风闻奏事,遍查访知。提供互联网科技新闻快讯。发布VPS、网盘等有价值虚拟资产的新闻和交易信息。⚡️
本频道引用的所有文章皆旨在拓宽信息视野,不代表本频道观点。本频道谢绝任何政治频道转发消息,请勿让我们的评论区变成一个火药桶。请以包容友好的方式交流。
🔍 博客版:https://kejikuaixun.blogspot.com/
🏆 合作咨询:https://t.me/HelloGeorge_Bot
本频道引用的所有文章皆旨在拓宽信息视野,不代表本频道观点。本频道谢绝任何政治频道转发消息,请勿让我们的评论区变成一个火药桶。请以包容友好的方式交流。
🔍 博客版:https://kejikuaixun.blogspot.com/
🏆 合作咨询:https://t.me/HelloGeorge_Bot
Cloudflare 开始部署 ECH 技术(加密 SNI)
Loc 上的网友说,如果搭配加密 DNS 那么防火长城将无法阻断连接...
除非把 cloudflare 的IP都墙了。
https://hostloc.com/thread-904169-1-1.html
Loc 上的网友说,如果搭配加密 DNS 那么防火长城将无法阻断连接...
除非把 cloudflare 的IP都墙了。
https://hostloc.com/thread-904169-1-1.html
一位专业人士声称Android11之后,应用程序无需权限即可向标准文件夹添加文件
Magisk 的代码贡献者南宫雪珊说:
从Android11开始,应用能「不需要」存储权限,向Download、Documents等标准文件夹内新增文件或文件夹,传统的File API就行。并且,可以读取存储空间全部文件夹名字。仅名字,即目录结构,文件看不到。(但自己添加的文件在卸载前能一直看见并修改)
再次重复:以上这些读写行为,都不需要授予存储权限,只需要Android 11+。
目前正在利用这一行为(注意这不是漏洞,是Android11的行为变化)的app有哔哩哔哩,它在 Documents 文件夹内存放了用户ID文件,可能用于持久跟踪。
鉴于卸载重装后,之前新增的文件不再对它可见,所以哔哩哔哩还采用了文件夹名字来存放用户ID。
—— @vvb2060Channel
相关参考:
https://developer.android.com/preview/privacy/storage#media-direct-file-native
Magisk 的代码贡献者南宫雪珊说:
从Android11开始,应用能「不需要」存储权限,向Download、Documents等标准文件夹内新增文件或文件夹,传统的File API就行。并且,可以读取存储空间全部文件夹名字。仅名字,即目录结构,文件看不到。(但自己添加的文件在卸载前能一直看见并修改)
再次重复:以上这些读写行为,都不需要授予存储权限,只需要Android 11+。
目前正在利用这一行为(注意这不是漏洞,是Android11的行为变化)的app有哔哩哔哩,它在 Documents 文件夹内存放了用户ID文件,可能用于持久跟踪。
鉴于卸载重装后,之前新增的文件不再对它可见,所以哔哩哔哩还采用了文件夹名字来存放用户ID。
—— @vvb2060Channel
相关参考:
https://developer.android.com/preview/privacy/storage#media-direct-file-native
从前我以为微信是因为被iOS15日志抓现行后不得不在新版本去掉扫描相册功能的。今天发现我错了,原来它丫根本就没改!
