#py #game #ci

据称泄露自 GFW 开发部门的约 600 GB 内容被发布。

- 根据文件名，这些内容包含大量文档、源代码及 JIRA 等系统的数据等。
- 原文链接下可以下载到包含这些内容的 BitTorrent 种子文件*。它的 infohash 是 8464ce47b9462cb88b9a0d160418194eab13d385 。

https://gfw.report/blog/geedge_and_mesa_leak/zh/

*由于 BitTorrent 网络设计，第三方（例如做种者、下载者、tracker 服务器提供商或 DHT 的 peer）均可能知道在下载特定种子的 IP 列表。如果订户认为这些文件较为敏感，可能需要考虑通过 BitTorrent 之外的手段获取这些文件，并在网络隔离环境下阅读它们。

#GFW

百度网盘客户端被发现远程命令执行漏洞；新版已经修复。

- 利用者需要访问用户 localhost 上开放的 HTTP 端点，因此漏洞可能被访问恶意页面的浏览器触发。
- 7.59.5.104 及之前版本受到影响。

https://linux.do/t/topic/929234

[感谢 夜坂雅 提供此消息。]

#PSA #Baidu

Google 新政策：2026 年中起，被安装或 sideload 应用的开发者必须进行实名认证。

- Google 宣称此举是为「让 Android 更安全」及「保护 Android 的开放环境」。
- 预载了 GMS 套件的 Android 认证设备将受此政策影响。
- 政策将于 2026 年九月在部分地区（巴西、印尼、新加坡、泰国等）生效；后续将覆盖更多地区。

1. https://developer.android.com/developer-verification
2. androidauthority.com/~

#Google #Android

精华内容：难道说，GFW 通过参考了一篇 GFW Report 研究分析 GFW 识别 FET 的手段和行为的 paper、才实现了识别 FET 的功能、在代码实现过程中还 参考/借鉴/移植 了 AperNet 团队参考 GFW Report 那篇论文 实现并 开源在 GitHub 上的 OpenGFW 代码？

发一个暴论，考虑到比较暴论，所以就只丢我的 TG 频道和 Mastodon 上好了。

这次积至泄漏的疑似 GFW 相关文件 一石激起千层浪，闹得沸沸扬扬，并且可以肯定的是，积至确实开发了一个类似 GFW 的网络审查工具（在下文中，我将其称之为「积至 GFW」），可以按照一定的误伤率支持识别部分 VPN 和隧道协议、并且有主动发现 VPN 的能力（暴论：这个功能一听就像是海外一些国家的定制需求）。

从积至泄漏的源码中关于 FET（即 Fully Encrypted Traffic，Shadowsocks 流量即是 FET 的一个典型且著名的 example）识别功能的实现代码（CPP-based）、存在一段注释、包含下述两个 URL：

- GFW Report 为二作的这篇 paper： https://www.usenix.org/conference/usenixsecurity23/presentation/wu-mingshi
- AperNet 团队（ https://apernet.io ，他们也是 Hysteria 和 Hysteria2 协议背后的开发者）的 玩具 IDS/IPS/DPI 项目 OpenGFW 中基于上述 paper 而实现的 FET 识别功能 https://github.com/apernet/OpenGFW/blob/278d731b6f0df6665e00987fa9e8afa99244d5f6/analyzer/tcp/fet.go

感兴趣的观众可以在积至泄漏文件中找到 /decoders/session_flags/fet.cpp 文件，即可在文件开头看到我所说的包含两个 URL 的代码注释。

难道说，GFW 通过参考了一篇 GFW Report 研究分析 GFW 识别 FET 的手段和行为的 paper、才实现了识别 FET 的功能、在代码实现过程中还 参考/借鉴/移植 了 AperNet 团队参考 GFW Report 那篇论文 实现并 开源在 GitHub 上的 OpenGFW 代码？

