微软更新服务协议,9/30 生效。
协议的修改中包括但不限于:
* 关于第三方软件的免责条款
* 禁止用户为使用产品而虚构其地理位置 (6 (a))
* 关于各区域内提供服务之法律实体的更新 (10)
* 关于 Copilot 及 AI 功能的条款更新 (13 (q) 及 13 (r))
* 关于索赔期限限制为一年内的条款 (15)
microsoft.com/~
#Microsoft
协议的修改中包括但不限于:
* 关于第三方软件的免责条款
* 禁止用户为使用产品而虚构其地理位置 (6 (a))
* 关于各区域内提供服务之法律实体的更新 (10)
* 关于 Copilot 及 AI 功能的条款更新 (13 (q) 及 13 (r))
* 关于索赔期限限制为一年内的条款 (15)
microsoft.com/~
#Microsoft
👎35🕊11👍1
层叠 - The Cascading
Kizuna AI The Last Live "hello, world 2022" 将于今日北京时间 18 时正式开始。在这之后,绊爱将无限期休止活动。 超过 1000 名 VTuber 将参与此 Live。 - https://www.youtube.com/watch?v=GTa2HxIsBPM - https://live.bilibili.com/1485080 thread: /3213 #KizunaAI #VTuber
新人 VTuber のんちぃ(暂译为小望)于近日开始活动。
大量信息暗示此 VTuber 的中之人为春日望,即初代 Kizuna AI 的中之人。感兴趣的订户可查看 [thread] 中的视频链接以了解 Kizuna AI 的细节。
https://www.bilibili.com/video/av113045804222534/
thread: /3433
#VTuber
大量信息暗示此 VTuber 的中之人为春日望,即初代 Kizuna AI 的中之人。感兴趣的订户可查看 [thread] 中的视频链接以了解 Kizuna AI 的细节。
https://www.bilibili.com/video/av113045804222534/
thread: /3433
#VTuber
Bilibili
超大型新人VTuber的首播!前世是?_哔哩哔哩_bilibili
你是不能望记的人💖🪽💖小望bilibili ▶︎https://space.bilibili.com/526972283Youtube ▶︎https://www.youtube.com/channel/UCnin3au_ZfBGph17cXuHM-wX ▶︎https://x.com/nonchii_dayo💖素材https://youtu.be/KFUSBrPxV_gBV1E7steaE3S, 视频播放量 446316、弹幕量 417、点赞数 26148、投硬币枚数 2227、收藏人数 8416、转发人数…
❤24👎19🤔5
蔡衍明提告台湾维基媒体协会要求允许其编辑自己的维基百科条目;法院判决其提告无理由而驳回。
- 蔡衍明认为自己的维基百科条目侵害其名誉及人格权,要求台湾维基媒体协会允许其编辑此条目。
- 台湾维基媒体协会解释称其并不管理中文维基百科;蔡衍明之编辑行为亦未受到限制。
news.ltn.com.tw/~
#TW #Wikipedia
- 蔡衍明认为自己的维基百科条目侵害其名誉及人格权,要求台湾维基媒体协会允许其编辑此条目。
- 台湾维基媒体协会解释称其并不管理中文维基百科;蔡衍明之编辑行为亦未受到限制。
news.ltn.com.tw/~
#TW #Wikipedia
自由時報電子報
蔡衍明不爽被指「親中」 狀告維基百科協會吞敗 - 社會 - 自由時報電子報
旺中集團董事長蔡衍明不滿中文維基百科網站記載他「為向中國共產黨示好...買下中視、中天、中國時報...並將中時集團改名為旺旺中時...」等語,決定對台灣維基媒體協會提起民事訴訟,請求台北地院命該協會容忍他編輯相關言論,法官審理後認蔡提告無理由,判決敗訴;可上訴。中文維基百科網站記載蔡衍明「為向中國共產黨示好,因此買下中視、中天、中國時報、工商時報,並將中時集團改名為旺旺中時媒體集團」,還指他「蔡衍明買下中時集團後,曾面見國台辦主任王毅,說明收購中時集團的過程」等語。
🐳34👍1
英飞凌的 ECDSA 实现存在侧信道攻击漏洞;影响 Yubikey 5;攻击需要设备物理访问。
- Yubikey 5 系固件版本在 5.7.0 以下的设备及 YubiHSM 2 系固件版本在 2.4.0 的设备受到影响。
- 物理持有受影响设备的骇客或能够恢复设备中的 ECDSA 私钥;完成此攻击可能还需要设备 PIN 等信息。
- 用户可换用基于 RSA 的验证方式以规避此问题,组织则可考虑提高验证频率要求以使用户更早认知到 Yubikey 丢失情形。
https://ninjalab.io/eucleak/
1. yubico.com/~
linksrc: https://t.me/bupt_moe/2237
#Cryptography #Security #Yubikey #Infineon #EUCLEAK
- Yubikey 5 系固件版本在 5.7.0 以下的设备及 YubiHSM 2 系固件版本在 2.4.0 的设备受到影响。
