层叠 - The Cascading
马来西亚当局要求 ISP 重定向第三方 DNS 流量到自家 DNS。 马来西亚通讯及多媒体委员会 (MCMC) 称此举是为确保用户受到保护。 thesun.my/~ #Malaysia #DNS
theSun
MCMC asked not to proceed with DNS redirection method - Fahmi
He stressed that cybercrime issues, such as gambling, prostitution and pornography websites, demand comprehensive solutions.
层叠 - The Cascading
Unity 发文致歉并宣布收费政策修改。 这篇文章还提到: - Unity Personal 将不收取安装费 (runtime fee)。除此之外,Unity Personal 开发者收入上限将从 $100k 调高至 $200k,也将不会被要求使用 Made with Unity 开屏界面。 - Unity Pro/Enterprise 开发者则将从 2024 年的下个 Unity LTS 版本起被收取安装费,开发者也可以选择缴交 2.5% 的收入作为安装费的替代。安装数和收入均由开发者自行报告。 h…
Unity 费率变动:取消安装费,改而给 Pro/Enterprise 订阅涨价 8% 和 25%。
https://unity.com/blog/unity-is-canceling-the-runtime-fee
thread: /4325
[感谢 夜坂雅 提供此消息。]
#Unity
https://unity.com/blog/unity-is-canceling-the-runtime-fee
thread: /4325
[感谢 夜坂雅 提供此消息。]
#Unity
Unity
Unity is Canceling the Runtime Fee
After deep consultation with our community, customers, and partners, we’ve made the decision to cancel the Runtime Fee, effective immediately.
层叠 - The Cascading
由 Mozilla 建立的 Mastodon 实例似乎已经上线,不过目前尚未开放注册。 https://mozilla.social/ #Mozilla #Mastodon
Mozilla 宣布将于 12/17 停运 mozilla.social。
https://mozilla.social/@mozilla/113153943609185249
thread: /4100
#Mozilla #Mastodon
https://mozilla.social/@mozilla/113153943609185249
thread: /4100
#Mozilla #Mastodon
Mozilla.social
Mozilla (@[email protected])
We’ve made the hard decision to end our experiment with Mozilla.social and will shut down the Mastodon instance on December 17, 2024. Thank you for being part of the Mozilla.social community and providing feedback during our closed beta. You can continue…
#PSA: 立即更新 GitLab!Ruby-SAML 未能正确验证 SAML 签名。
请升级至:
- GitLab: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
- ruby-saml: 1.17.0, 1.12.3
- omniauth-saml: 2.2.0
- GHSA-jw9c-mfg7-9rx2
- about.gitlab.com/~
CVE: CVE-2024-45409
CVSS: 10 (Critical)
linksrc: https://www.tgoop.com/billchenla/19542
#Security #SAML #GitLab
请升级至:
- GitLab: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
- ruby-saml: 1.17.0, 1.12.3
- omniauth-saml: 2.2.0
- GHSA-jw9c-mfg7-9rx2
- about.gitlab.com/~
CVE: CVE-2024-45409
CVSS: 10 (Critical)
linksrc: https://www.tgoop.com/billchenla/19542
#Security #SAML #GitLab
Telegram
咕 Billchen 咕 |
CVE-2024-45409 SAML authentication bypass
The Ruby SAML library is for implementing the client side of a SAML authorization. Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker…
The Ruby SAML library is for implementing the client side of a SAML authorization. Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker…
研究者发现自己可以注册一些 TLD 的旧 Whois 服务域名,并利用其获得 TLD 下非由自己控制域名的 TLS 证书。
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
watchTowr Labs
We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI
Welcome back to another watchTowr Labs blog. Brace yourselves, this is one of our most astounding discoveries.
