Forwarded from Hacker News
GitHub introduces sub-issues, issue types and advanced search (❄️ Score: 150+ in 2 days)
Link: https://readhacker.news/s/6migN
Comments: https://readhacker.news/c/6migN
Link: https://readhacker.news/s/6migN
Comments: https://readhacker.news/c/6migN
The GitHub Blog
Evolving GitHub Issues (public preview) - GitHub Changelog
Following our opt-in preview last year, we are excited to release sub-issues, issue types and advanced search for issues to everyone! 🎉 Thank you to everyone who opted-in and gave…
#pwndbg
pwndbg 发布了 2025.01.20,支持了 lldb 作为 backend,支持在 macOS 上对 mach-O 进行调试,实测调试体验直线逼近 linux + gdb 的使用习惯。
https://github.com/pwndbg/pwndbg/releases/tag/2025.01.20
pwndbg 发布了 2025.01.20,支持了 lldb 作为 backend,支持在 macOS 上对 mach-O 进行调试,实测调试体验直线逼近 linux + gdb 的使用习惯。
https://github.com/pwndbg/pwndbg/releases/tag/2025.01.20
👍2
Forwarded from 不存在的世界
Forwarded from &'a ::rynco::UntitledChannel (Rynco Maekawa)
🔥5❤1
Forwarded from 每日消费电子观察 (horo)
AMD 微码漏洞被发现用公开文档中的附录示例 key 作为加密密钥
=======
牛的哥们,你是真的牛的
https://nvd.nist.gov/vuln/detail/CVE-2024-56161
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7033.html
我们发现,一颗旧的 Zen 1 CPU 的密钥与 NIST SP 800-38B 文档附录 D.1 中的示例密钥(2b7e1516 28aed2a6 abf71588 09cf4f3c)相同,并且这一密钥至少沿用到了 Zen 4 处理器。利用这一密钥,我们能够攻破 AES-CMAC 的两个用途:RSA 公钥和微代码补丁内容。我们成功伪造了新的公钥,使其生成的哈希值与 AMD 官方公钥的哈希值相同。此外,我们计算出了签名的碰撞,并能够生成一个与另一个合法签名消息共享相同签名的微代码补丁。
=======
牛的哥们,你是真的牛的
https://nvd.nist.gov/vuln/detail/CVE-2024-56161
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7033.html
🤣1
不是,你怎么突然发 2.0 了(?
我还以为你缺少维护倒闭了
Stable! Finally! After 4 years in development! Many changes have made it in since rc.3, including (unfortunately) some last minute breaking changes. But documentation has been cleaned up to a point where we finally feel comfortable committing to things as they are.
If you haven't been following along with the 2.0 changes here is a brief overview
- Completely rewritten API decoupled from serde
- no_std support
- Official format specification
- Default configuration changes
- Increase MSRV to 1.85.0
我还以为你缺少维护倒闭了
Stable! Finally! After 4 years in development! Many changes have made it in since rc.3, including (unfortunately) some last minute breaking changes. But documentation has been cleaned up to a point where we finally feel comfortable committing to things as they are.
If you haven't been following along with the 2.0 changes here is a brief overview
- Completely rewritten API decoupled from serde
- no_std support
- Official format specification
- Default configuration changes
- Increase MSRV to 1.85.0
👍1
Forwarded from LoopDNS资讯播报
知名开源项目 Alist 当前已删除代码仓库,具体原因尚不明确,TG 平台上的官方交流群管理也对此表示不解。
Alist 是一款用 Go 语言开发的轻量级 Web 文件列表程序,支持多种网盘挂载及本地存储整合,用户可通过其可视化界面进行文件浏览、上传、下载与分享。该项目因部署简便、兼容性强而广受好评。
Alist 是一款用 Go 语言开发的轻量级 Web 文件列表程序,支持多种网盘挂载及本地存储整合,用户可通过其可视化界面进行文件浏览、上传、下载与分享。该项目因部署简便、兼容性强而广受好评。
Forwarded from cnBeta.COM中文业界资讯站
Google Chrome修复已存在23年的浏览器历史窃取漏洞
这个漏洞说起来也比较让人难绷,通常情况下网页上的超链接使用蓝色标记标记,用户看到蓝色标记的文字或链接时就可以知道这部分是可以点击。如果用户点击该链接则通常情况下链接颜色会变成紫红色 (并非所有网站都会如此),用户回到当前页面并看到链接变成紫红色时就可以知道这个链接已经点击过。这种设计可以通过 CSS 样式表进行控制,使用 CSS 定义:visited 值就可以实现颜色转变,此时浏览器如果检查到对应链接已经在历史记录里存在那就换成:visited 定义的新颜色例如紫色。网络广告和能够运行脚本的第三方可以使用该技术在网页上插入特定链接,然后再检查用户浏览时该链接的颜色是否变成定义的紫色,如果颜色确实变成紫色则代表这个链接用户访问过,这意味着用户可能对这个链接呈现的内容有兴趣,可以将兴趣偏好纳入到参数里向用户提供个性化广告。谷歌软件工程师在博客中表示:这种攻击可以揭露用户访问过哪些链接并泄露有关其网页浏览活动的详细信息,这个安全问题已经困扰整个网络 20 多年,浏览器部署了各种权宜之计来缓解这些历史监测攻击,虽然这些措施能够缓解攻击但并没有彻底消除。比较有趣的是针对该问题其实早就有面向 Chromium 浏览器引擎的反馈,但谷歌也两次将该问题标记为无法修复因此在过去几年并未解决问题,直到现在谷歌决定彻底解决这个问题而不是当鸵鸟。修复该更新的补丁已经在 Chrome Beta v136 版中哼,Chrome 136 正式版预计会在 4 月 23 日发布,到时候 Chrome 也会称为首个彻底解决该安全漏洞的浏览器。至于修复方案:以前没法修复是因为浏览器确实需要超链接变色这个功能,而该功能的运行机制也确实是浏览器需要读取历史记录进行对比。为了解决这个问题,Chrome 工程师使用分区机制对访问过的历史链接进行分区,而不是维护一个历史记录的全局列表。简而言之分区是指将链接与点击位置的其他信息一起存储,在 Chrome 中这些信息包含链接 URL、顶级域名 (即用户访问的网站的所属主域名)、iframe 框架来源,启用分区后:visited 历史记录不再是允许任何网站都能查询的历史记录全局列表,相反,:visited 能够读取的历史记录将根据用户最初访问这个链接的上下文进行隔离,由于域名不同,跟踪器无法再通过这个机制读取非这个域名上呈现的 URL。 ...
