#PSA :Mastodon 实例管理员请更新至 4.2.10;新漏洞或会使私有贴文泄露。
https://github.com/mastodon/mastodon/releases/tag/v4.2.10
CVE: CVE-2024-37903
CVSS: 8.2 (GitHub)
#Mastodon
https://github.com/mastodon/mastodon/releases/tag/v4.2.10
CVE: CVE-2024-37903
CVSS: 8.2 (GitHub)
#Mastodon
GitHub
Release v4.2.10 · mastodon/mastodon
WarningThis release is an important security release fixing a major security issue.
A corresponding security release is available for the 4.1.x branch.
NoteIf you are using nightly builds, do not ...
A corresponding security release is available for the 4.1.x branch.
NoteIf you are using nightly builds, do not ...
Twilio 在骇客放出数据后确认 Authy 用户手机号码遭到泄露。受影响用户数约 3300 万。
Authy 是 Twilio 的 2FA 软件,需要手机号码注册。Twilio 的部分服务只支持此 App 作为 2FA 方式。
securityweek.com/~
#Twilio #Privacy
Authy 是 Twilio 的 2FA 软件,需要手机号码注册。Twilio 的部分服务只支持此 App 作为 2FA 方式。
securityweek.com/~
#Twilio #Privacy
SecurityWeek
Twilio Confirms Data Breach After Hackers Leak 33M Authy User Phone Numbers
Twilio has confirmed a data breach after hackers leaked 33 million phone numbers associated with the Authy app.
绿联私有云 NAS 向用户分发公用泛域名证书私钥。
目前此证书已被吊销 [2]。
1. https://www.bilibili.com/video/av1706021446/
2. https://crt.sh/?id=13146419955&opt=ocsp
#Ugreen #TLS
目前此证书已被吊销 [2]。
1. https://www.bilibili.com/video/av1706021446/
2. https://crt.sh/?id=13146419955&opt=ocsp
#Ugreen #TLS
Bilibili
【官方已处理】绿联私有云官方泛域名证书可以被直接被下载,可能存在安全隐患_哔哩哔哩_bilibili
--2024/7/11--编辑原标题“绿联私有云NAS可能存在中间人攻击,官方域名的泛域名证书可以被直接下载”我认为不妥(具体参照置顶评论),故修改为现标题“绿联私有云官方域名证书可以被直接被下载,可能存在安全隐患”--2024/7/6---编辑经过官方回复,此域名属于UGOS PRO体验域名使用。并未在生产环境(用户正式机器使用),目前官方已吊销此证书并作出回应,相关评论已置顶但还是希望绿联NA, 视频播放量 29350、弹幕量 1、点赞数 468、投硬币枚数 118、收藏人数 144、转发人数 208…
Figma 开放 AI 特性;Starter 及 Professional 计划用户默认允许自己作品用于训练。
Figma 还提到:
- 关于启用 AI 特性的功能,所有用户默认是打开状态。
- 关于 8/15 后允许自己作品用于 AI 训练的选项,Starter/Professional 计划用户默认开启,Organization/Enterprise 计划用户默认关闭。
help.figma.com/~
#Figma #AI
Figma 还提到:
- 关于启用 AI 特性的功能,所有用户默认是打开状态。
- 关于 8/15 后允许自己作品用于 AI 训练的选项,Starter/Professional 计划用户默认开启,Organization/Enterprise 计划用户默认关闭。
help.figma.com/~
#Figma #AI
Figma Learn - Help Center
Control AI features and content training settings
Who has these settings
These AI features and admin settings are available on all plans
AI features are all currently in beta, and will be rolled out to users gradually. To make improvements ...
These AI features and admin settings are available on all plans
AI features are all currently in beta, and will be rolled out to users gradually. To make improvements ...
