CBP Had Access to More Than 80k Flock AI Cameras Nationwide9 months agohttps://www.404media.co/cbp-had-access-to-more-than-80-000-flock-ai-cameras-nati...CBP搜查了超过8万台Flock ALPR摄像头,范围远超此前已知程度。某地方警局此前并不知晓其数据正与CBP共享。事件曝光后,Flock公司已暂停所有联邦试点项目。早前报道显示地方警局曾为缺乏直接权限的ICE执行Flock系统查询。新数据表明CBP可独立进行Flock系统查询。科罗拉多州媒体披露CBP通过试点项目直接接入Flock后台系统。科罗拉多州拉夫兰市警方将Flock摄像头访问权限直接共享给CBP。Flock公司最初称该数据共享极为罕见,仅限特定试点协议。
WebLibre: The Privacy-Focused Browser9 months agohttps://docs.weblibre.eu/WebLibre 是一款基于 Mozilla Gecko 引擎和 Mozilla Android 组件的隐私导向浏览器。它支持 Firefox 移动端扩展,并强调隐私保护与易用性。目前处于 alpha 测试阶段,更新频繁但可能存在漏洞。仅 F-Droid 版本不依赖谷歌服务框架。
4chan Sues UK Ofcom over Online Safety Act9 months agohttps://www.404media.co/4chan-and-kiwi-farms-sue-the-uk-over-its-age-verificatio...4chan和Kiwi Farms在美国联邦法院起诉英国Ofcom的年龄验证法律诉讼指控Ofcom的罚款与威胁违反美国法律下的言论自由两家机构辩称其总部位于美国,不受英国法律管辖Ofcom的行动凸显了在全球范围执行本地互联网法规的挑战诉讼将Ofcom称为'行业资助的全球审查机构'英国《网络安全法》要求侵入式年龄验证,危及用户隐私无论企业所在地如何,违反该法案都将面临巨额罚款电子前沿基金会批评该法案威胁隐私权与自由表达Ofcom于6月开始调查4chan并实施每日罚款Kiwi Farms同样面临《网络安全法》下的处罚律师Preston Byrne主张客户宪法权利不受外国要求制约Ofcom声明该法案仅保护英国用户而非其他地区用户
Beginning 1 September, we will need to geoblock Mississippi IPs9 months agohttps://dw-news.dreamwidth.org/44429.htmlDreamwidth将于9月1日起封锁密西西比州IP地址,起因是该州法律要求进行年龄验证和获取监护人同意。此次封锁是对密西西比州新规的回应,该法规要求社交媒体平台必须验证用户年龄并为未成年用户获取父母同意。该法律规定每起违规事件将按每位用户处以1万美元罚款,这对Dreamwidth构成生存威胁。Dreamwidth缺乏满足法律要求的资源,使得地理封锁成为唯一可行方案。针对该法律的法律诉讼仍在进行中,平台方对最终胜诉表示信心。受影响的用户可通过VPN访问Dreamwidth,官方推荐隐私友好的ProtonVPN。Dreamwidth对造成的不便致歉,并承诺将在法律允许的第一时间解除封锁。
Chrome VPN Extension with 100k Installs Screenshots All Sites Users Visit9 months agohttps://cyberinsider.com/chrome-vpn-extension-with-100k-installs-screenshots-all...安装量超10万的Chrome扩展程序FreeVPN.One被曝暗中截取用户屏幕画面并回传至远程服务器该插件滥用Chrome特权API静默截图,窃取包括私密聊天记录和金融账户面板在内的敏感数据,并传输至开发者控制的服务器通过内容脚本与后台服务工件的双层架构实施监控,无需用户交互即可自动触发截图行为最新版本采用AES-256-GCM加密配合RSA密钥封装技术对窃取数据进行混淆,大幅增加检测难度开发者辩称截图功能属于'安全扫描',但研究人员发现其无差别抓取包括常规安全网站在内的所有页面数据该插件发布商无实体公司背书,开发者在初步回应研究人员后即中断所有联系尽管存在安全隐患,FreeVPN.One仍以'已验证'状态存在于Chrome应用商店安全专家建议受影响用户立即更换所有通过该插件登录过的账户密码,并选用经过独立审计的VPN服务商
