为什么每按一次键SSH就发送 100 个数据包
在作者开发的一款基于SSH的高性能终端游戏(使用 Bubble Tea + Wish 构建)中,即使没有实际游戏画面更新(仅返回“屏幕太小”提示),服务器仍产生大量网络流量和 CPU 开销,单次按键触发约 270 个 TCP 数据包,其中 179 个是 36 字节的“神秘消息”。
通过ssh -vvv定位到,原因是OpenSSH 自 2023 年起引入的Keystroke Timing Obfuscation特性,此功能旨在防止攻击者通过分析用户打字节奏推断输入内容(如密码、敏感命令)。在真实按键前后,客户端主动发送大量 “chaff”(诱饵)数据包,这些包内容为空或填充,但格式合法,模拟真实交互默认持续约 2 秒,每 20ms 一次,总计可发送 ~100 个包。
该功能针对人类用户手动操作的安全加固,但对于机器对机器(bot ↔ server)的高频率、低延迟通信是完全没必要的。这个功能完全由客户端决定是否启用,但是客户端(9.6 或更高版本)只有在服务端声明支持 "ping@openssh.com" 扩展时,才会启用混淆。而 OpenSSH 服务端(sshd)默认会广告这个扩展,因此,虽然服务端“不主动开启混淆”,但它的默认行为间接使客户端启用了混淆。
https://eieio.games/blog/ssh-sends-100-packets-per-keystroke/
在作者开发的一款基于SSH的高性能终端游戏(使用 Bubble Tea + Wish 构建)中,即使没有实际游戏画面更新(仅返回“屏幕太小”提示),服务器仍产生大量网络流量和 CPU 开销,单次按键触发约 270 个 TCP 数据包,其中 179 个是 36 字节的“神秘消息”。
通过ssh -vvv定位到,原因是OpenSSH 自 2023 年起引入的Keystroke Timing Obfuscation特性,此功能旨在防止攻击者通过分析用户打字节奏推断输入内容(如密码、敏感命令)。在真实按键前后,客户端主动发送大量 “chaff”(诱饵)数据包,这些包内容为空或填充,但格式合法,模拟真实交互默认持续约 2 秒,每 20ms 一次,总计可发送 ~100 个包。
该功能针对人类用户手动操作的安全加固,但对于机器对机器(bot ↔ server)的高频率、低延迟通信是完全没必要的。这个功能完全由客户端决定是否启用,但是客户端(9.6 或更高版本)只有在服务端声明支持 "ping@openssh.com" 扩展时,才会启用混淆。而 OpenSSH 服务端(sshd)默认会广告这个扩展,因此,虽然服务端“不主动开启混淆”,但它的默认行为间接使客户端启用了混淆。
https://eieio.games/blog/ssh-sends-100-packets-per-keystroke/
社交斩杀线
如果一款非中国或在中国未备案社交app, 总用户数超过10000人,或者活跃用户数超过1000人,就会触及中国的社交斩杀线,被gfw斩杀。
刀下亡魂:session/tor/nostr/whatsapp/viber...
如果一款非中国或在中国未备案社交app, 总用户数超过10000人,或者活跃用户数超过1000人,就会触及中国的社交斩杀线,被gfw斩杀。
刀下亡魂:session/tor/nostr/whatsapp/viber...
🥰6😱1
愚蠢的欧洲人搞了个欧洲版推特
Europe is set to launch a new X alternative called "W."
Unveiled at the World Economic Forum in Davos, the CEO says that "W" stand for "We" and the two Vs combined represent "Values" and "Verified. In that vein, the platform promises to verify all user with photo ID to prevent bots and all data will be hosted in Europe in a decentralized way.
https://wsocial.eu/
The platform was announced on January 20th but is not yet publicly available.
愚蠢的欧罗巴,现在才意识到数字主权的重要性吗😒
source
Europe is set to launch a new X alternative called "W."
Unveiled at the World Economic Forum in Davos, the CEO says that "W" stand for "We" and the two Vs combined represent "Values" and "Verified. In that vein, the platform promises to verify all user with photo ID to prevent bots and all data will be hosted in Europe in a decentralized way.
https://wsocial.eu/
The platform was announced on January 20th but is not yet publicly available.
