- XMPP 消息传递服务 Jabber.ru 遭到中间人攻击,攻击者在德国的托管服务提供商 Hetzner 和 Linode 上截获了长达 6 个月的加密流量。
- 尽管攻击旷日持久,但没有发现服务器漏洞或欺骗攻击的证据。不过,有人利用 Let's Encrypt 恶意 TLS 证书劫持了连接。
- 这次攻击主要影响到与 XMPP 服务的 STARTTLS 端口 5222 的连接。拦截行为被怀疑是合法进行的,或者是对托管服务提供商网络入侵的结果。
- Hacker News 的主题讨论了以 Jabber 消息服务为目标的托管服务上的加密流量拦截,并谈到了各种缓解策略,如附加身份验证、监控 SSL/TLS 证书、RIPE Atlas 测量和基于 DLT 的系统。
- 讨论探讨了如何使用 DANE 进行证书验证以及证书颁发机构 (CA) 的局限性。其他主题包括潜在的 SSL 基础设施漏洞、SSL 证书签发可能受到的损害,以及 DNSSEC、CAA 记录和 PGP 和 OMEMO/OpenPGP 等加密方法的重要性。
- 该主题讨论了同一域名是否需要多个证书、SSL 证书的可靠性、潜在的合法拦截以及确保托管服务安全所面临的挑战。
- 十年前,一个由托德-帕克(Todd Park)领导的名为 "技术激增"(tech surge)的经验丰富的团队成立,以解决 HealthCare.gov 网站无法运行的问题。
- 该团队由来自政府内外的人员组成,分析了网站面临的挑战,包括但不限于代码、测试、发布和监控。
- 经过密集的讨论和会议,他们成功安装了一个监控系统,揭示了关键的性能问题,这标志着他们开始不断努力改进网站,使数百万人能够加入医疗保险。
- 讨论围绕美国的医疗改革展开,包括在开发 Healthcare.gov 过程中出现的问题、对《可负担医疗法案》(ACA)的政治影响以及医疗补助计划(Medicaid)的能力。
- 腐败、任人唯亲、联邦资金的分配、联邦雇员工资过低以及公司参与与医疗保健有关的 IT 项目等问题引起了关注。
- 总之,讨论强调了医疗改革所面临的错综复杂的挑战,强调了加强制度和政治干预的必要性。
- 课文讨论了与法律相关的各种主题,包括警察行为、隐私、诽谤和法律程序。
- 研究的主要问题包括保护令的有效性、执法部门的作用、社交媒体对问责制的影响、较小社区中警察的行为、诽谤索赔以及边境人员的权力。
- 这些广泛的主题表明,我们可以深入探讨与当代社会相关的执法和法律主题。
- 这篇博文探讨了在维基百科上搜索浏览次数最少的文章,其中很多都是关于昆虫和模糊地理位置的。
- 该报告深入探讨了社区关于 "知名度 "概念的政策和做法,这些政策和做法导致在浏览量最低的 500 个页面中没有关于企业或乐队的文章。
- 这些较少被人关注的文章非常重要,因为它们为未来的编辑提供了一个基础,可以在此基础上加以改进和提高。
- 讨论强调了维基百科编辑遇到的挑战,如确定主题的可记性、处理平台限制和管理删除。
- 它揭示了平台上存在的性别偏见和厌女症、可记性标准中的偏见以及其他贡献方面的挑战。
- 这引起了人们对维基百科对搜索结果的影响以及该平台上信息的准确性和可靠性问题的关注。
- 文章研究了《虎胆龙威》中的人物为驾驭建筑而使用的独特空间方法,并将其与以色列国防军在入侵纳布卢斯时使用的策略相提并论。
- 它引入了 "中富空间 "的概念,即《虎胆龙威》等电影中对改变建筑导航的描述,并考虑了更广泛的城市实施。
- 此外,它还探讨了各种建筑概念,如穿墙移动、空间流动性和侵犯私人空间等,并思考了电影和文学作品中的权力动态及其影响。
- bldgblog.com 上的对话涉及一系列话题,如城市规划对犯罪率的影响,以及现代电子游戏中开放式玩法的不足。
- 讨论还延伸到詹姆斯-邦德系列电影的明显衰落,并分析了电影中的爱情描写。
- 参加讨论的人发表了不同的观点,推荐了替代游戏和电影,并深入探讨了所讨论话题的多方面内容。
- 最近的一项调查显示,与科技行业和安全服务有关的组织资助了一场运动,支持欧盟提出的旨在打击儿童性虐待的 "聊天控制 "法规。
- 该法规要求服务提供商对可疑的私人信息和照片进行强制扫描和披露。欧盟议会议员帕特里克-布雷耶(Patrick Breyer)批评欧盟内政专员伊尔娃-约翰松(Ylva Johansson)的参与。
- 倡导者认为这项运动是在推动对私人信息和照片进行无差别筛选,他们认为这是对数字隐私和加密的威胁。目前,美国还没有这样的法律。