爆料人说微信没有在新版本改这个功能,对方很“慎重”呐,还得等等。
https://weibo.com/2480678791/KCHKAtn1n?from=page_1005052480678791_profile&wvr=6&mod=weibotime
爆料人说微信没有在新版本改这个功能,对方很“慎重”呐,还得等等。
https://weibo.com/2480678791/KCHKAtn1n?from=page_1005052480678791_profile&wvr=6&mod=weibotime
工信部:适老版App不得再设有广告插件
据“工信微报”微信公众号消息,工信部高度重视不良广告插件及诱导类按键、违法违规网站、网络安全知识宣传等工作,采取一系列措施强化监管力度,提高监管效能。
工信部在专项行动中明确要求,互联网网站和手机App完成改造后的适老版、关怀版、无障碍版本,不得再设有广告插件,付款类操作不得设任何诱导式按键,以便各类特殊群体方便、安全地使用。
据“工信微报”微信公众号消息,工信部高度重视不良广告插件及诱导类按键、违法违规网站、网络安全知识宣传等工作,采取一系列措施强化监管力度,提高监管效能。
工信部在专项行动中明确要求,互联网网站和手机App完成改造后的适老版、关怀版、无障碍版本,不得再设有广告插件,付款类操作不得设任何诱导式按键,以便各类特殊群体方便、安全地使用。
Netflix 阿根廷再次涨价(不含税),已完全失去性价比。
最高规格套餐从ARS669涨至ARS939(税前价格)
税后价格ARS1539约合人民币100.2一个月。
—— GodlyNews1 channel
最高规格套餐从ARS669涨至ARS939(税前价格)
税后价格ARS1539约合人民币100.2一个月。
—— GodlyNews1 channel
OVH 因“人为错误”造成服务中断
许多网站在10月13日无法访问:法国托管公司OVH已经证实它负有责任,并谈到了 "人为错误"。
蓬皮杜中心网站、斯特拉斯堡机场等网站受到波及。 Numerama的编辑团队已经证实,它们在2021年10月13日上午9:30(北京时间 15:30)左右都完全无法访问。
原因是:法国托管公司OVH,该公司确认在其层面存在问题。根据其联合创始人的说法,这将是一个 "人为错误"。
在DownDetector网站上,互联网用户可以报告他们访问的网站的故障,在不到30分钟的时间里已经有14000份报告,显示出现了严重故障。
——Numerama
许多网站在10月13日无法访问:法国托管公司OVH已经证实它负有责任,并谈到了 "人为错误"。
蓬皮杜中心网站、斯特拉斯堡机场等网站受到波及。 Numerama的编辑团队已经证实,它们在2021年10月13日上午9:30(北京时间 15:30)左右都完全无法访问。
原因是:法国托管公司OVH,该公司确认在其层面存在问题。根据其联合创始人的说法,这将是一个 "人为错误"。
在DownDetector网站上,互联网用户可以报告他们访问的网站的故障,在不到30分钟的时间里已经有14000份报告,显示出现了严重故障。
——Numerama
币安交易所发布中国用户清查通知
亲爱的用户:
为响应当地政府监管政策要求,币安C2C将于2021年12月31日24:00(东八区时间)下架CNY交易区。同时,币安将对平台用户进行清查。若平台发现中国大陆地区用户,则其对应账户将切换至“只允许提现”模式,用户将只能进行提现、撤单、赎回、平仓操作。币安将在帐户切换前7天,以邮件形式通知相应用户。
币安于2017年退出中国大陆市场,不在中国大陆从事交易所业务。币安历来重视合规义务,始终严格遵守当地监管机构相关要求。
风险提示:数字货币交易存在巨大风险,请您谨慎购买,并注意交易风险。请注意,币安不对您的任何交易行为承担担保、赔偿等责任。
感谢您对币安的支持!
币安团队
2021年10月13日
亲爱的用户:
为响应当地政府监管政策要求,币安C2C将于2021年12月31日24:00(东八区时间)下架CNY交易区。同时,币安将对平台用户进行清查。若平台发现中国大陆地区用户,则其对应账户将切换至“只允许提现”模式,用户将只能进行提现、撤单、赎回、平仓操作。币安将在帐户切换前7天,以邮件形式通知相应用户。
币安于2017年退出中国大陆市场,不在中国大陆从事交易所业务。币安历来重视合规义务,始终严格遵守当地监管机构相关要求。
风险提示:数字货币交易存在巨大风险,请您谨慎购买,并注意交易风险。请注意,币安不对您的任何交易行为承担担保、赔偿等责任。
感谢您对币安的支持!