愚蠢的欧罗巴,现在才意识到数字主权的重要性吗😒
source
👏3🤔1💩1
基于 Git 协议的安卓聊天 APP:MixGram
将任何互联网上公开的 Git 服务作为聊天服务器, 端到端加密,仅支持安卓。
工作原理
- 使用 Git 仓库的 commits 记录存储聊天信息
- 每次发送消息会将加密后的内容 push 到仓库
- 每次创建群组会自动生成 256 位随机密钥
下载: https://github.com/InvertGeek/MixGram/releases
将任何互联网上公开的 Git 服务作为聊天服务器, 端到端加密,仅支持安卓。
工作原理
- 使用 Git 仓库的 commits 记录存储聊天信息
- 每次发送消息会将加密后的内容 push 到仓库
- 每次创建群组会自动生成 256 位随机密钥
下载: https://github.com/InvertGeek/MixGram/releases
娱乐与实用俱佳,很有创意
👏7
IdeaMemo 是一款 Android 轻量级以标签 Tag 为核心的卡片便签App。
以下是当前功能:
- 隐私优先:不需要申请任何权限,所有运行时数据都牢固地存储在您的本地数据库中,也可以上传到您自己的WEBDAV私有云。
- 简洁干净:以 #标签(TAG) 为索引,支持图文混排来记录和整理您的突发灵感。但是作为卡片笔记,不建议用来记录太长的文字。
- 随时回顾:支持日历视图、热力图和随机漫步等方式来回顾您的笔记。
- 代码开源:所有代码都开源在Github上,您可以随时查看和协作开发。
- 免费使用:完全免费享受所有功能,没有任何内容的费用。
source
以下是当前功能:
- 隐私优先:不需要申请任何权限,所有运行时数据都牢固地存储在您的本地数据库中,也可以上传到您自己的WEBDAV私有云。
- 简洁干净:以 #标签(TAG) 为索引,支持图文混排来记录和整理您的突发灵感。但是作为卡片笔记,不建议用来记录太长的文字。
- 随时回顾:支持日历视图、热力图和随机漫步等方式来回顾您的笔记。
- 代码开源:所有代码都开源在Github上,您可以随时查看和协作开发。
- 免费使用:完全免费享受所有功能,没有任何内容的费用。
体积仅5M,作者也是个有职业道德的开发者。
source
👍4
Forwarded from 知乎大巴扎
Telegraph
如何看待阿富汗已成为全世界唯一禁止12岁以上妇女接受教育的国家?
看到这个问题下的很多回答,大家都在骂塔利班反人类、开历史倒车、魔怔。 骂得对。但骂完之后呢? 我想换一个角度来聊这件事。 今天阿富汗女性的处境,不是一个简单的坏人当道或者男人压迫女人的故事,而是一部长达一百年的、关于精英们的傲慢与历史反噬的悲剧。 如果你只看到塔利班的疯狂,而不知道这片土地上曾经发生过什么,你就永远无法理解:为什么偏偏是阿富汗?为什么同样是穆斯林国家,印尼、马来西亚、土耳其、甚至沙特都没有走到这一步,唯独阿富汗变成了全世界对女性最残酷的地方? 答案藏在1919年。 甚至更早。 故事的开端:一个本可以成为土耳其的国家…
网络犯罪防治法(征求意见稿)意味着什么?
2026年1月31日,《网络犯罪防治法(征求意见稿)》正式向社会公开征求意见。
介于过去几年多部委发文带来的边际效应递减,大家的反应大多是:“又是老生常谈吧?”或者“反正早就禁止了,还能怎样?”