- 物理持有受影响设备的骇客或能够恢复设备中的 ECDSA 私钥;完成此攻击可能还需要设备 PIN 等信息。
- 用户可换用基于 RSA 的验证方式以规避此问题,组织则可考虑提高验证频率要求以使用户更早认知到 Yubikey 丢失情形。
https://ninjalab.io/eucleak/
1. yubico.com/~
linksrc: https://t.me/bupt_moe/2237
#Cryptography #Security #Yubikey #Infineon #EUCLEAK
NinjaLab
EUCLEAK - NinjaLab
Download the Writeup Illustration Romain Flamand – Flamingo Studio – flamandromain@gmail.com Abstract Secure elements are small microcontrollers whose main purpose is to generate/store secrets and then execute cryptographic operations. They undergo the highest…
👍2
Internet Archive 上诉失败:法院判决 IA 的数字借阅行为不符合 fair use。
- Internet Archive 在 2020 年左右发布 Open Library 项目,按纸质书籍的保有数量 1:1 向用户提供数字扫描版本借出服务。
- COVID-19 流行时期间,IA 放宽了借阅政策,发布 National Emergency Library 项目,这个项目取消了 1:1 借出的限制。
- National Emergency Library 项目后,书籍发行商起诉 IA,认为这两个项目侵犯自身著作权。
theverge.com/~
#InternetArchive #Copyright
- Internet Archive 在 2020 年左右发布 Open Library 项目,按纸质书籍的保有数量 1:1 向用户提供数字扫描版本借出服务。
- COVID-19 流行时期间,IA 放宽了借阅政策,发布 National Emergency Library 项目,这个项目取消了 1:1 借出的限制。
- National Emergency Library 项目后,书籍发行商起诉 IA,认为这两个项目侵犯自身著作权。
theverge.com/~
#InternetArchive #Copyright
The Verge
The Internet Archive just lost its appeal over ebook lending
A big blow to the Internet Archive.
👎65🤨3👍1🔥1
层叠 - The Cascading
马来西亚当局要求 ISP 重定向第三方 DNS 流量到自家 DNS。 马来西亚通讯及多媒体委员会 (MCMC) 称此举是为确保用户受到保护。 thesun.my/~ #Malaysia #DNS
theSun
MCMC asked not to proceed with DNS redirection method - Fahmi
He stressed that cybercrime issues, such as gambling, prostitution and pornography websites, demand comprehensive solutions.
🐳29🕊4👎1
层叠 - The Cascading
Unity 发文致歉并宣布收费政策修改。 这篇文章还提到: - Unity Personal 将不收取安装费 (runtime fee)。除此之外,Unity Personal 开发者收入上限将从 $100k 调高至 $200k,也将不会被要求使用 Made with Unity 开屏界面。 - Unity Pro/Enterprise 开发者则将从 2024 年的下个 Unity LTS 版本起被收取安装费,开发者也可以选择缴交 2.5% 的收入作为安装费的替代。安装数和收入均由开发者自行报告。 h…
Unity 费率变动:取消安装费,改而给 Pro/Enterprise 订阅涨价 8% 和 25%。
https://unity.com/blog/unity-is-canceling-the-runtime-fee
thread: /4325
[感谢 夜坂雅 提供此消息。]
#Unity
https://unity.com/blog/unity-is-canceling-the-runtime-fee
thread: /4325
[感谢 夜坂雅 提供此消息。]
#Unity
Unity
Unity is Canceling the Runtime Fee
After deep consultation with our community, customers, and partners, we’ve made the decision to cancel the Runtime Fee, effective immediately.