币安团队
2021年10月13日
脱离华为后,谷歌与荣耀恢复合作了
自2019年5月受到美国打压制裁后,在全球市场销售的华为与荣耀手机便失去了谷歌GMS授权,这对于前者在全球的市占率产生了极大的影响。
今年初,华为与荣耀正式官宣分家,荣耀便一直在致力于重构曾经破损的全球供应链。在与微软官宣合作仅一个月后,10月11日,荣耀官方在推特上宣布,公司已经成功与多家供应商确认了后续的合作,荣耀50系列将配备谷歌GMS服务,为客户提供更全面的应用环境和移动体验。
—— careerengine
自2019年5月受到美国打压制裁后,在全球市场销售的华为与荣耀手机便失去了谷歌GMS授权,这对于前者在全球的市占率产生了极大的影响。
今年初,华为与荣耀正式官宣分家,荣耀便一直在致力于重构曾经破损的全球供应链。在与微软官宣合作仅一个月后,10月11日,荣耀官方在推特上宣布,公司已经成功与多家供应商确认了后续的合作,荣耀50系列将配备谷歌GMS服务,为客户提供更全面的应用环境和移动体验。
—— careerengine
研究表明 Android 手机不断窥探用户隐私
英国大学研究人员进行的一项新研究揭示了使用 Android 智能手机引起的一系列隐私问题。
研究人员专注于三星、小米、Realme 和华为 Android 设备,以及 LineageOS 和 /e/OS,这两个 Android 分支旨在提供长期支持和去谷歌体验。
这项研究的结果令绝大多数 Android 用户感到担忧。
除了 /e/OS ,其他OS即使在最低配置且手机处于空闲状态时,这些供应商定制的 Android 变体也会向操作系统开发人员以及第三方(谷歌、微软、LinkedIn、Facebook 等)传输大量信息。
需要注意的是,这涉及无法选择退出的数据收集,因此 Android 用户对此类遥测无能为力。
当智能手机供应商包含第三方应用程序时,即使设备所有者不使用这些应用程序也会默默收集数据,并且无法卸载,这一点尤其令人担忧。
对于miui.analytics(小米)、Heytap(Realme)、Hicloud(华为)等一些内置系统应用,研究人员发现加密数据有时可以被解码,使数据面临人为风险 —- 中间人(MitM)攻击。
正如研究指出的那样,即使用户在 Android 上重置其 Google 帐户的广告标识符,数据收集系统也可以轻松地将新 ID 重新链接回同一设备并将其附加到原始跟踪历史记录中。
使用各种方法对用户进行去匿名化,例如查看 SIM、IMEI、位置数据历史记录、IP 地址、网络 SSID 或这些方法的组合。
https://www.scss.tcd.ie/Doug.Leith/Android_privacy_report.pdf
—— privacyshow,都柏林圣三一学院
英国大学研究人员进行的一项新研究揭示了使用 Android 智能手机引起的一系列隐私问题。
研究人员专注于三星、小米、Realme 和华为 Android 设备,以及 LineageOS 和 /e/OS,这两个 Android 分支旨在提供长期支持和去谷歌体验。
这项研究的结果令绝大多数 Android 用户感到担忧。
除了 /e/OS ,其他OS即使在最低配置且手机处于空闲状态时,这些供应商定制的 Android 变体也会向操作系统开发人员以及第三方(谷歌、微软、LinkedIn、Facebook 等)传输大量信息。
需要注意的是,这涉及无法选择退出的数据收集,因此 Android 用户对此类遥测无能为力。
当智能手机供应商包含第三方应用程序时,即使设备所有者不使用这些应用程序也会默默收集数据,并且无法卸载,这一点尤其令人担忧。
对于miui.analytics(小米)、Heytap(Realme)、Hicloud(华为)等一些内置系统应用,研究人员发现加密数据有时可以被解码,使数据面临人为风险 —- 中间人(MitM)攻击。
正如研究指出的那样,即使用户在 Android 上重置其 Google 帐户的广告标识符,数据收集系统也可以轻松地将新 ID 重新链接回同一设备并将其附加到原始跟踪历史记录中。
使用各种方法对用户进行去匿名化,例如查看 SIM、IMEI、位置数据历史记录、IP 地址、网络 SSID 或这些方法的组合。
https://www.scss.tcd.ie/Doug.Leith/Android_privacy_report.pdf
—— privacyshow,都柏林圣三一学院
MJJ 平时买个40块钱鸡子都要磨蹭半天,他居然真的考虑结婚负债40万?