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
[已修复] 研究者发现在已知 Arc 用户 ID 后,可以利用 Arc Boosts 功能在用户访问网站时执行任意代码。
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security
Unix 打印套件 CUPS 存在任意代码执行漏洞。虽然目前尚无修复版本发布,但各大发行版大多已发布打了修正补丁的版本。
建议用户参考 [1] 在自己的设备上检查
- 文章作者建议立即从计算机移除 CUPS 套件。
- 作者还提到,由于 CUPS 项目消极应对此严重漏洞的报告,作者不得已将其公开。
- 作者还提到,其报告的漏洞信息在另外的站点被泄露,说明 CERT 内部人士可能已被渗透。
CVE: CVE-2024-{47076,47175,47176,47177}
evilsocket.net/~
1. redhat.com/~
EDIT 9/30: 添加关于发行版修复和 systemd 服务检查的信息。感谢订户提出。
#CVE #CUPS
建议用户参考 [1] 在自己的设备上检查
cups-browsed system 服务是否运行;如果正在运行的话,将其停止并禁用。- 文章作者建议立即从计算机移除 CUPS 套件。
- 作者还提到,由于 CUPS 项目消极应对此严重漏洞的报告,作者不得已将其公开。
- 作者还提到,其报告的漏洞信息在另外的站点被泄露,说明 CERT 内部人士可能已被渗透。
CVE: CVE-2024-{47076,47175,47176,47177}
evilsocket.net/~
1. redhat.com/~
EDIT 9/30: 添加关于发行版修复和 systemd 服务检查的信息。感谢订户提出。
#CVE #CUPS
Cloudflare 推出 security.txt 生成器。
security.txt 是一个用于标示网站安全政策的标准 (RFC9116)。
https://blog.cloudflare.com/security-txt/
1. https://securitytxt.org/
#Cloudflare #Securitytxt
security.txt 是一个用于标示网站安全政策的标准 (RFC9116)。
https://blog.cloudflare.com/security-txt/
1. https://securitytxt.org/
#Cloudflare #Securitytxt
The Cloudflare Blog
Enhance your website's security with Cloudflare’s free security.txt generator
Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard…
由朝夕光年运营的《初音未来:缤纷舞台》宣布开放预约。
App Store 显示 [1],游戏预计于 2025/3/27 上线。
- https://pjsk.nvsgames.cn/
- https://pjsk.biligame.com/cywl
- https://www.bilibili.com/video/av113084341489532/
1. https://apps.apple.com/cn/app/_/id1554443522
linksrc: https://www.tgoop.com/yingyoushadiao/11871
#Nuverse #ProjectSekai
App Store 显示 [1],游戏预计于 2025/3/27 上线。
- https://pjsk.nvsgames.cn/
- https://pjsk.biligame.com/cywl
- https://www.bilibili.com/video/av113084341489532/
1. https://apps.apple.com/cn/app/_/id1554443522
linksrc: https://www.tgoop.com/yingyoushadiao/11871
#Nuverse #ProjectSekai
pjsk.nvsgames.cn
《初音未来:缤纷舞台》官方网站-风靡全球的角色养成音乐手游
「“世界”,是一个可以找到真正心愿的地方。」 - 初音未来
游戏讲述了五组热爱音乐的少年少女们误打误撞地进入由心愿诞生的虚拟世界,在初音未来等虚拟歌手们的帮助下,找到真正心愿的故事。
游戏中你将邂逅「人气虚拟歌手」,获得「耳目一新的绝佳音游体验」,收听「丰富的人气 VOCALOID 曲库」,享受「视听一体的感官盛宴」,在「虚拟 LIVE」中结识朋友,还有更多惊喜在等你发掘。
快和虚拟歌手们一起,发掘少年少女们的心愿,登上「世界」的舞台吧!
【初音未来携手人气虚拟歌手驾到! 】
和初音未来、镜音连、镜音铃…
游戏讲述了五组热爱音乐的少年少女们误打误撞地进入由心愿诞生的虚拟世界,在初音未来等虚拟歌手们的帮助下,找到真正心愿的故事。
游戏中你将邂逅「人气虚拟歌手」,获得「耳目一新的绝佳音游体验」,收听「丰富的人气 VOCALOID 曲库」,享受「视听一体的感官盛宴」,在「虚拟 LIVE」中结识朋友,还有更多惊喜在等你发掘。
快和虚拟歌手们一起,发掘少年少女们的心愿,登上「世界」的舞台吧!