有 Twitter 用户发现 Chrome 内置隐藏插件 [1] 允许 Google 站点访问用户设备资源占用数据。
- 网站可以获取的数据包括用户设备 CPU、GPU、内存用量及处理器细节等。
- 此特性在第三方 Chromium 内核浏览器的 Edge 和 Brave 亦存在。
- 此插件名称显示其或与 Google Hangouts 有关,后者在 2022 年停止服务。也有 Hacker News 评论称 Google Meet 也用此特性显示调试数据。
twitter.com/lcasdev/~
seealso: HackerNews:40918052
1. source.chromium.org/~
#Chrome #Privacy
- 网站可以获取的数据包括用户设备 CPU、GPU、内存用量及处理器细节等。
- 此特性在第三方 Chromium 内核浏览器的 Edge 和 Brave 亦存在。
- 此插件名称显示其或与 Google Hangouts 有关,后者在 2022 年停止服务。也有 Hacker News 评论称 Google Meet 也用此特性显示调试数据。
twitter.com/lcasdev/~
seealso: HackerNews:40918052
1. source.chromium.org/~
#Chrome #Privacy
AT&T 称几乎所有用户的电话和短信记录元数据(不含内容)遭到泄露。
TechCrunch 还提到:
- 被泄露的包括用户 2022/5/1-2022/10/31 的数据,部分用户的数据新至 2023/1/2。
- 部分使用 AT&T 网络的其它运营商用户也受影响。
- 部分泄露数据还能够透过信号塔信息关联到用户的地理位置。
- AT&T 称数据泄露自其使用的 Snowflake 数据云平台,后者则将其归咎于客户未妥善使用 2FA 保全账户。
- 多家公司,包括票务服务 Ticketmaster 及贷款信息服务 LendingTree 等近期均称自己在 Snowflake 的数据遭到泄露。
techcrunch.com/~
seealso: HackerNews:40944505
#ATNT #Privacy
TechCrunch 还提到:
- 被泄露的包括用户 2022/5/1-2022/10/31 的数据,部分用户的数据新至 2023/1/2。
- 部分使用 AT&T 网络的其它运营商用户也受影响。
- 部分泄露数据还能够透过信号塔信息关联到用户的地理位置。
- AT&T 称数据泄露自其使用的 Snowflake 数据云平台,后者则将其归咎于客户未妥善使用 2FA 保全账户。
- 多家公司,包括票务服务 Ticketmaster 及贷款信息服务 LendingTree 等近期均称自己在 Snowflake 的数据遭到泄露。
techcrunch.com/~
seealso: HackerNews:40944505
#ATNT #Privacy
TechCrunch
AT&T says criminals stole phone records of ‘nearly all’ customers in new data breach
The stolen data includes 110 million AT&T customer phone numbers, calling and text records, and some location-related data.
赞助/内容销售平台「爱发电」站点被停止解析;域名被锁定。
whois 信息显示,域名处于 clientHold 及 clientTransferProhibited 状态,或是被注册商锁定。
另参:The Cascading 关于重新考虑使用受中国企业管辖的域名的建议 [1]。
1. /3893
#DNS #China #Xinnet #Afdian
whois 信息显示,域名处于 clientHold 及 clientTransferProhibited 状态,或是被注册商锁定。
另参:The Cascading 关于重新考虑使用受中国企业管辖的域名的建议 [1]。
1. /3893
#DNS #China #Xinnet #Afdian
Telegram
层叠 - The Cascading
内容销售平台「面包多」的主域名 mianbaoduo.com 在 10/22 被腾讯云/新网暂停解析。服务商告知称,政府部门要求面包多删除平台上的一个有害内容。在处理内容及提交相应报告后数天,面包多被告知其域名无法解封。
此平台已经切换到 mbd.pub 域名。
2019 年和 2021 年,The Cascading 曾经提及至少 LeanCloud [1]、 Gitee [2],及画图本 [3] 三个由于类似原因域名被阿里云/万网和腾讯云/新网停止解析的案例。本台再次建议订户不要注册管理局或注册商在中国的域名…
此平台已经切换到 mbd.pub 域名。
2019 年和 2021 年,The Cascading 曾经提及至少 LeanCloud [1]、 Gitee [2],及画图本 [3] 三个由于类似原因域名被阿里云/万网和腾讯云/新网停止解析的案例。本台再次建议订户不要注册管理局或注册商在中国的域名…