当一个人说网贷20万的时候,TA实际上欠了多少恐怕连TA自己都不敢想了。
虽然帖子中说妹子是为了开超市所以借钱的,但是实话实话,知道自己大概率还不起还敢刷20万信用卡的真不是一般人。
是你,你敢不敢接盘?
https://hostloc.com/thread-903321-1-1.html
微软称成功抵御“史上最大DDoS”攻击 高达2.4Tbps
10 月 12 日消息,微软表示,它曾在 8 月份抵御了 2.4Tbps 的分布式拒绝服务(DDoS)攻击。这次攻击的目标是欧洲的一个 Azure 客户,比微软在 2020 年的最高攻击带宽量高出 140%,还超过了去年针对亚马逊 Web 服务的 2.3Tbps 最大攻击。
微软表示,这次攻击持续了 10 多分钟,短暂的流量爆发达到了 2.4Tbps、0.55Tbps,最后一次为 1.7Tbps。
…
微软 Azure 网络团队的高级项目经理阿米尔・达汉(Amir Dahan)解释称:“攻击流量来自约 70000 个来源,来自亚太地区的多个国家以及美国。”
亚马逊网络服务(AWS)此前保持了抵御最大规模的 DDoS 攻击纪录,现在微软成为了新的纪录保持者。
—— ITHome
10 月 12 日消息,微软表示,它曾在 8 月份抵御了 2.4Tbps 的分布式拒绝服务(DDoS)攻击。这次攻击的目标是欧洲的一个 Azure 客户,比微软在 2020 年的最高攻击带宽量高出 140%,还超过了去年针对亚马逊 Web 服务的 2.3Tbps 最大攻击。
微软表示,这次攻击持续了 10 多分钟,短暂的流量爆发达到了 2.4Tbps、0.55Tbps,最后一次为 1.7Tbps。
…
微软 Azure 网络团队的高级项目经理阿米尔・达汉(Amir Dahan)解释称:“攻击流量来自约 70000 个来源,来自亚太地区的多个国家以及美国。”
亚马逊网络服务(AWS)此前保持了抵御最大规模的 DDoS 攻击纪录,现在微软成为了新的纪录保持者。
—— ITHome
苹果放弃 Safari 书签端对端加密功能
上月,Apple 为 Safari Bookmark 加入端对端加密功能,从而为用户提升保护。当时在 Apple 技术文件中显示 Safari Bookmarks 使用 End-to-End 加密方式。
不过,昨天该文件已作了一些更变,Safari Bookmark 的加密改为 In transit & on server,以味着苹果悄悄放弃 Safari Bookmark 端对端加密功能。
苹果公司未对此做说明。
—— NewMobilelife
上月,Apple 为 Safari Bookmark 加入端对端加密功能,从而为用户提升保护。当时在 Apple 技术文件中显示 Safari Bookmarks 使用 End-to-End 加密方式。
不过,昨天该文件已作了一些更变,Safari Bookmark 的加密改为 In transit & on server,以味着苹果悄悄放弃 Safari Bookmark 端对端加密功能。
苹果公司未对此做说明。
—— NewMobilelife
特斯拉刹车案:法院判特斯拉车主赔礼道歉