- 这段话突出了与欧盟有关的各种话题,如对腐败和外国干预的指责、主权辩论以及对欧盟法规的批评。
- 这凸显了人们对欧盟诚信及其保障隐私权能力的担忧,表明人们对欧盟的法规和治理持怀疑态度。
- 文中还提到了关于政府干预和监管对资本主义和共产主义利弊的辩论。
- 以支持独立艺术家而闻名的音乐网站 Bandcamp 已被内容授权和服务公司 Songtradr 收购。
- 这次收购引发了艺术家和粉丝们的担忧,因为已有人宣布裁员,影响到 Bandcamp 的编辑人员和黑胶唱片团队。
- 此次出售导致人们对 Bandcamp 的未来及其继续支持独立艺术家的承诺产生了不确定性,人们担心在新的所有权下,该网站作为独立音乐平台的声誉可能会受到损害。
- 讨论围绕 Bandcamp 员工的失业、Bandcamp 作为音乐平台的意义以及对其被 Epic Games 收购的担忧展开。
- 会议深入讨论了数字游戏商店以盈利为目的的弊端、非营利实体培育社区的必要性以及雇主与雇员的关系。
- 其他议题包括劳动价值和资本价值之间的平衡、网络财产的可持续性问题、互联网档案馆等组织对文化内容的保护、个人隐私权以及 MySpace 和 Twitter 等社交媒体平台的衰落。
- 企业身份识别工具提供商 Okta 的客户支持部门出现了安全漏洞,黑客获得了约两周的访问权限,直至漏洞被控制。
- 该漏洞允许攻击者查看某些客户上传的文件,有可能泄露 cookie 和会话令牌等敏感数据。
- 尽管此次事件只影响了少数客户,但 Okta 建议所有客户在共享文件之前清理文件中的凭证和令牌,并推测可能是熟悉的威胁行为者将其作为攻击目标。
- 集中式身份识别提供商 Okta 发生了一起安全漏洞,一名员工将敏感数据上传到 Okta 的支持工具后,黑客窃取了其支持部门的访问令牌。
- 这一事件引发了关于 Okta 在管理重要 IT 系统方面的完整性和可靠性、其安全协议的有效性以及内部系统和云服务在身份验证方面的持续对比的讨论。
- 强调有必要实施强有力的安全措施,保持积极主动的网络安全警惕,并考虑替代认证提供商。
- Python 指导委员会正在考虑在 Python 的未来版本中将全局解释器锁 (GIL) 作为可选项,这是一种防止多个本地线程同时执行 Python 字节码的机制。
- 目前正在讨论与扩展程序的兼容性、API 更改建议以及非 GIL 版本的潜在名称,其中 "free-threading "和 "nogil "是一些建议。他们还在考虑引入一个新的应用程序二进制接口(ABI),称为 "abi4"。
- 与这些更改相关的 Python 增强提案 (PEP) 尚待最终批准。指导委员会正在确定其接受标准,同时讨论对迁移和感知的潜在影响。
- 讨论涉及 Python 中并行编程的各个方面。其中包括在大学课程中增加明确并行性的必要性,以及可能取消全局解释器锁(GIL)的问题,GIL 是一种防止多个线程同时执行 Python 字节码的机制。
- 与会者意见不一,一些人提倡不带副作用的功能代码,另一些人则提出了沙盒虚拟机(VM)和将任务卸载到库等替代方法。
- 人们对 Python 的单线程性能以及从 Python 2 到 Python 3 的过渡表示担忧,但也认识到了移除 GIL 和增强并行性的潜在影响和好处。
- jabber.ru和xmpp.ru的所有者报告了一起可能来自德国的中间人攻击,涉及自动拦截流量和签发未经授权的证书。
- 报告强调了传输层安全 (TLS) 基础设施的缺陷,并提出了增强安全措施,如使用自动证书管理环境 (ACME) - 证书颁发机构授权 (CAA) 和域名系统安全扩展 (DNSSEC)。
- 文章建议不要依赖第三方解决方案,提倡端到端加密,并质疑 "保密计算 "技术在提供可靠安全方面的功效。
- 最近发现了一个安全漏洞,涉及截获 Hetzner/Linode 网络上的 XMPP 流量,特别是针对 XMPP STARTTLS 端口。
- 这次攻击虽然得到了缓解,但暴露了数据中心的漏洞,凸显了数据中心的安全风险和潜在的供应链漏洞。
- 讨论的主要内容是用户对使用 Cloudflare 的担忧,以及对其优缺点的探讨。XMPP 是一种通信协议,即 "可扩展消息和在场协议"(Extensible Messaging and Presence Protocol)的缩写,而 STARTTLS 则是一种将未加密连接升级为加密(TLS 或 SSL)连接的方法。