PC版:https://www.cnbeta.com.tw/articles/soft/1491380.htm
手机版:https://m.cnbeta.com.tw/view/1491380.htm
这个漏洞说起来也比较让人难绷,通常情况下网页上的超链接使用蓝色标记标记,用户看到蓝色标记的文字或链接时就可以知道这部分是可以点击。如果用户点击该链接则通常情况下链接颜色会变成紫红色 (并非所有网站都会如此),用户回到当前页面并看到链接变成紫红色时就可以知道这个链接已经点击过。这种设计可以通过 CSS 样式表进行控制,使用 CSS 定义:visited 值就可以实现颜色转变,此时浏览器如果检查到对应链接已经在历史记录里存在那就换成:visited 定义的新颜色例如紫色。网络广告和能够运行脚本的第三方可以使用该技术在网页上插入特定链接,然后再检查用户浏览时该链接的颜色是否变成定义的紫色,如果颜色确实变成紫色则代表这个链接用户访问过,这意味着用户可能对这个链接呈现的内容有兴趣,可以将兴趣偏好纳入到参数里向用户提供个性化广告。谷歌软件工程师在博客中表示:这种攻击可以揭露用户访问过哪些链接并泄露有关其网页浏览活动的详细信息,这个安全问题已经困扰整个网络 20 多年,浏览器部署了各种权宜之计来缓解这些历史监测攻击,虽然这些措施能够缓解攻击但并没有彻底消除。比较有趣的是针对该问题其实早就有面向 Chromium 浏览器引擎的反馈,但谷歌也两次将该问题标记为无法修复因此在过去几年并未解决问题,直到现在谷歌决定彻底解决这个问题而不是当鸵鸟。修复该更新的补丁已经在 Chrome Beta v136 版中哼,Chrome 136 正式版预计会在 4 月 23 日发布,到时候 Chrome 也会称为首个彻底解决该安全漏洞的浏览器。至于修复方案:以前没法修复是因为浏览器确实需要超链接变色这个功能,而该功能的运行机制也确实是浏览器需要读取历史记录进行对比。为了解决这个问题,Chrome 工程师使用分区机制对访问过的历史链接进行分区,而不是维护一个历史记录的全局列表。简而言之分区是指将链接与点击位置的其他信息一起存储,在 Chrome 中这些信息包含链接 URL、顶级域名 (即用户访问的网站的所属主域名)、iframe 框架来源,启用分区后:visited 历史记录不再是允许任何网站都能查询的历史记录全局列表,相反,:visited 能够读取的历史记录将根据用户最初访问这个链接的上下文进行隔离,由于域名不同,跟踪器无法再通过这个机制读取非这个域名上呈现的 URL。 ...
PC版:https://www.cnbeta.com.tw/articles/soft/1491380.htm
手机版:https://m.cnbeta.com.tw/view/1491380.htm
cnBeta.COM
Google Chrome修复已存在23年的浏览器历史窃取漏洞
虽然Chrome还没有23年历史但浏览器软件的历史更长,谷歌日前修复的漏洞理论上说涵盖所有浏览器,网络广告可以借助这个漏洞窥探用户的浏览记录,从而追踪并向用户推送定向广告。
😁2💩1
Forwarded from 一个存在的世界 (Miao Wu)
Tansanrao
Apple’s Darwin OS and XNU Kernel Deep Dive
A deep dive into Apple’s Darwin OS and XNU kernel architecture, tracing its evolution from Mach and BSD roots to powering macOS, iOS, and Apple Silicon. This post explores the hybrid kernel’s design, its adaptation to new hardware and security paradigms,…
❤1
Forwarded from 每日消费电子观察 (玉米狐狸 | 啊米玉说的道理)
一年SSL证书将逐渐成为历史,CA/B论坛SC-081v3提案几乎全票通过
从26年开始,可签发的SSL/TLS证书的最长时间将分三年从原来的398天逐步缩减到47天
意味着你不得不去实现自动部署,长有效期证书的时代即将终结
https://groups.google.com/a/groups.cabforum.org/g/servercert-wg/c/9768xgUUfhQ
https://forum.naixi.net/thread-3496-1-1.html
https://github.com/cabforum/servercert/pull/553
从26年开始,可签发的SSL/TLS证书的最长时间将分三年从原来的398天逐步缩减到47天
意味着你不得不去实现自动部署,长有效期证书的时代即将终结
https://groups.google.com/a/groups.cabforum.org/g/servercert-wg/c/9768xgUUfhQ
https://forum.naixi.net/thread-3496-1-1.html
https://github.com/cabforum/servercert/pull/553