Facial recognition technology: When your face becomes a commodity9 months agohttps://proton.me/blog/blog-facial-recognition-technology人脸识别技术正将面部特征转化为数据点、可追踪ID和商品,且未经用户同意。政府、广告商和科技公司滥用面部数据,侵犯隐私权、知情权和人权。该技术通过扫描面部特征,并与数据库或社交媒体存储图像进行匹配来实现识别。应用场景包括:边境管控、搭载AI虚拟形象的TikTok广告、人脸搜索消费类应用,以及改装智能眼镜。丹麦正修订版权法,赋予个人对AI生成内容中自身肖像的控制权。美国缺乏全面立法,深度伪造法规有限,州级AI监管可能受阻。防护建议:退出人脸识别搜索引擎、清除人物搜索网站个人信息、严格设置社交媒体隐私权限。呼吁完善立法,确保个人(而非企业)掌握自身肖像与身份控制权。Proton主张最小化数据收集以保护隐私,提供Proton Mail加密邮箱和Proton VPN等安全工具。
In-App Browsers: The worst erosion of user choice you haven't heard of (2024)9 months agohttps://open-web-advocacy.org/blog/in-app-browsers-the-worst-erosion-of-user-cho...应用内浏览器损害用户隐私、扼杀创新,并将用户困在应用生态内科技巨头通过应用内浏览器绕过用户默认浏览器选择,破坏网络生态系统Instagram和TikTok等流行应用会向第三方网站注入JavaScript代码,引发隐私担忧iOS和Android系统组件(SFSafariViewController和Android自定义标签页)若正确使用可保护隐私不尊重浏览器选择会抑制浏览器市场竞争与创新解决方案包括强制尊重默认浏览器、更新系统浏览器组件及提供用户退出选项开放网络倡导组织正推动全球性修复方案以确保用户浏览器选择权得到尊重
I'll only buy devices with GrapheneOS9 months agohttps://www.jonashietala.se/blog/2025/08/28/ill_only_buy_devices_with_grapheneos...威权主义在全球范围内抬头,各国政府通过监控社交媒体来压制异议。现代设备常以牺牲用户控制权为代价,将文件迁移至云端并限制应用安装。GrapheneOS提供去谷歌化的安卓兼容系统,具备强大的隐私与安全功能。GrapheneOS的安装和应用兼容性较为直观,但可能需进行一些调整。GrapheneOS无预装冗余软件,赋予用户更多设备控制权。GrapheneOS目前仅支持Pixel设备,硬件选择有限。在评估移动设备时,软件正变得比硬件更为关键。合适的软件能守护隐私安全,而错误的软件会严重拖累设备性能。
Meta might be secretly scanning your phone's camera roll9 months agohttps://www.zdnet.com/article/meta-might-be-secretly-scanning-your-phones-camera...ZDNET的推荐基于大量测试、研究和购物对比ZDNET从可靠来源收集数据,包括供应商列表和客户评论联盟佣金支持ZDNET的运营,但不会影响内容或定价ZDNET编辑团队确保为读者提供准确且公正的内容Meta可能在未经用户明确同意的情况下扫描相册以提供AI建议Facebook的'相册共享建议'功能可在应用设置中关闭Meta声称该功能需用户主动启用,但有用户反映其默认开启该功能目前正在美国和加拿大测试(伊利诺伊州和德克萨斯州除外)隐私问题浮现:Meta会访问并保留用户未发布的照片和视频用户可禁用该功能以阻止Meta分析其相册内容
Draft SMS and iMessage from any computer keyboard9 months agohttps://sethmlarson.dev/draft-sms-and-imessage-from-any-computer-keyboard讨厌在手机键盘上输入长消息。推荐Arteck HB066蓝牙键盘,售价45美元。该工具允许通过任何电脑键盘编写短信/iMessage。在浏览器中编写的消息会生成二维码供手机扫描。电话号码需使用国际区号;iOS设备可能无需添加。收件人可设为'1',通过二维码使用手机通讯录自动补全功能。所有数据仅存于浏览器中;无服务器处理或存储环节。二维码使用qrcode-svg生成(MIT许可证)。互动选择:分享想法、关注博客、浏览存档、探索酷站,或直接出门走走。