Firefox 128 起提供「『保护隐私的』广告效果衡量」功能;因默认启用而引发争议。
mastodon.social/~
seealso: HackerNews:40954535
#Firefox #Privacy
mastodon.social/~
seealso: HackerNews:40954535
#Firefox #Privacy
Mastodon
mcc (@[email protected])
Attached: 1 image
So this, from Firefox, is fucking toxic: https://mstdn.social/@Lokjo/112772496939724214
You might be aware Chrome— a browser made by an ad company— has been trying to claw back the limitations recently placed on ad networks by the death…
So this, from Firefox, is fucking toxic: https://mstdn.social/@Lokjo/112772496939724214
You might be aware Chrome— a browser made by an ad company— has been trying to claw back the limitations recently placed on ad networks by the death…
层叠 - The Cascading
Firefox 128 起提供「『保护隐私的』广告效果衡量」功能;因默认启用而引发争议。 mastodon.social/~ seealso: HackerNews:40954535 #Firefox #Privacy
Firefox CTO 在 Reddit 回应对「广告效果衡量」功能的质疑。
文章提到:
- 广告业是大型行业,不会单纯因为用户的抵制而消失
- 用户尝试绕过广告势必会加剧广告业与用户的对立;帮助双方共同寻找保护隐私的替代方案会更有意义
- Mozilla 与 Meta 这样的大型广告主合作,亦有和 W3C 及 ISRG 合作,以确保研究成果有效用
- 「广告效果衡量」功能是一个临时原型,只在 Firefox 访问特定站点时启用;它旨在收集数据,不进行追踪行为
- Firefox 认为就此功能向用户弹窗索要授权并不用户友好,因而选择自行配置「更好的默认值」 (better defaults)
old.reddit.com/~
thread: /4565
[感谢订户提供此消息。]
#Firefox #Privacy
文章提到:
- 广告业是大型行业,不会单纯因为用户的抵制而消失
- 用户尝试绕过广告势必会加剧广告业与用户的对立;帮助双方共同寻找保护隐私的替代方案会更有意义
- Mozilla 与 Meta 这样的大型广告主合作,亦有和 W3C 及 ISRG 合作,以确保研究成果有效用
- 「广告效果衡量」功能是一个临时原型,只在 Firefox 访问特定站点时启用;它旨在收集数据,不进行追踪行为
- Firefox 认为就此功能向用户弹窗索要授权并不用户友好,因而选择自行配置「更好的默认值」 (better defaults)
old.reddit.com/~
thread: /4565
[感谢订户提供此消息。]
#Firefox #Privacy
Reddit
From the firefox community on Reddit: A Word About Private Attribution in Firefox
Explore this post and more from the firefox community
[旧闻] CrowdStrike 安全软件导致全世界大量机场、医院等组织的 Windows 设备蓝屏无法启动。
受影响用户可以手动进入安全模式删除
- forbes.com/~
- crowdstrike.com/~
EDIT 7/21: 修正笔误。感谢订户指出。
#CrowdStrike #Windows #BSOD
受影响用户可以手动进入安全模式删除
%WINDIR%\System32\drivers\CrowdStrike
下形似 C-00000291*.sys
的文件以解决故障。- forbes.com/~
- crowdstrike.com/~
EDIT 7/21: 修正笔误。感谢订户指出。
#CrowdStrike #Windows #BSOD
Forbes
CrowdStrike Windows Outage—What Happened And What To Do Next
A CrowdStrike update is breaking computers running Windows. Here's what happened and what to do to fix the issue.