🐳23👎1
层叠 - The Cascading
由 Mozilla 建立的 Mastodon 实例似乎已经上线,不过目前尚未开放注册。 https://mozilla.social/ #Mozilla #Mastodon
Mozilla 宣布将于 12/17 停运 mozilla.social。
https://mozilla.social/@mozilla/113153943609185249
thread: /4100
#Mozilla #Mastodon
https://mozilla.social/@mozilla/113153943609185249
thread: /4100
#Mozilla #Mastodon
🤨34👍2
#PSA: 立即更新 GitLab!Ruby-SAML 未能正确验证 SAML 签名。
请升级至:
- GitLab: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
- ruby-saml: 1.17.0, 1.12.3
- omniauth-saml: 2.2.0
- GHSA-jw9c-mfg7-9rx2
- about.gitlab.com/~
CVE: CVE-2024-45409
CVSS: 10 (Critical)
linksrc: https://t.me/billchenla/19542
#Security #SAML #GitLab
请升级至:
- GitLab: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
- ruby-saml: 1.17.0, 1.12.3
- omniauth-saml: 2.2.0
- GHSA-jw9c-mfg7-9rx2
- about.gitlab.com/~
CVE: CVE-2024-45409
CVSS: 10 (Critical)
linksrc: https://t.me/billchenla/19542
#Security #SAML #GitLab
Telegram
咕 Billchen 咕 |
CVE-2024-45409 SAML authentication bypass
The Ruby SAML library is for implementing the client side of a SAML authorization. Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker…
The Ruby SAML library is for implementing the client side of a SAML authorization. Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker…
🤔13
研究者发现自己可以注册一些 TLD 的旧 Whois 服务域名,并利用其获得 TLD 下非由自己控制域名的 TLS 证书。
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
watchTowr Labs
We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI
Welcome back to another watchTowr Labs blog. Brace yourselves, this is one of our most astounding discoveries.
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
🤨37🎉5🤔3
[已修复] 研究者发现在已知 Arc 用户 ID 后,可以利用 Arc Boosts 功能在用户访问网站时执行任意代码。
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security
🐳26🤨12👎9🎉3👍1
Unix 打印套件 CUPS 存在任意代码执行漏洞。虽然目前尚无修复版本发布,但各大发行版大多已发布打了修正补丁的版本。
建议用户参考 [1] 在自己的设备上检查
- 文章作者建议立即从计算机移除 CUPS 套件。
- 作者还提到,由于 CUPS 项目消极应对此严重漏洞的报告,作者不得已将其公开。
- 作者还提到,其报告的漏洞信息在另外的站点被泄露,说明 CERT 内部人士可能已被渗透。
CVE: CVE-2024-{47076,47175,47176,47177}
evilsocket.net/~
1. redhat.com/~
EDIT 9/30: 添加关于发行版修复和 systemd 服务检查的信息。感谢订户提出。
#CVE #CUPS
建议用户参考 [1] 在自己的设备上检查
cups-browsed system 服务是否运行;如果正在运行的话,将其停止并禁用。- 文章作者建议立即从计算机移除 CUPS 套件。
- 作者还提到,由于 CUPS 项目消极应对此严重漏洞的报告,作者不得已将其公开。
- 作者还提到,其报告的漏洞信息在另外的站点被泄露,说明 CERT 内部人士可能已被渗透。
CVE: CVE-2024-{47076,47175,47176,47177}
evilsocket.net/~
