#js #web DOM. ES5. Markdown. 《我是如何变成自己讨厌的人的》 🌝

#game #web https://github.com/stevenjoezhang/osmos.io 🌝 大鱼吃小鱼，好玩
游戏逻辑/UI 是原项目提供的 ，这个做了一个 WebSocket online playing

https://duangsuse-valid-projects.github.io/Share/HTMLs/anim
目前还在检查 syntax highlight 以及 Android 支持...

https://github.com/Ray-Eldath/offgrid/blob/master/src/main/kotlin/ray/eldath/offgrid/model/UserData.kt #kotlin #service #docker overdesign

https://github.com/Ray-Eldath/DebateDownCounter/blob/master/src/main/main.ino #embedded #clang

#security #freedom #GitHub Signal IM 是理念类似 #Telegram 的 IM
它的 TLS 代理(类似 MTProto 代理)存在可被主动探测问题(不仅在中国不安全，如果伊朗有方教授那种人，也不安全)

有毛病，提isssue，带上poc和建议
然后直接给你三步操作：

1 close issue
2 关掉整个 issue 区域
3 让你去他们专门的论坛

https://signal.org/blog/help-iran-reconnect/

帖子里说为了能让更多的伊朗兄弟连上 Signal，他们自己造了一个 TLS 代理，在 TLS 隧道里跑 Signal，然后用 SNI 白名单控制访问。

我(指投稿者Duck)和 @studentmain 读完当时就觉得不对劲——这东西扛不住主动探测呀。没有 PSK，你用 Signal 客户端流量直接试就能试出来这是不是一个 Signal 代理。

于是我们觉都没睡，连夜码字指出问题(于是被删了)

补充几个给想吃瓜的链接： #opensource #security #censored
https://github.com/net4people/bbs/issues/60
https://github.com/signalapp/Signal-TLS-Proxy/issues/3

频道主觉得，有问题就要改，不要低估伊朗政府的封锁能力吧。

PoC(理念验证) 是用 #golang 写的，送信流是 net.Dial("tcp",s) +二层 tls.Clent(c0,{serverName:server/sni,allowInsecurity})，才 40 行左右，核心代码才 5 行而且无需 tls 外任何算法，可以说是很低级的漏洞了。

“ I've quickly scanned the code, so this is just a TLS tunnel set up to forward inner TLS traffic with signal SNIs as-is.

后面还提了改正建议，并且表明如有疏漏自己会改正，但 Signal 选择禁止评论🥱。

https://community.signalusers.org/t/tls-proxy-server-unable-to-survive-active-probing-from-internet-surveillance-systems/27282 看看能活多久
👆🏼 补充：活下来了，瓜变大了 😋

试想：如果用 MTProto Proxy 不就没有问题了吗🥴😂 #都是高手
—
订户评论： 🌝 #DontKnow
避免主动探测
1就是要做得像个普通的网页服务器一样，无论是浏览器访问看起来还是实际上的流量分析。
2就是要有一定的门槛才能使用，别一个客户端对着一个服务器端口凑上去就全都招了“对对对我就是Signal的代理服务器，能找到我辛苦了，我这就帮你连上Signal的服务器”殊不知对面的是网络监视系统在打探自己。

至少像telegram这样，加个secret
不带个正确的secret凑上去就表现得像个普通的网页服务器一样
顺带：secret前加ee的是fake TLS代理
signal这个实现。。。。。。妈的，傻逼，一个signal客户端对着一个怀疑是代理服务器的家伙连上去就全都招了

#science #twitter 谁能想到 他们是真的没想到 🌝🌝

- 为什么在降落的时候只点燃两颗引擎？这样的话，任意一个坏掉都会降落失败，你就有两个单点故障了。为什么不点燃三颗，然后选择表现最好的两颗关掉第三颗？
- 我们太傻了

#android #trick 辅助功能

给一个小技巧
轻启动的辅助功能经常被杀，然后 MIUI 必须要等 10 秒钟才能开启辅助功能
可以点击辅助功能快捷方式，长按音量 + 和音量 - 就可以快速开启辅助功能

#life #media #freedom 生活大爆炸可是很知名的！之前被动看过几次，感觉值得一看；这么快就没有了？

#java #service #db #mark https://t.me/Javaer/556613

#plt #ce #clang #cplusplus compile-time calculation

C99 黑魔法：编译期元语言 Metalang99
https://github.com/Hirrolot/metalang99

还有它的小弟 datatype99
https://github.com/Hirrolot/datatype99

#js 我现在想死的心都有了， JQuery 比这好啊。 想加功能，但表现力不够全是字符串，草。 灵药是重写成纯 javascript ，但我真不知道还有哪里可以用，而且真不觉得这值得变成库

🌚 不过难得文艺了一把。 《原来动苏也有写难读代码的时候》 当然啦，用 reformat 一下就好看了，但 inline 在 HTML attribute 里的还是难读吧

看着现在的排版我觉得想吐，虽然理论上最少化空格是没问题，但会对无 IDE 的人造成困难
而且这个实现真是秀，某种序列循环的逻辑还用了两种方法去写，写完后发现其中一个 精 心 制 备 的 do while 是错的，但为了 穿针引线(秀) 还是留着了 🌝
终于知道如果我想秀的话，代码也可以很难看的 👌

真的懒得再弄这个玩意了，至少不会改 README.md 的代码，黑历史啊

https://duangsuse-valid-projects.github.io/Share/HTMLs/anim 这个玩意已经可用了，pick xy 和 markers 能用了；气球可以重放可以自选源至点了， 是黑历史了，不会动了 🤪

{let f=()=>{animateBallon(); setTimeout(f, 2000)};f()}
进去先点击我重写版的代码，执行一次后随便点一个 plain text 的 code (设置语言为text,默认是js执行)，把 editor 内容改成这个再执行，就可以放烟花了 🎆
我的重写版扩充还不够好(问题难 原作也没可配置到哪去)，所以 style sheet 生成的 @keyframes 名会有重叠，导致连贯时出现类似卡壳的现象 🌚

草，刚才改这个应该花了一个小时吧，试来试去的 🌝 最后发现 js events 果然不存在线程冲突甚至要 SharedArrayBuffer + Atomics.wait/notify 什么的