第八届挺好萌将于 2024/7/28 开始提名。
> 我台呼吁公众给明年的《Ave Mujica》留一点机会,让祥子度过一个安详的晚年。
> 我台呼吁公众关注初代挺王 YOSORO 及 Aqours 生态。
> 我台在《BanG Dream! It's MyGO!!!!!》和《吹响吧!上低音号》间选择立场中立。
tieba.baidu.com/~
⌒⌣⌒ #today
> 我台在《BanG Dream! It's MyGO!!!!!》和《吹响吧!上低音号》间选择立场中立。
tieba.baidu.com/~
⌒⌣⌒ #today
2024/9/16 起,Outlook 用户将需使用 OAuth 从第三方邮件客户端登录,或使用 Outlook 软件。
support.microsoft.com/~
#Microsoft #OAuth #IMAP
support.microsoft.com/~
#Microsoft #OAuth #IMAP
YuzuSoft 宣布入驻 Bilibili。
https://t.bilibili.com/956459465638412297
linksrc: https://www.tgoop.com/CE_Observe/34710
#YuzuSoft
https://t.bilibili.com/956459465638412297
linksrc: https://www.tgoop.com/CE_Observe/34710
#YuzuSoft
Telegram
每日消费电子观察
慢报:知名 galgame 厂家柚子社今日宣布进驻 b 站
柚子社official的动态
@柚子社official:
大家好~初次在这里与大家见面,我们是柚子社。
此次我们在bilibili视频平台开设了官方账号。
我们将会发布最新信息以及各种资讯,请多多关注。
感谢大家的支持。
皆様こちらでははじめまして、ゆずソフトです。この度bilibili動画に公式アカウントを開設いたしました。最新情報をはじめ様々な情報を発信していきますので、よろしくお願いします。
============
0721 玩谐音梗是吧
柚子社official的动态
@柚子社official:
大家好~初次在这里与大家见面,我们是柚子社。
此次我们在bilibili视频平台开设了官方账号。
我们将会发布最新信息以及各种资讯,请多多关注。
感谢大家的支持。
皆様こちらでははじめまして、ゆずソフトです。この度bilibili動画に公式アカウントを開設いたしました。最新情報をはじめ様々な情報を発信していきますので、よろしくお願いします。
============
0721 玩谐音梗是吧
goo.gl 将于 2025/8/25 停止服务;所有短链接将失效。
2018 年初, goo.gl 宣布停止接受新链接,但当前链接不会失效。现在这些链接也将不再可用。
developers.googleblog.com/~
#Googl #Google
2018 年初, goo.gl 宣布停止接受新链接,但当前链接不会失效。现在这些链接也将不再可用。
developers.googleblog.com/~
#Googl #Google
Googleblog
Google for Developers Blog - News about Web, Mobile, AI and Cloud
Understand how you will be impacted by our decision to turn off the serving portion of Google URL Shortener.
Let's Encrypt 宣布计划废弃 OCSP 服务。
文章还提到:
- Let's Encrypt 决定废弃 OCSP 服务主要出于隐私及维护成本因素。
- CA/B 在 2023 年八月投票通过将 OCSP 降级为非必需 CA 特性;除了微软之外的 CA 根证书计划也已停止要求 CA 实现 OCSP。Let's Encrypt 认为微软也会在近期停止对 OCSP 功能的要求。
letsencrypt.org/~
seealso: HackerNews:41046956
EDIT 7/24: 修正链接。
#OCSP #PKI #LetsEncrypt
文章还提到:
- Let's Encrypt 决定废弃 OCSP 服务主要出于隐私及维护成本因素。
- CA/B 在 2023 年八月投票通过将 OCSP 降级为非必需 CA 特性;除了微软之外的 CA 根证书计划也已停止要求 CA 实现 OCSP。Let's Encrypt 认为微软也会在近期停止对 OCSP 功能的要求。
letsencrypt.org/~
seealso: HackerNews:41046956
EDIT 7/24: 修正链接。
#OCSP #PKI #LetsEncrypt
[旧闻] Chrome 计划停止禁用第三方 cookie 的计划,转而让用户自行「作出明智选择」。
声明中提到这样的决定是因为直接禁用第三方 cookie 将使广告业的各个参与者,包括广告主和网站主,都受到较大的波及。
- privacysandbox.com/~
- theverge.com/~
#Chrome #Privacy
声明中提到这样的决定是因为直接禁用第三方 cookie 将使广告业的各个参与者,包括广告主和网站主,都受到较大的波及。
- privacysandbox.com/~
- theverge.com/~
#Chrome #Privacy
Privacy Sandbox
A new path for Privacy Sandbox on the web
In this July 2024 announcement, the Privacy Sandbox team shares an important update regarding third-party cookies in Chrome.