特斯拉汽车因起诉多位车主而备受关注。10月11日,特斯拉汽车诉温州特斯拉车主陈先生的案子一审判决结果公开,鹿城区法院判决被告陈先生向特斯拉道歉并支付5万元赔偿款,成为近期特斯拉首个名誉权胜诉的案例。车主陈先生称将上诉。
去年 8 月 12 日温州车主驾驶特斯拉 Model 3 汽车,在驶入停车场后与多辆汽车发生了碰撞事故。事故发生后,车主在抖音、微博等社交平台上表示因车辆当时突然加速、自己踩下刹车没有反应,导致事故发生。而后温州市汽车工程学会鉴定,Model 3 在碰撞前 5 秒内,行车制动踏板、稳定控制系统、ABS 系统均未工作;碰撞中车主曾多次将加速踏板踩到了底,而制动踏板均未踩下。对此,特斯拉以侵害名誉权为由将车主告上法院。
一审判决结果为,被告于本判决生效之日起十日内在抖音平台其使用的账户上向原告赔礼道歉,持续不少于90日;被告在判决生效之日起十日内支付原告特斯拉(上海)有限公司赔偿款5万元。
—— TestFlightCN
特斯拉汽车因起诉多位车主而备受关注。10月11日,特斯拉汽车诉温州特斯拉车主陈先生的案子一审判决结果公开,鹿城区法院判决被告陈先生向特斯拉道歉并支付5万元赔偿款,成为近期特斯拉首个名誉权胜诉的案例。车主陈先生称将上诉。
去年 8 月 12 日温州车主驾驶特斯拉 Model 3 汽车,在驶入停车场后与多辆汽车发生了碰撞事故。事故发生后,车主在抖音、微博等社交平台上表示因车辆当时突然加速、自己踩下刹车没有反应,导致事故发生。而后温州市汽车工程学会鉴定,Model 3 在碰撞前 5 秒内,行车制动踏板、稳定控制系统、ABS 系统均未工作;碰撞中车主曾多次将加速踏板踩到了底,而制动踏板均未踩下。对此,特斯拉以侵害名誉权为由将车主告上法院。
一审判决结果为,被告于本判决生效之日起十日内在抖音平台其使用的账户上向原告赔礼道歉,持续不少于90日;被告在判决生效之日起十日内支付原告特斯拉(上海)有限公司赔偿款5万元。
—— TestFlightCN
在我们关注手机应用程序窃取用户隐私的同时,另一个问题值得深思。
建立在操作系统之上的APP都可以私下查看相册、使用位置,那么操作系统本身自然更不在话下。
对于一个闭源且生态封闭的操作系统,其安全性难以审计。人们只能选择相信系统的发行方,约束他们的仅仅是法律。当某种行为获得政府授意时便只能依靠企业的胆识和良知了。
智能手机随时可以成为监视自己的工具,这是一个许多人不愿提及的现实。
如果一个手机不能拍照、没有定位能力甚至不能联网,你还会使用它吗?
而这正是前美国总统奥巴马曾用过的手机。
要有安全就只能放弃便利,对于普通人来说,唯有妥协。
建立在操作系统之上的APP都可以私下查看相册、使用位置,那么操作系统本身自然更不在话下。
对于一个闭源且生态封闭的操作系统,其安全性难以审计。人们只能选择相信系统的发行方,约束他们的仅仅是法律。当某种行为获得政府授意时便只能依靠企业的胆识和良知了。
智能手机随时可以成为监视自己的工具,这是一个许多人不愿提及的现实。
如果一个手机不能拍照、没有定位能力甚至不能联网,你还会使用它吗?
而这正是前美国总统奥巴马曾用过的手机。
要有安全就只能放弃便利,对于普通人来说,唯有妥协。