1. redhat.com/~
EDIT 9/30: 添加关于发行版修复和 systemd 服务检查的信息。感谢订户提出。
#CVE #CUPS
🎉25🤨7👍5❤2🤔2
Cloudflare 推出 security.txt 生成器。
security.txt 是一个用于标示网站安全政策的标准 (RFC9116)。
https://blog.cloudflare.com/security-txt/
1. https://securitytxt.org/
#Cloudflare #Securitytxt
security.txt 是一个用于标示网站安全政策的标准 (RFC9116)。
https://blog.cloudflare.com/security-txt/
1. https://securitytxt.org/
#Cloudflare #Securitytxt
The Cloudflare Blog
Enhance your website's security with Cloudflare’s free security.txt generator
Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard…
🤔15👍11
由朝夕光年运营的《初音未来:缤纷舞台》宣布开放预约。
App Store 显示 [1],游戏预计于 2025/3/27 上线。
- https://pjsk.nvsgames.cn/
- https://pjsk.biligame.com/cywl
- https://www.bilibili.com/video/av113084341489532/
1. https://apps.apple.com/cn/app/_/id1554443522
linksrc: https://t.me/yingyoushadiao/11871
#Nuverse #ProjectSekai
App Store 显示 [1],游戏预计于 2025/3/27 上线。
- https://pjsk.nvsgames.cn/
- https://pjsk.biligame.com/cywl
- https://www.bilibili.com/video/av113084341489532/
1. https://apps.apple.com/cn/app/_/id1554443522
linksrc: https://t.me/yingyoushadiao/11871
#Nuverse #ProjectSekai
pjsk.nvsgames.cn
《初音未来:缤纷舞台》官方网站-风靡全球的角色养成音乐手游
「“世界”,是一个可以找到真正心愿的地方。」 - 初音未来
游戏讲述了五组热爱音乐的少年少女们误打误撞地进入由心愿诞生的虚拟世界,在初音未来等虚拟歌手们的帮助下,找到真正心愿的故事。
游戏中你将邂逅「人气虚拟歌手」,获得「耳目一新的绝佳音游体验」,收听「丰富的人气 VOCALOID 曲库」,享受「视听一体的感官盛宴」,在「虚拟 LIVE」中结识朋友,还有更多惊喜在等你发掘。
快和虚拟歌手们一起,发掘少年少女们的心愿,登上「世界」的舞台吧!
【初音未来携手人气虚拟歌手驾到! 】
和初音未来、镜音连、镜音铃…
游戏讲述了五组热爱音乐的少年少女们误打误撞地进入由心愿诞生的虚拟世界,在初音未来等虚拟歌手们的帮助下,找到真正心愿的故事。
游戏中你将邂逅「人气虚拟歌手」,获得「耳目一新的绝佳音游体验」,收听「丰富的人气 VOCALOID 曲库」,享受「视听一体的感官盛宴」,在「虚拟 LIVE」中结识朋友,还有更多惊喜在等你发掘。
快和虚拟歌手们一起,发掘少年少女们的心愿,登上「世界」的舞台吧!
【初音未来携手人气虚拟歌手驾到! 】
和初音未来、镜音连、镜音铃…
👎30🐳8🤨5
英国移交查戈斯群岛主权至毛里求斯,ccTLD .io 或将被废弃。
- io 是 ISO 分配给英属印度洋领地 (British Indian Ocean Territory, BIOT) 的国家编码; .io 亦被分配为此地区的 ccTLD。
- 由于 IO 在计算机概念中的重要性 (Input/Output),.io 域名被大量科技类企业及站点所使用。
- 在 .su (前苏联) 和 .yu (南斯拉夫) 的废弃乱象后,IANA 出台了更严格的 ccTLD 废弃流程,而这套流程即将适用于 .io [1]。
theverge.com/~
1. every.to/~
#io #ccTLD
- io 是 ISO 分配给英属印度洋领地 (British Indian Ocean Territory, BIOT) 的国家编码; .io 亦被分配为此地区的 ccTLD。
- 由于 IO 在计算机概念中的重要性 (Input/Output),.io 域名被大量科技类企业及站点所使用。
- 在 .su (前苏联) 和 .yu (南斯拉夫) 的废弃乱象后,IANA 出台了更严格的 ccTLD 废弃流程,而这套流程即将适用于 .io [1]。
theverge.com/~
1. every.to/~
#io #ccTLD
The Verge
How a UK treaty could spell the end of the .io domain
Does this mean the end of itch.io and greenhouse.io?