- 本文讨论了终端模拟器中存在的漏洞和潜在的利用链,重点是转义序列。
- 它识别了流行的终端模拟器中存在的风险,并强调了针对这些漏洞实施适当处理和缓解措施的重要性。
- 研究还指出要开发一种终端测试工具,并对该领域以往研究人员的贡献表示感谢。
- 文章强调了在基于文本的工具中清除控制字符对降低安全风险的重要意义,并着重指出了一些终端系统中存在的问题。
- 它提请人们注意与终端仿真相关的困难和挑战,特别是由于缺乏标准化,因此提出需要一种新的文本终端协议。
- 内容还包括与终端模拟器和控制序列相关的问题,涉及转义键的历史背景、PostScript 在 Lisp 程序中的使用以及相关项目。
- F-Droid 是安卓系统的免费开源软件 (FOSS) 应用程序库,提供一个客户端,方便用户在设备上浏览、安装和更新。
- 最近的更新引入了新的应用程序和改进的功能,提高了 F-Droid 的可用性和功能性。
- F-Droid 是一个非营利性组织,依靠公众捐款来维持其服务,并继续为 Android 社区提供产品。
- 这篇文章探讨了 F-Droid,一个免费和开源的 Android 应用程序商店。用户推荐了其他客户端,包括 Aurora Droid 和 Neo Store,以增强功能和应用程序的安装。
- 文章讨论了 F-Droid 缺乏使用统计数据、实施过程中可能存在的障碍以及新软件添加缓慢等问题。用户建议增加额外的软件源以提高访问速度,并提到了 F-Droid Basic(F-Droid 的一个版本)。
- 用户强调了 F-Droid 的优点和缺点,指出有些人喜欢它,有些人则批评该平台包含了一些多年未更新的应用程序。
- 该指南详细介绍了如何创建和使用六边形网格,包括各种坐标系、算法和公式,并附有编程代码示例。
- 它讨论了六边形网格的距离计算、画线和移动范围的确定,以及障碍物处理、地图存储、环绕地图和寻路的算法。
- 作者推荐了一些相关资源,如 Unity 中的 GameLogic Grids 库、Hex-Grid Utilities 库、示例代码、PDF 文章和供网站使用的程序生成代码。
- 文章介绍了 Red Blob Games,这是一个提供处理六边形网格的资源和指南的网页。
- 它阐述了尖顶六边形和平顶六边形的区别,有助于理解它们在编码中的用法。
- 讨论内容包括坐标系以及在游戏设计中使用六边形网格的利弊。
- 美国的非营利性医院因偏重高管薪酬而忽视为低收入患者提供慈善医疗服务而面临审查。
- 根据参议院健康、教育、劳工和养老金委员会的一份报告,许多非营利性医院用于慈善医疗的费用不到其收入的 2%,而医院首席执行官的薪水却高达数百万美元。
- 报告指责医院哄抬物价,违反非营利性规定。然而,美国医院协会抗议说,报告忽略了医院提供的社区福利。
- 报告显示,非营利性医院尽管首席执行官的薪水很高,但其相对较低的慈善护理水平却受到了严格的审查,从而引发了对公共资助机构公平性的质疑。
- 这场辩论涉及医院在服务医疗补助和医疗保险病人方面面临的挑战、政府支付对医疗成本的影响以及对高管薪酬的看法,表明有必要解决这一问题。
- 报告还讨论了非营利组织的性质和财务运作的透明度、串通指控、修改竞选财务法的必要性以及将医院资金用于慈善医疗的意义。
- 作者仅使用 TypeScript 类型注解开发了一款 2D Flappy Bird 游戏,展示了在 TypeScript 编译器之外利用这些注解的潜力。
- 游戏状态根据函数式编程原则进行更新,并通过一个装满绘图命令的命令缓冲区进行渲染,展示了项目的技术水平。
- 该运行时由 Rust 和 Zig 创建,采用字节码和网络画布 API 执行游戏,未来计划将该类型级 TypeScript 运行时用作高性能类型检查器,并开发一种用于创建模式的合格的特定领域语言(DSL)。
- 文章通过 TypeScript 在实现游戏 Flappy Bird 中的应用,探讨了 TypeScript 类型系统的实用性,并参考了 Ocaml 在数独解题中的应用,以资比较。
- 它讨论了 TypeScript 类型系统的优势和复杂性、生成复杂界面的能力以及高级类型系统的优势。
- 这篇文章指出了 TypeScript 类型系统的灵活性和限制,并谈到了图灵完备性的含义,图灵完备性是一个术语,描述了在有足够时间和资源的情况下,能够解决任何计算问题的系统。