【初音未来携手人气虚拟歌手驾到! 】
和初音未来、镜音连、镜音铃…
英国移交查戈斯群岛主权至毛里求斯,ccTLD .io 或将被废弃。
- io 是 ISO 分配给英属印度洋领地 (British Indian Ocean Territory, BIOT) 的国家编码; .io 亦被分配为此地区的 ccTLD。
- 由于 IO 在计算机概念中的重要性 (Input/Output),.io 域名被大量科技类企业及站点所使用。
- 在 .su (前苏联) 和 .yu (南斯拉夫) 的废弃乱象后,IANA 出台了更严格的 ccTLD 废弃流程,而这套流程即将适用于 .io [1]。
theverge.com/~
1. every.to/~
#io #ccTLD
- io 是 ISO 分配给英属印度洋领地 (British Indian Ocean Territory, BIOT) 的国家编码; .io 亦被分配为此地区的 ccTLD。
- 由于 IO 在计算机概念中的重要性 (Input/Output),.io 域名被大量科技类企业及站点所使用。
- 在 .su (前苏联) 和 .yu (南斯拉夫) 的废弃乱象后,IANA 出台了更严格的 ccTLD 废弃流程,而这套流程即将适用于 .io [1]。
theverge.com/~
1. every.to/~
#io #ccTLD
The Verge
How a UK treaty could spell the end of the .io domain
Does this mean the end of itch.io and greenhouse.io?
#PSA: 请立即升级 - Firefox 远程代码执行漏洞。
请升级至 Firefox 131.0.2、Firefox ESR 128.3.1 或 Firefox ESR 115.16.1。
mozilla.org/~
CVE: CVE-2024-9680
CVSS: (Critical)
#Firefox
请升级至 Firefox 131.0.2、Firefox ESR 128.3.1 或 Firefox ESR 115.16.1。
mozilla.org/~
CVE: CVE-2024-9680
CVSS: (Critical)
#Firefox
Mozilla
Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1
层叠 - The Cascading
美国法院判决称 Google 在搜索和搜索广告领域实施垄断行为。 - 判决中称,Google 付费给 Apple、Mozilla 及各手机厂商使其设置 Google 为默认浏览器的行为非法。判决中还提到,Google 以 Play Store 要挟手机厂商,要求其在系统商设置自家 App 为默认应用。 - Google 回应称「此判决承认 Google 搜索是最好的搜索引擎,但禁止 Google 使其易于使用」。 - Hacker News 有评论称判决其实对 Google 有利,因为即使 Google…
Google 垄断争议:DOJ 正寻求剥离 Chrome、Android 或 Google Play 等。
Google 发文称 [1] 此举将威胁用户隐私及安全性、戕害美国创新,以及损害生产者和消费者的利益。
theverge.com/~
1. blog.google.com/~
thread: /4578
#Google #DOJ
Google 发文称 [1] 此举将威胁用户隐私及安全性、戕害美国创新,以及损害生产者和消费者的利益。
theverge.com/~
1. blog.google.com/~
thread: /4578
#Google #DOJ
The Verge
A Google breakup is on the table, say DOJ lawyers
Google’s a monopoly, so now what?
层叠 - The Cascading
Twitter(或者说 Elon Musk)将 @x 和 @xAI 两个 ID 强行回收,用于 Twitter 官方及 xAI 公司的账号。两位账号的原用户均称 Twitter 从未与其就此进行任何协商。 https://mashable.com/article/xai-twitter-handle-elon-musk-x #Twitter #xAI
Twitter 强行回收
- 这不是 Elon Musk 时代的 Twitter 第一次强行回收 ID;上次被强行回收的 ID 是
- Elon Musk 在自己的账号描述中写道,「查看
axios.com/~
thread: /4272
#Twitter
@America 用于 Elon Musk 的政治宣传。- 这不是 Elon Musk 时代的 Twitter 第一次强行回收 ID;上次被强行回收的 ID 是
@X 及 @xAI 。 [thread]- Elon Musk 在自己的账号描述中写道,「查看
@America 以了解我为什么支持特朗普竞选总统」axios.com/~
thread: /4272
Axios
Elon Musk uses @america X handle to boost Trump
X owner Elon Musk seized the @America username on the platform, using the account to advocate for Trump against Harris in the 2024 election.
