qBittorrent 存在 RCE 漏洞,影响 14 年间的所有版本
qBittorrent 出现 RCE 漏洞,影响 v2.3.0-rc5(2010 年)到 v5.0.0(包括 v5.0.0)间的所有版本。
浅看了一下代码,非常简单地,一个 DownloadManager 工具类在下载 https 链接时没有校验 HTTPS,相当于通过 https 下载的内容也无法保证安全性,存在中间人攻击的风险。RSS 更新、下载 Python、GeoIP 地理位置库更新等等功能都使用 DownloadManager 类进行下载。
解决方法 :
升级至 v5.0.1 版本→ https://www.qbittorrent.org/download
注意 v5.0.1 可能 存在一个内存泄漏问题(暂未证实)
不能升级版本时的 临时应对措施 :
- 暂停所有的 RSS 订阅、下载
- 确保网络环境安全,避免中间人攻击(一般情况下都是安全的)
再次感叹开源社区的力量之薄弱,一个不校验 HTTPS 的下载类竟然能被使用 14 年之久而无人发现……
原文:https://sharpsec.run/rce-vulnerability-in-qbittorrent
qBittorrent 出现 RCE 漏洞,影响 v2.3.0-rc5(2010 年)到 v5.0.0(包括 v5.0.0)间的所有版本。
浅看了一下代码,非常简单地,一个 DownloadManager 工具类在下载 https 链接时没有校验 HTTPS,相当于通过 https 下载的内容也无法保证安全性,存在中间人攻击的风险。RSS 更新、下载 Python、GeoIP 地理位置库更新等等功能都使用 DownloadManager 类进行下载。
解决方法 :
升级至 v5.0.1 版本→ https://www.qbittorrent.org/download
注意 v5.0.1 可能 存在一个内存泄漏问题(暂未证实)
不能升级版本时的 临时应对措施 :
- 暂停所有的 RSS 订阅、下载
- 确保网络环境安全,避免中间人攻击(一般情况下都是安全的)
再次感叹开源社区的力量之薄弱,一个不校验 HTTPS 的下载类竟然能被使用 14 年之久而无人发现……
原文:https://sharpsec.run/rce-vulnerability-in-qbittorrent
**你的代理的覆盖面是?**
跟群友突然聊到了非常好玩的话题!想问问各位大佬 代理是倾向只接管代理流量 还是接管全部流量 以及是怎么应对各个方案的短板的 想看看各位大佬的方案(/≧▽≦)/ 随意转发
跟群友突然聊到了非常好玩的话题!想问问各位大佬 代理是倾向只接管代理流量 还是接管全部流量 以及是怎么应对各个方案的短板的 想看看各位大佬的方案(/≧▽≦)/ 随意转发
Anonymous Poll
24%
代理只是一个网络服务进程 我会在需要走代理的APP里手动设置代理(Discord等不提供配置的APP怎么解决呢
35%
我让代理APP设置系统代理(不遵循系统代理的APP怎么解决呢
58%
我使用本机透明代理(TUN等)(使用的哪里的分流规则呢,对分流满意吗
29%
我在局域网内配置透明代理(软路由等)(出门时候怎么办呢?
8%
我有其他方案(诶 好奇
今日的 il 小发现:Snackbar 竟然是可以滑动消除的
Snackbar 就是图①这个小东西,我此前完全不知道这玩意可以右划消除……
很显然用户是没有任何途径得知这个操作了,那么开发者们自己是否知道呢?