《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见至 8/25。
草案提到:
- 自然人可向「公共服务」申领「网号」、「网证」。网号不含明文身份信息。
- 鼓励互联网平台自愿接入「公共服务」,支持用户使用网号/网证进行身份信息登记。
- 法规规定互联网平台需留存用户身份证件信息的, 「公共服务平台」应按最小化原则提供。
www.cac.gov.cn/~
#China #Privacy
草案提到:
- 自然人可向「公共服务」申领「网号」、「网证」。网号不含明文身份信息。
- 鼓励互联网平台自愿接入「公共服务」,支持用户使用网号/网证进行身份信息登记。
- 法规规定互联网平台需留存用户身份证件信息的, 「公共服务平台」应按最小化原则提供。
www.cac.gov.cn/~
#China #Privacy
层叠 - The Cascading
Niconico 受到骇客攻击无法正常提供服务,临时开放复古版站点。 站点上展示了一些 2007 年 niconico 初期的视频。 https://www.nicovideo.jp/watch_tmp/sm1097445 #Niconico
[旧闻] Niconico 宣布将于 8/5 重新开放大多旧有功能。
包括动画、生放送、大百科等功能将于 8/5 重新开放;其它功能也将于后续重新开放。ニコニコミュニティ则因数据丢失而无法恢复。
https://blog.nicovideo.jp/niconews/225330.html
thread: /4545
#Niconico
包括动画、生放送、大百科等功能将于 8/5 重新开放;其它功能也将于后续重新开放。ニコニコミュニティ则因数据丢失而无法恢复。
https://blog.nicovideo.jp/niconews/225330.html
thread: /4545
#Niconico
~ニコニコ動画が8/5に再開、新バージョンに~ ニコニコの復旧状況およびサービス停止に伴う補償について|ニコニコインフォ
いつもニコニコをご利用いただきありがとうございます。 6月8日(土)に発覚したKADOKAWAグループのデータセンター内のサーバーへのサイバー攻撃の影響により、「ニコニコ」のサービス全般が利用でき
继 Google 后,Mozilla 亦宣布停止信任 Entrust CA 新证书。
- 由于对 Entrust 的事故报告不满意,Google(包括 Chrome) [1] 决定停止信任 Entrust 于 2024/10/31 后签发的证书。昨日,Mozilla 也宣布决定停止信任 Entrust 于 2024/11/30 后签发的证书。
- 受影响 CA 品牌包括 Entrust 及 AffirmTrust。
groups.google.com/~
1. security.googleblog.com/~
#PKI #Entrust
- 由于对 Entrust 的事故报告不满意,Google(包括 Chrome) [1] 决定停止信任 Entrust 于 2024/10/31 后签发的证书。昨日,Mozilla 也宣布决定停止信任 Entrust 于 2024/11/30 后签发的证书。
- 受影响 CA 品牌包括 Entrust 及 AffirmTrust。
groups.google.com/~
1. security.googleblog.com/~
#PKI #Entrust
Google Online Security Blog
Sustaining Digital Certificate Security - Entrust Certificate Distrust
Posted by Chrome Root Program, Chrome Security Team Update (09/10/2024): In support of more closely aligning Chrome’s planned compliance ...
层叠 - The Cascading
[旧闻] Chrome 计划停止禁用第三方 cookie 的计划,转而让用户自行「作出明智选择」。 声明中提到这样的决定是因为直接禁用第三方 cookie 将使广告业的各个参与者,包括广告主和网站主,都受到较大的波及。 - privacysandbox.com/~ - theverge.com/~ #Chrome #Privacy
W3 TAG 发文阐述立场,指名道姓 Google,呼吁浏览器移除对第三方 cookie 的支持。
w3.org/~
thread: /4573
[感谢 夜坂雅 提供此消息。]
#Cookie #Privacy
w3.org/~
thread: /4573
[感谢 夜坂雅 提供此消息。]
#Cookie #Privacy
W3C
必须消除第三方cookies
W3C技术架构组解释了第三方cookies如何降低用户的隐私,以及为什么必须从Web上移除它们。这篇博文介绍了最新的TAG意见,即必须移除第三方cookies。