Asahi Linux 现已提供 Vulkan 等支持,用户可以安装 Steam 并进行游戏。
公告中提到的体验良好的测试游戏包括《控制》、《空洞骑士》、《传送门 2》等。
https://asahilinux.org/2024/10/aaa-gaming-on-asahi-linux/
#AsahiLinux #Gaming
公告中提到的体验良好的测试游戏包括《控制》、《空洞骑士》、《传送门 2》等。
https://asahilinux.org/2024/10/aaa-gaming-on-asahi-linux/
#AsahiLinux #Gaming
asahilinux.org
AAA gaming on Asahi Linux - Asahi Linux
Porting Linux to Apple Silicon
WordPress.org (Automattic) 和 WP Engine 的持续争执。
WordPress(.org) 是一套开源博客系统;WP Engine 是一个 WordPress 托管平台。 WordPress.org 创始人亦创立了 Automattic 公司,后者运营 WordPress 托管服务 WordPress.com 等。
techcrunch.com/~
WordPress 方面:
- 九月,WordPress 称 WP Engine 禁用内容版本系统是为了节省托管成本,而非系统存在问题。
- WordPress 称 WP Engine 需要商标许可;由于 WP Engine 提起的诉讼,WordPress 将禁止 WP Engine 用户访问其插件/主题库。晚些时候 WordPress 短暂解除禁制,称提供 WP Engine 时间「建立镜像」以不再无偿享受 WordPress 的服务。
- WordPress.org 用户登录页现在要求用户确认自己与 WP Engine 无关。
一篇讲述 WP Engine 立场的文章:
- 七月,Automattic 向 WP Engine 索要 8% 收入作为许可费用,但 WP Engine 并不需要这样的许可。
- 九月,WP Engine 的律师向 Automattic 发送 Cease & Desist 函要求其停止发表关于 WP Engine 的不实言论及影响 WP Engine 及其员工/客户的关系。
- 文章称 Matt (WordPress 创始人、Automattic CEO)认为 WP Engine 虚构自己被 WordPress 官方背书及 WP Engine 向 WordPress 项目回馈不足的论点都是错误的。
- 文章认为 Matt 不应干涉 WP Engine 禁用内容版本系统的行为,将 WP Engine 称作 WordPress 缩水版的说法是无稽之谈。
- 文章标题表达了一切:「若要 WordPress 活,Matt 必须走」。
#Wordpress #Automattic #WPEngine
WordPress(.org) 是一套开源博客系统;WP Engine 是一个 WordPress 托管平台。 WordPress.org 创始人亦创立了 Automattic 公司,后者运营 WordPress 托管服务 WordPress.com 等。
techcrunch.com/~
WordPress 方面:
- 九月,WordPress 称 WP Engine 禁用内容版本系统是为了节省托管成本,而非系统存在问题。
- WordPress 称 WP Engine 需要商标许可;由于 WP Engine 提起的诉讼,WordPress 将禁止 WP Engine 用户访问其插件/主题库。晚些时候 WordPress 短暂解除禁制,称提供 WP Engine 时间「建立镜像」以不再无偿享受 WordPress 的服务。
- WordPress.org 用户登录页现在要求用户确认自己与 WP Engine 无关。
一篇讲述 WP Engine 立场的文章:
- 七月,Automattic 向 WP Engine 索要 8% 收入作为许可费用,但 WP Engine 并不需要这样的许可。
- 九月,WP Engine 的律师向 Automattic 发送 Cease & Desist 函要求其停止发表关于 WP Engine 的不实言论及影响 WP Engine 及其员工/客户的关系。
- 文章称 Matt (WordPress 创始人、Automattic CEO)认为 WP Engine 虚构自己被 WordPress 官方背书及 WP Engine 向 WordPress 项目回馈不足的论点都是错误的。
- 文章认为 Matt 不应干涉 WP Engine 禁用内容版本系统的行为,将 WP Engine 称作 WordPress 缩水版的说法是无稽之谈。
- 文章标题表达了一切:「若要 WordPress 活,Matt 必须走」。
#Wordpress #Automattic #WPEngine
TechCrunch
WordPress.org bans WP Engine, blocks it from accessing its resources | TechCrunch
WordPress drama went up another notch on Wednesday after WordPress.org banned hosting provider WP Engine from accessing its resources.