好奇去翻了文档,结果文档上没有任何地方写明 Snackbar 可以滑动消除,包括 M3 文档、安卓 Compose 文档、安卓 View-Based 文档、MDC 文档和 Flutter 文档
安卓文档上甚至推荐开发者通过添加「DISMISS」按钮来允许用户手动消除,根本没提到滑动(图②)……
然而这个行为在整个 MD 中都实际存在,包括 Flutter——打开 Flutter 文档的 Snackbar 示例(图③),你可以用鼠标拖住 Snackbar 并且把他拽走!(草
这证明了滑动消除的行为的确不是 MDC 的开发者拍脑袋做出来的,而是 MD 本身就有这样的规范
翻阅 MDC 文档的 Changelog,这个行为应该是在 android.support.design 时期就实装了(早于 2018),但文档从来没提过……
再次令 il 感叹「让用户知道某功能的存在」是一件多么难做的事情……
包括 Koishi 活动栏图标可以拖动排序,拖动分组,我估计 Koishi 用户里知道的也不到 5%(图④
当然 MDC 在这件事上似乎是努力了一下,在 22 年的 v1.7.0 里引入了一项修改(图⑤),让 Snackbar 的默认消失动画与滑动消除的方向一致(Flutter 也如此);这可以给用户带来一定程度的暗示,用户下次没准就会朝着这个方向试着滑动。
我觉得这样的提示强度还是有点弱;但话说回来,似乎确实没什么好的地方让用户知晓和了解这种通用组件的操作技巧。都变成 iOS 那样天天买热搜挂「iOS 的使用小技巧」的话也太悲哀了233
当然这种小技巧水果确实做得更多一点,比如我最喜欢的「返回顶部」通用手势;安卓什么时候能把这个抄过来(他力本願
Snackbar 就是图①这个小东西,我此前完全不知道这玩意可以右划消除……
很显然用户是没有任何途径得知这个操作了,那么开发者们自己是否知道呢?
好奇去翻了文档,结果文档上没有任何地方写明 Snackbar 可以滑动消除,包括 M3 文档、安卓 Compose 文档、安卓 View-Based 文档、MDC 文档和 Flutter 文档
安卓文档上甚至推荐开发者通过添加「DISMISS」按钮来允许用户手动消除,根本没提到滑动(图②)……
然而这个行为在整个 MD 中都实际存在,包括 Flutter——打开 Flutter 文档的 Snackbar 示例(图③),你可以用鼠标拖住 Snackbar 并且把他拽走!(草
这证明了滑动消除的行为的确不是 MDC 的开发者拍脑袋做出来的,而是 MD 本身就有这样的规范
翻阅 MDC 文档的 Changelog,这个行为应该是在 android.support.design 时期就实装了(早于 2018),但文档从来没提过……
再次令 il 感叹「让用户知道某功能的存在」是一件多么难做的事情……
包括 Koishi 活动栏图标可以拖动排序,拖动分组,我估计 Koishi 用户里知道的也不到 5%(图④
当然 MDC 在这件事上似乎是努力了一下,在 22 年的 v1.7.0 里引入了一项修改(图⑤),让 Snackbar 的默认消失动画与滑动消除的方向一致(Flutter 也如此);这可以给用户带来一定程度的暗示,用户下次没准就会朝着这个方向试着滑动。
我觉得这样的提示强度还是有点弱;但话说回来,似乎确实没什么好的地方让用户知晓和了解这种通用组件的操作技巧。都变成 iOS 那样天天买热搜挂「iOS 的使用小技巧」的话也太悲哀了233
当然这种小技巧水果确实做得更多一点,比如我最喜欢的「返回顶部」通用手势;安卓什么时候能把这个抄过来(他力本願
www.infoq.cn
开源许可证的变迁:从Elastic两次变更开源协议说开去_文化 & 方法_孙振华_InfoQ精选文章
开源许可证的变迁:从Elastic两次变更开源协议说开去开源从开始到现在已经有几十年历史,开源许可证在开源运动的发展中起到了基石作用,不管是从文化还是法律的
开源许可证的变迁:从 Elastic 两次变更开源协议说开去
https://www.infoq.cn/article/ByJXvaQSlwa96PAt9EfD