Conversations 2.19.4 released – open-source Jabber/XMPP client for Android9 months agohttps://conversations.im/Conversations 是一款专为 Android 5.0+ 智能手机优化的 Jabber/XMPP 客户端,适合移动场景使用。支持文件分享、聊天图片嵌入及保障隐私的端到端加密功能。具备已读回执、消息历史记录加载和多设备同步特性。可轻松创建群聊,自动完成服务器端群组设置及联系人邀请。不依赖谷歌推送系统(GCM),对手机电量影响极小。采用 GPLv3 开源协议,代码托管于 Codeberg 供查阅修改。基于联邦式协议 XMPP,通过 TLS 加密实现安全通信。支持 OMEMO 和 OpenPGP 两种端到端加密协议。兼容多种 XEP 扩展协议,提升可靠性与用户体验。包含流管理、客户端状态指示、消息副本等高级功能。支持头像上传,并集成安卓通讯录(仅限 F-Droid 版本)。通过 Jingle 和 WebRTC 技术实现安全视频通话。提供专业技术支持与定制服务。可在 Google Play 商店购买,含测试版通道。建议用户自建或托管 XMPP 服务器以获得更佳控制权和隐私保护。
You do not need "analytics" for your blog9 months agohttps://www.thisdaysportion.com/posts/contra-analytics/计算机通过将行为和思想转化为可商品化的数据,剥夺了我们的人性。许多工作涉及计算机和数据,由于植根于军事和金融的分析技术,人们在塑造工作方式上几乎没有自由。数字营销使用去人格化的语言,将数据视为营销活动中的武器。网站分析在未经读者同意的情况下进行监控,却几乎无法带来现实益处。了解网站访问者信息(如链接来源)通常并无实际意义。自动化的链接通知可以替代侵入式的数据分析。抵制数据商品化意味着要培育小而有意向的社群,而非受监控的网络。
Hardening Firefox – a checklist for improved browser privacy9 months agohttps://andrewmarder.net/firefox/Firefox因Mozilla的非营利性质及开源承诺,成为注重隐私用户的首选。基础隐私设置包括:将默认搜索引擎改为DuckDuckGo,并启用HTTPS-Only模式。禁用遥测功能,并将增强型跟踪保护设为严格模式以提升隐私安全。推荐安装uBlock Origin、ClearURLs和Privacy Badger等扩展插件,可有效拦截广告与追踪器。高级配置需将Cookie隔离至第一方域名并启用反指纹追踪,但后者可能导致部分网站功能异常。
Meta and Yandex Disclosure: Covert Web-to-App Tracking via Localhost on Android9 months agohttps://localmess.github.io?newMeta和Yandex通过Android本地主机套接字追踪用户,将网页浏览数据与原生应用标识符关联。该追踪手段可绕过隐身模式、清除Cookie及Android权限等隐私保护措施。Meta的Pixel脚本通过WebRTC向监听特定UDP端口的Facebook/Instagram应用发送_fbp Cookie。Yandex Metrica脚本向本地主机端口发送HTTP/HTTPS请求,收集设备ID并与网页活动关联。两种方法均未经用户同意即可运作,甚至在未设置Cookie同意表单的网站上亦然。恶意应用可通过监听Meta和Yandex使用的相同本地端口窃取用户浏览记录。Meta Pixel已嵌入超过580万个网站,Yandex Metrica覆盖近300万个站点。Chrome、Firefox和Brave等浏览器已实施或正在开发防御机制应对此类追踪。Meta和Yandex均未公开相关技术文档,引发透明度质疑。目前该追踪仅影响全球Android用户,尚未发现iOS等其他平台存在类似滥用行为。
