니다.

타입스크립트 유형으로 구현된 플래피버드

  • 저자는 TypeScript 유형 어노테이션만을 사용하여 2D Flappy Bird 게임을 개발하여 TypeScript 컴파일러 외부에서 이러한 어노테이션을 활용할 수 있는 잠재력을 보여주었습니다.
  • 게임 상태는 함수형 프로그래밍과 렌더링의 원리를 기반으로 업데이트되며, 드로잉 명령으로 채워진 명령 버퍼를 통해 프로젝트의 기술적 숙련도를 보여줄 수 있습니다.
  • 러스트와 지그로 제작된 이 런타임은 게임 실행을 위해 바이트코드와 웹 캔버스 API를 사용하며, 향후 이 타입 레벨 타입스크립트 런타임을 고성능 타입 체커로 활용하고 스키마 생성을 위한 유능한 도메인별 언어(DSL)를 개발할 계획입니다.

반응

  • 이 글에서는 Flappy Bird 게임 구현에 적용된 TypeScript의 유형 시스템을 통해 TypeScript의 유형 시스템의 유용성을 살펴보고, 스도쿠 풀이에서 Ocaml을 사용하여 비교하는 방법을 소개합니다.
  • 타입스크립트 타입 시스템의 강점과 복잡성, 복잡한 인터페이스를 생성할 수 있는 능력, 고급 타입 시스템의 이점에 대해 설명합니다.
  • 이 글에서는 타입스크립트 유형 시스템의 유연성과 제한점을 지적하고, 충분한 시간과 자원이 주어지면 어떤 계산 문제도 해결할 수 있는 시스템을 설명하는 용어인 튜링 완전성의 의미에 대해 다룹니다.