层叠 - The Cascading
FTC 宣称将就提前订阅终止费用及终止订阅的冗长流程起诉 Adobe。 文章中,FTC 称 Adobe 的行为违反 Restore Online Shoppers' Confidence Act 之法案。 ftc.gov/~ #FTC #Adobe
FTC 将发布 "Click-to-Cancel" 政策,限制 Adobe 等商家将退订行为复杂化以阻止用户取消订阅的行为。
- 政策的正式名称为 "Negative Option Rule";政策细节参见 [1]。
- "negative option marketing" 指商家将消费者未拒绝促销或取消订阅作为对付费行为之默认同意的一种行为,例如订阅的自动续订、订阅费用提升的自动确认、或者从试用到付费订阅的自动转换等。 [2]
- 大部分政策将在正式发布至 Federal Register 的 180 天后生效。
- 政策内容包括要求线上退订途径便于寻找、退订行为的简便性需要至少达到订阅行为的程度(而不是 Adobe 那样 [3]),以及线上退订途径须不必与虚拟或真人客服沟通(而不是 New York Times 那样 [4])等。
ftc.gov/~
seealso: HackerNews:41858665
thread: /4548
1. ftc.gov/~
2. ftc.gov/~
3. /3382
4. imgur.com/~
linksrc: blog.gslin.org/~
#FTC #Adobe #Customer
- 政策的正式名称为 "Negative Option Rule";政策细节参见 [1]。
- "negative option marketing" 指商家将消费者未拒绝促销或取消订阅作为对付费行为之默认同意的一种行为,例如订阅的自动续订、订阅费用提升的自动确认、或者从试用到付费订阅的自动转换等。 [2]
- 大部分政策将在正式发布至 Federal Register 的 180 天后生效。
- 政策内容包括要求线上退订途径便于寻找、退订行为的简便性需要至少达到订阅行为的程度(而不是 Adobe 那样 [3]),以及线上退订途径须不必与虚拟或真人客服沟通(而不是 New York Times 那样 [4])等。
ftc.gov/~
seealso: HackerNews:41858665
thread: /4548
1. ftc.gov/~
2. ftc.gov/~
3. /3382
4. imgur.com/~
linksrc: blog.gslin.org/~
#FTC #Adobe #Customer
Federal Trade Commission
Federal Trade Commission Announces Final “Click-to-Cancel” Rule Making It Easier for Consumers to End Recurring Subscriptions and…
The Federal Trade Commission today announced a
Apple 提议在最晚 2027 年末将 TLS 证书有效期从 398 日降为 45 日。
PR 发布者 Clint Wilson 为 Apple 在 CA/B 论坛的代表。
https://github.com/cabforum/servercert/pull/553
#CABForum #TLS #Apple
PR 发布者 Clint Wilson 为 Apple 在 CA/B 论坛的代表。
https://github.com/cabforum/servercert/pull/553
#CABForum #TLS #Apple
GitHub
SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods by clintwilson · Pull Request #553 · cabforum/servercert
SC-081 Preamble
Overview
Expand Section 4.2.1 to detail the allowed data reuse periods for validation data (both for domains/IPs and for everything else in Section 3.2)
Eventual reduction of non-...
Overview
Expand Section 4.2.1 to detail the allowed data reuse periods for validation data (both for domains/IPs and for everything else in Section 3.2)
Eventual reduction of non-...