这是一种极其危险的误判。从“部委通知”上升为“国家法律”,意味着监管逻辑已从防范演变为精准的刑事治理。
1.重新定义“明知”
在过去,OTC商家(U商)常以“我只是做买卖,不知道对方资金来源”作为抗辩理由。法律上也多定性为非法经营或帮信罪,定罪门槛较高。
但新法案第二十六条第三款重新作了明确:
“任何个人和组织不得明知是他人违法犯罪所得的资金,实施下列资金流转、支付结算等行为...利用虚拟货币、其他网络虚拟财产为他人提供资金流转服务的。”
这里虽然保留了“明知”二字,但在司法实践中,“明知”的认定范围正在极度扩大。如果你交易价格异常、使用加密聊天软件规避监管、或者未尽到极其严格的KYC审核,都可能被推定为“明知”。
️2.长臂管辖和“连坐”机制
新法案第十九条和第三十一条给了这一信条致命一击:
“不得明知他人利用网络实施违法犯罪,而为其提供……开发运维、广告推广、应用程序封装……等支持和帮助。”
更令人头大的是第二条关于“长臂管辖”的规定:
“在境外的中华人民共和国公民以及向中华人民共和国境内用户提供服务的境外组织、个人实施违反本法规定的行为……依法追究法律责任。”
同样受影响的还有翻墙,
第十四条:任何个人和组织不得非法制作、销售、提供、使用……………由省级以上主管部门认定的,专门用于实施网络违法犯罪或者具有规避监管制度功能的设备、软件、工具、服务。
以前粉红还能洗地说翻墙无罪因为只是下面执行歪了,现在白纸黑字都强调了,提供使用都有罪,人在境外也要被管,只要用到的工具具有躲避监管的功能就行,不管你有没有实质性危害行为
内容来源于网络
2026年1月31日,《网络犯罪防治法(征求意见稿)》正式向社会公开征求意见。
介于过去几年多部委发文带来的边际效应递减,大家的反应大多是:“又是老生常谈吧?”或者“反正早就禁止了,还能怎样?”
这是一种极其危险的误判。从“部委通知”上升为“国家法律”,意味着监管逻辑已从防范演变为精准的刑事治理。
1.重新定义“明知”
在过去,OTC商家(U商)常以“我只是做买卖,不知道对方资金来源”作为抗辩理由。法律上也多定性为非法经营或帮信罪,定罪门槛较高。
但新法案第二十六条第三款重新作了明确:
“任何个人和组织不得明知是他人违法犯罪所得的资金,实施下列资金流转、支付结算等行为...利用虚拟货币、其他网络虚拟财产为他人提供资金流转服务的。”
这里虽然保留了“明知”二字,但在司法实践中,“明知”的认定范围正在极度扩大。如果你交易价格异常、使用加密聊天软件规避监管、或者未尽到极其严格的KYC审核,都可能被推定为“明知”。
️2.长臂管辖和“连坐”机制
新法案第十九条和第三十一条给了这一信条致命一击:
“不得明知他人利用网络实施违法犯罪,而为其提供……开发运维、广告推广、应用程序封装……等支持和帮助。”
更令人头大的是第二条关于“长臂管辖”的规定:
“在境外的中华人民共和国公民以及向中华人民共和国境内用户提供服务的境外组织、个人实施违反本法规定的行为……依法追究法律责任。”
同样受影响的还有翻墙,
第十四条:任何个人和组织不得非法制作、销售、提供、使用……………由省级以上主管部门认定的,专门用于实施网络违法犯罪或者具有规避监管制度功能的设备、软件、工具、服务。
以前粉红还能洗地说翻墙无罪因为只是下面执行歪了,现在白纸黑字都强调了,提供使用都有罪,人在境外也要被管,只要用到的工具具有躲避监管的功能就行,不管你有没有实质性危害行为
意味着边界被彻底抹平:行为不重要,意图不重要,甚至你人在不在境内都不重要,只要你不在他们的视线里,就是问题本身。法律不再是裁判,而是探照灯,照到谁,谁就有罪。
内容来源于网络
Under the hood 什么意思
“Under the hood” 是一个英语习语,字面意思是“在引擎盖下面”,源自汽车维修场景——打开引擎盖才能看到发动机等内部机械结构。
在软件、技术产品或应用程序的设置中,“Under the hood” 通常指:隐藏的、高级的、底层的技术性选项或功能,普通用户一般不需要接触,但开发者、高级用户或调试人员可能会用到。就像你开车不需要懂发动机原理,但修车师傅必须打开引擎盖一样。
比如网络超时时间、缓存大小、线程数、日志级别等高级设置,或者“启用开发者模式”、“显示性能统计”等调试/诊断选项,以及一些实验性功能、底层配置,这些都可以放到Under the hood下面。
不要再用Advanced setting 这种不地道的说法了。
“Under the hood” 是一个英语习语,字面意思是“在引擎盖下面”,源自汽车维修场景——打开引擎盖才能看到发动机等内部机械结构。
在软件、技术产品或应用程序的设置中,“Under the hood” 通常指:隐藏的、高级的、底层的技术性选项或功能,普通用户一般不需要接触,但开发者、高级用户或调试人员可能会用到。就像你开车不需要懂发动机原理,但修车师傅必须打开引擎盖一样。
比如网络超时时间、缓存大小、线程数、日志级别等高级设置,或者“启用开发者模式”、“显示性能统计”等调试/诊断选项,以及一些实验性功能、底层配置,这些都可以放到Under the hood下面。
不要再用Advanced setting 这种不地道的说法了。
💩6
张小聋给了元宝三天时间病毒式推广,然后营销效果差不多了,出来立个牌坊,把元宝封了。
这就把一群人感动得一把眼泪一把鼻涕,疯癫了吧?还是斯德哥尔摩症又加深了?