了解到了三个 非开源协议 :BSL、SSPL、Elastic License。三者的共同特点是限制商业使用,其中:
- BSL 通过 允许直接设置任意门槛 (部署数量,公司规模)的方式限制商业使用
- SSPL 修正 AGPL 以包括网络服务,使用了 SSPL 软件 本身作为功能 的产品,即使是 SAAS,也必须公开所有源代码
- Elastic License 与 SSPL 的区别在于 Elastic License 直接 不允许 以上述方式使用软件,哪怕公开所有源代码
https://www.infoq.cn/article/ByJXvaQSlwa96PAt9EfD
了解到了三个 非开源协议 :BSL、SSPL、Elastic License。三者的共同特点是限制商业使用,其中:
- BSL 通过 允许直接设置任意门槛 (部署数量,公司规模)的方式限制商业使用
- SSPL 修正 AGPL 以包括网络服务,使用了 SSPL 软件 本身作为功能 的产品,即使是 SAAS,也必须公开所有源代码
- Elastic License 与 SSPL 的区别在于 Elastic License 直接 不允许 以上述方式使用软件,哪怕公开所有源代码
下一条投票的具体得分项:
【+2】 我每日睡眠时间大于7小时(WHO标准
【+1】 我每日睡眠时间大于5小时
【+0】 我每日睡眠时间小于等于5小时
【+2】 只要不是上课,我有需要的话可以拿到手机
【+1】 我日间原则上接触不到手机,午休或晚上可以拿到
【+0】 我周一到周五原则上接触不到手机
【+2】 我们有丰富的社团/各类活动,所有人可以自由参加
【+1】 我们的一些活动是摆设(例:老师可以禁止学生参加
【+0】 我们几乎没有社团活动
【+3】 我或认识的同学有参与过一些正式竞赛(例:各类编程竞赛
【+2】 我和同学普遍知道有一些高中生可以参与的竞赛,但我们未曾参与
【+1】 我和同学普遍知道有一些高中生可以参与的竞赛,但条件不允许,不能参与
【+0】 同学间并非普遍知道这些竞赛
【+2】 我每日睡眠时间大于7小时(WHO标准
【+1】 我每日睡眠时间大于5小时
【+0】 我每日睡眠时间小于等于5小时
【+2】 只要不是上课,我有需要的话可以拿到手机
【+1】 我日间原则上接触不到手机,午休或晚上可以拿到
【+0】 我周一到周五原则上接触不到手机
【+2】 我们有丰富的社团/各类活动,所有人可以自由参加
【+1】 我们的一些活动是摆设(例:老师可以禁止学生参加
【+0】 我们几乎没有社团活动
【+3】 我或认识的同学有参与过一些正式竞赛(例:各类编程竞赛
【+2】 我和同学普遍知道有一些高中生可以参与的竞赛,但我们未曾参与
【+1】 我和同学普遍知道有一些高中生可以参与的竞赛,但条件不允许,不能参与
【+0】 同学间并非普遍知道这些竞赛
突发奇想的投票:你的高中现代吗?👉👉👉跟群友聊起了高中生活,发现高中和高中间的差异还挺大的……投票选取了「睡眠时间」、「手机」、「社团」、「竞赛」四个方面来看看大家的高中是否是比较“现代”的;具体得分项请点击查看上一条消息 https://t.me/ilharper/34 ,最后的得分0-9分请投票在下方:
Anonymous Poll
5%
9
5%
8
3%
7
12%
6
15%
5
15%
4
3%
3
12%
2
12%
1
17%
0
❤14
就在昨天,陪伴了il史上最长时间(213天)的bug被il成功解决了!是一个Kubernetes升级所导致的问题;感谢Rancher中文论坛的坛友为il指点迷津
十分曲折的解决历程全贴:
https://forums.rancher.cn/t/3194
十分曲折的解决历程全贴:
https://forums.rancher.cn/t/3194
刚才跟群友聊天 发现iOS可用于购入Premium和Stars 决定在iOS上购入Stars
选择iOS的原因:屁事少(相比之下Play有送区和锁区,用不了一点
在iOS上下载登录tg,获得了几个意外收获:
1. iOS上的tg依然和其他端一样内置代理,这意味着我不用花钱买代理APP,好评
2. +86似乎开始要求设置登录邮箱