🤔29🕊7🤨5🐳2❤1👍1
#PSA: 请立即升级 - Firefox 远程代码执行漏洞。
请升级至 Firefox 131.0.2、Firefox ESR 128.3.1 或 Firefox ESR 115.16.1。
mozilla.org/~
CVE: CVE-2024-9680
CVSS: (Critical)
#Firefox
请升级至 Firefox 131.0.2、Firefox ESR 128.3.1 或 Firefox ESR 115.16.1。
mozilla.org/~
CVE: CVE-2024-9680
CVSS: (Critical)
#Firefox
Mozilla
Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1
⚡24🔥6
层叠 - The Cascading
美国法院判决称 Google 在搜索和搜索广告领域实施垄断行为。 - 判决中称,Google 付费给 Apple、Mozilla 及各手机厂商使其设置 Google 为默认浏览器的行为非法。判决中还提到,Google 以 Play Store 要挟手机厂商,要求其在系统商设置自家 App 为默认应用。 - Google 回应称「此判决承认 Google 搜索是最好的搜索引擎,但禁止 Google 使其易于使用」。 - Hacker News 有评论称判决其实对 Google 有利,因为即使 Google…
Google 垄断争议:DOJ 正寻求剥离 Chrome、Android 或 Google Play 等。
Google 发文称 [1] 此举将威胁用户隐私及安全性、戕害美国创新,以及损害生产者和消费者的利益。
theverge.com/~
1. blog.google.com/~
thread: /4578
#Google #DOJ
Google 发文称 [1] 此举将威胁用户隐私及安全性、戕害美国创新,以及损害生产者和消费者的利益。
theverge.com/~
1. blog.google.com/~
thread: /4578
#Google #DOJ
The Verge
A Google breakup is on the table, say DOJ lawyers
Google’s a monopoly, so now what?
🎉24🤨6🤔4👎2❤1
层叠 - The Cascading
Twitter(或者说 Elon Musk)将 @x 和 @xAI 两个 ID 强行回收,用于 Twitter 官方及 xAI 公司的账号。两位账号的原用户均称 Twitter 从未与其就此进行任何协商。 https://mashable.com/article/xai-twitter-handle-elon-musk-x #Twitter #xAI
Twitter 强行回收
- 这不是 Elon Musk 时代的 Twitter 第一次强行回收 ID;上次被强行回收的 ID 是
- Elon Musk 在自己的账号描述中写道,「查看
axios.com/~
thread: /4272
#Twitter
@America 用于 Elon Musk 的政治宣传。- 这不是 Elon Musk 时代的 Twitter 第一次强行回收 ID;上次被强行回收的 ID 是
@X 及 @xAI 。 [thread]- Elon Musk 在自己的账号描述中写道,「查看
@America 以了解我为什么支持特朗普竞选总统」axios.com/~
thread: /4272
Axios
Elon Musk uses @america X handle to boost Trump
X owner Elon Musk seized the @America username on the platform, using the account to advocate for Trump against Harris in the 2024 election.
👎85🐳12🤨8🎉2👍1
Asahi Linux 现已提供 Vulkan 等支持,用户可以安装 Steam 并进行游戏。
公告中提到的体验良好的测试游戏包括《控制》、《空洞骑士》、《传送门 2》等。
https://asahilinux.org/2024/10/aaa-gaming-on-asahi-linux/
#AsahiLinux #Gaming
公告中提到的体验良好的测试游戏包括《控制》、《空洞骑士》、《传送门 2》等。
https://asahilinux.org/2024/10/aaa-gaming-on-asahi-linux/
#AsahiLinux #Gaming
asahilinux.org
AAA gaming on Asahi Linux - Asahi Linux
Porting Linux to Apple Silicon
👍31🤨5❤4👎1🎉1