呸!
这就把一群人感动得一把眼泪一把鼻涕,疯癫了吧?还是斯德哥尔摩症又加深了?
呸!
👍10
GNSS与LPP协议如何透露你的精确位置
GNSS(Global Navigation Satellite System) 是全球导航卫星系统的总称,它是一个家族,包括:GPS(美国)、GLONASS(俄罗斯)、Galileo(欧盟)、BeiDou(中国北斗)。这些系统都由几十颗在轨卫星组成,它们不停地向地球广播精确的时间和自己的轨道位置。
GNSS位置数据完全是由你的手机产生的,整个过程是完全被动且本地化的,你的手机同时接收来自至少4颗不同GNSS 卫星的无线电信号,由于信号以光速传播,手机通过比较信号发送时间(包含在信号里)和信号到达时间(手机本地时间),计算出到每颗卫星的距离。手机利用这 4 个(或更多)距离数据,在三维空间中解算出自己唯一的坐标(经度、纬度、海拔)。
本来所有计算都在手机内部完成,手机没有向任何地方发送请求,但蜂窝网络标准(2G/3G/4G/5G)为了提供“紧急呼叫定位”等服务,强制要求手机在特定情况下,主动把计算好的位置上报给运营商。
这就是 RRLP/LPP协议。
简单来说,就是当基站(或核心网)发出一个 “Location Request” 指令时,你的手机就会把自己刚刚算出的 GNSS 坐标(精度几米)打包,通过控制信道发回给运营商,该过程是强制进行无法关闭的。
如果运营商仅靠基站三角定位,通常是几十~几百米,不如GNSS来得精确。
就目前而言,除了关机和拔掉SIM卡,能阻止上报外,包括关闭“位置服务”、刷机等均无效,这是基带硬件限制。
据苹果宣称,搭载iOS 26.3和苹果自研芯片的设备,将可以限制基带芯片向网络上报精确GNSS数据,暂且听其言观其行吧。
#科普
GNSS(Global Navigation Satellite System) 是全球导航卫星系统的总称,它是一个家族,包括:GPS(美国)、GLONASS(俄罗斯)、Galileo(欧盟)、BeiDou(中国北斗)。这些系统都由几十颗在轨卫星组成,它们不停地向地球广播精确的时间和自己的轨道位置。
GNSS位置数据完全是由你的手机产生的,整个过程是完全被动且本地化的,你的手机同时接收来自至少4颗不同GNSS 卫星的无线电信号,由于信号以光速传播,手机通过比较信号发送时间(包含在信号里)和信号到达时间(手机本地时间),计算出到每颗卫星的距离。手机利用这 4 个(或更多)距离数据,在三维空间中解算出自己唯一的坐标(经度、纬度、海拔)。
本来所有计算都在手机内部完成,手机没有向任何地方发送请求,但蜂窝网络标准(2G/3G/4G/5G)为了提供“紧急呼叫定位”等服务,强制要求手机在特定情况下,主动把计算好的位置上报给运营商。
这就是 RRLP/LPP协议。
简单来说,就是当基站(或核心网)发出一个 “Location Request” 指令时,你的手机就会把自己刚刚算出的 GNSS 坐标(精度几米)打包,通过控制信道发回给运营商,该过程是强制进行无法关闭的。
如果运营商仅靠基站三角定位,通常是几十~几百米,不如GNSS来得精确。
就目前而言,除了关机和拔掉SIM卡,能阻止上报外,包括关闭“位置服务”、刷机等均无效,这是基带硬件限制。
据苹果宣称,搭载iOS 26.3和苹果自研芯片的设备,将可以限制基带芯片向网络上报精确GNSS数据,暂且听其言观其行吧。
#科普