登录邮箱在以前是玄学一般的存在,谁都不知道如何设置,甚至会有人花大价钱购买邮箱号和设置方法;也有人整理出「疯狂重发验证码直到tg觉得他亏了就会允许设置邮箱登录」这种听起来就玄学得离谱的方法;现在似乎登录时就可以设置了
于是我的两个号都成为了高贵的邮箱号
3. +86的登录邮箱域名有限制;登录邮箱和2FA邮箱可以不同;不同账号的登录邮箱可以相同
换句话说邮箱并不是一个账号识别方式,只是一种登录验证方式,账号识别永远只有手机号
于是我就把大号的登录邮箱设置为小号的2FA邮箱,小号的登录邮箱设置为大号的2FA邮箱,好好玩(
4. 水果上tg的短信验证码竟然是秒发,我在安卓上请求100个验证码都收不到一条,换了水果就秒收到,速度比阿里云还快,玄学(图②
5. 水果端tg好用
tg的客户端仍然是我目前见过的APP最高艺术,每个端都是(相比之下脑瘫逻辑设计服务器SLA就是一坨
iOS上的tg客户端完美结合了tg的亮点和iOS的亮点,包括Hapic Touch、Tapic Engine、动效曲线等等都与iOS一致
所有交互的设计也都非常自然,比如在Windows上右键弹出的菜单、安卓上点击弹出的菜单 在iOS上就变成了重按弹出,此时不松手移动到菜单项上就可以触发对应操作
比如我要编辑某条消息,重按住这条消息,手移动到立即弹出的「Edit」上就可以开始编辑了,没有任何延迟或者等待,行云流水
可惜iPhone早就把Hapic Touch砍了,新款iPhone无缘享受0拖泥带水的手势(笑
6. iTunes Store还是那么好用,咸鱼买卡兑换充值一套操作没有任何阻碍
不过听说最近水果也开始限制转区了,有点谔谔
还好我很久以前(201x)就备了国区和美区的主号,目前在iOS上仍然可以随时切换;美区号里永远有余额所以即使以后水果有了送区策略也保证不会触发
于是一番折腾以后我现在有了100 Stars
我记过生日的友友之后可以在生日时候收到来自il的Gift了 好耶
选择iOS的原因:屁事少(相比之下Play有送区和锁区,用不了一点
在iOS上下载登录tg,获得了几个意外收获:
1. iOS上的tg依然和其他端一样内置代理,这意味着我不用花钱买代理APP,好评
2. +86似乎开始要求设置登录邮箱
登录邮箱在以前是玄学一般的存在,谁都不知道如何设置,甚至会有人花大价钱购买邮箱号和设置方法;也有人整理出「疯狂重发验证码直到tg觉得他亏了就会允许设置邮箱登录」这种听起来就玄学得离谱的方法;现在似乎登录时就可以设置了
于是我的两个号都成为了高贵的邮箱号
3. +86的登录邮箱域名有限制;登录邮箱和2FA邮箱可以不同;不同账号的登录邮箱可以相同
换句话说邮箱并不是一个账号识别方式,只是一种登录验证方式,账号识别永远只有手机号
于是我就把大号的登录邮箱设置为小号的2FA邮箱,小号的登录邮箱设置为大号的2FA邮箱,好好玩(
4. 水果上tg的短信验证码竟然是秒发,我在安卓上请求100个验证码都收不到一条,换了水果就秒收到,速度比阿里云还快,玄学(图②
5. 水果端tg好用
tg的客户端仍然是我目前见过的APP最高艺术,每个端都是(相比之下脑瘫逻辑设计服务器SLA就是一坨
iOS上的tg客户端完美结合了tg的亮点和iOS的亮点,包括Hapic Touch、Tapic Engine、动效曲线等等都与iOS一致
所有交互的设计也都非常自然,比如在Windows上右键弹出的菜单、安卓上点击弹出的菜单 在iOS上就变成了重按弹出,此时不松手移动到菜单项上就可以触发对应操作
比如我要编辑某条消息,重按住这条消息,手移动到立即弹出的「Edit」上就可以开始编辑了,没有任何延迟或者等待,行云流水
可惜iPhone早就把Hapic Touch砍了,新款iPhone无缘享受0拖泥带水的手势(笑
6. iTunes Store还是那么好用,咸鱼买卡兑换充值一套操作没有任何阻碍
不过听说最近水果也开始限制转区了,有点谔谔
还好我很久以前(201x)就备了国区和美区的主号,目前在iOS上仍然可以随时切换;美区号里永远有余额所以即使以后水果有了送区策略也保证不会触发
于是一番折腾以后我现在有了100 Stars
我记过生日的友友之后可以在生日时候收到来自il的Gift了 好耶
❤4