先有鸡还是先有蛋的问题 听着非常匪夷所思，但是让我们做一个思维实验：如果我们把 2015 年起部署在国际出口和北京根 DNS 镜像上、并历经多年升级迭代至今的 GFW 称作「The True Original GFW（原初 GFW）」；积至根本无法获取到「The True Original GFW」的源码、不得不在开发「积至 GFW」的过程中进行 cleanroom 净室开发，在开发过程中甚至 参考/借鉴/移植 了 AperNet 在 GitHub 上的开源的 OpenGFW 的代码。进一步暴论，积志这套「积至 GFW」和「The True Original GFW」可能 除了都是网络审查工具之外，没有任何其他关系。

我们可以进一步推测：中央控制的网络审查手段可能仍只有「The True Original GFW」一个、且仍只部署在 DNS 和国际出口；地方政府、地方运营商分公司，为了满足各种 KPI（反诈、对异见人士的识别和抓捕、地方网安/网警的行政诉求），向积至和其他厂商招标、定制、采购「GFW 类似物」。这也解释了为什么江苏虽然向积至采购了「积至 GFW」产品，却只用于反诈拦截。

这个暴论完全可以自圆其说，并且也能够解释为什么「GFW 呈现去中心化和边缘计算的趋势」。「The True Original GFW」本身并没有去中心化，可能也没有在多地大量部署；真相可能是，在「中央集权+地方分权」的政治大背景下，整个网络审查制度自发地、自下而上地 实现了去中心化，「边缘计算」只不过是相应的错觉罢了。

然而，网络审查制度的去中心化，只会 让 审查对抗手段 面临更多挑战。

这篇文章从第一性原理重新思考了 Web 开发中的历史遗留问题，包括冗余的 DOM API，CSS 语义混乱，框架大行其道以绕过原生缺陷。非常好的文章，看余弦推荐好久了，今天才慢慢看完这篇，很推荐看一看

https://acko.net/blog/html-is-dead-long-live-html/

#selected
https://jia.je/hardware/2025/06/10/terminal-emulator-text-rendering/#texture-atlas

再次在 HN 碰到这个博客了，强烈推荐，和 endler . dev 类似，这个注重于讲些 AI，软件工程的内容。（好像我之前也推过几篇其中的文章

推荐先从 popular 看起（强烈推荐

https://www.seangoedecke.com/popular

我早就觉得你不会玩了，你在这世上过于追求意义，明明已经创造了太多价值却总还要更多。我就看开了，过分沉迷做事和沉迷游戏一样不健康，我在工作第一年会听到带我的国企领导评价某位非常能干的学长“太忙了也不好”，我用了十年才理解到底哪里不好。希望奥哥能慢慢少做点“正事”，对我来说“浪费一个小时刷b站让我平静”就是人生正事，我甚至都不用提游戏，玩游戏更是我人生正事了。

最后，旋涡怎么住别墅啊卧槽，怎么还有地下室😭

也许我们真的会见证到 JetBrains 的落幕了 😂

https://fxtwitter.com/zhangjintao9020/status/1973727722561229308

#tool #SQL

#数据库
sqlbolt，一个交互式的学习SQL的网站。

#dalao https://dujun.io/codes/

非常优雅的 CSS 新属性：text-autospace
https://developer.mozilla.org/zh-CN/docs/Web/CSS/text-autospace

特朗普无条件赦免了币安创始人赵长鹏

综合路透社和彭博社报道，白宫星期四（10月23日）确认特朗普签署了赵长鹏的赦免令。

绰号“CZ”的赵长鹏为亿万富豪，也是加密货币领域最具影响力的人物之一。2023年，币安（Binance）承认未能实施有效的反洗钱程序，在认罪后支付43亿美元（约56亿新元）罚款，并辞去币安首席执行官一职。

特朗普当天告诉记者，赵长鹏遭到拜登政府的“迫害”。

特朗普说，他相信自己应该没有和赵长鹏见过面。“很多人说他什么罪都没有，应许多善良人士的请求，我赦免了他。”