Show HN: Anonymous Age Verification9 months agohttps://gist.github.com/JWally/bf4681f79c0725eb378ec3c246cf0664利用银行现有KYC机制实现零存储、保护隐私的年龄验证,无需透露用户身份或访问站点信息。银行签署年龄声明而非身份信息;商户验证令牌时不存储个人数据。用户通过复制/粘贴值在商户与银行间充当传输层,确保无重定向或服务器间调用。该框架专为匿名年龄验证设计,利用现有KYC机制,避免个人信息泄露、繁琐证件上传或行为追踪。流程包含商户随机数、WebAuthn密钥生成、银行认证及无用户数据存储的令牌验证。基于HMAC随机数和WebAuthn的无状态商户验证,无需数据库支持。短期有效令牌与一次性密钥增强隐私保护,防止跨站点关联。可选功能如IP前缀或UA哈希可加强防重放攻击,但会轻微影响隐私性。集成Passkey实现初次验证后一键返回,优化用户体验。安全措施包括令牌有效期控制、WebAuthn用户验证断言及可信银行JWKs,防范令牌重放或盗用等威胁。开放社区贡献,包括参考实现、开发库及威胁建模等资源。
Pong Clock9 months agohttps://bigjobby.com/pong/?v=2.0/可通过PayPal进行自定义金额的捐赠。通过PayPal实现安全交易流程。使用Cookie以提升用户体验、进行网站分析及个性化服务。隐私政策提供数据使用详情,可供查阅。
Google Will Require Developer Verification9 months agohttps://hackaday.com/2025/08/26/google-will-require-developer-verification-even-...谷歌将要求所有在认证安卓设备上的应用进行开发者验证,包括侧载应用和来自F-Droid等替代商店的应用。验证流程需提交政府身份证件和联系方式,类似当前谷歌应用商店的要求。该变更将于2025年10月开始试点,预计2027年全球推行。批评者认为此举将终结安卓作为iOS开放替代系统的地位,损害业余开发者和开源社区利益。有人建议使用去谷歌化的安卓ROM及Linux、Matrix、Mastodon等开源替代方案。与Linux发行版模式进行对比,指出中央代码库维护者瓶颈等问题。引发对隐私保护、政府监控及数字自由侵蚀的担忧。讨论了使用Termux或创建自定义代码库等变通方案,但指出存在局限性。质疑新规对盗版、老旧应用及独立开发者的影响。科技公司收紧对设备和软件控制的行业趋势遭到批评。
Unfortunately, the ICEBlock app is activism theater8 months agohttps://micahflee.com/unfortunately-the-iceblock-app-is-activism-theater/ICEBlock是一款iPhone应用程序,旨在匿名举报5英里范围内的ICE(移民海关执法局)目击事件,并向用户推送附近的相关报告。该应用下载量已突破百万,但因缺乏验证机制而面临批评,导致误报和潜在滥用问题。开发过程中未咨询移民维权组织,ICEBlock可能无法有效帮助面临驱逐风险的人群。开发者Joshua Aaron提出的隐私声明缺乏透明度和技术依据,引发对数据安全的担忧。应用的闭源性及开发者拒绝与安全专家合作的态度进一步削弱了公众信任。ICEBlock中的虚假报告可能引发不必要恐慌,而对移民社区而言,经过核实的报告和法律援助更为有益。Joshua Aaron对'权证金丝雀'和'通过隐匿实现安全'等安全概念的误解,暴露了应用开发方法的缺陷。尽管初衷良好,但ICEBlock当前版本若不做重大改进,可能会弊大于利。
What's New with Firefox 1428 months agohttps://www.mozilla.org/en-US/firefox/142.0.1/whatsnew/?oldversion=139.0.4&utm_m...Firefox在侧边栏推出垂直标签页功能,减少视觉干扰提升专注度Firefox Relay生成安全虚拟邮箱地址,有效减少垃圾邮件并保护匿名性链接预览功能让用户无需打开网页即可查看页面内容快照AI增强型标签页分组可自动归类相似标签并智能命名,所有处理均在本地完成保障隐私个性化设置选项包含Firefox壁纸、自定义配色及新标签页个人照片隐私标签页自动锁定,需通过生物识别或PIN码验证才能重新访问Firefox现支持网页多语言翻译功能密码管理器可生成高强度密码并安全存储,支持跨设备同步iOS版Firefox采用精简界面设计,升级深色模式优化浏览体验支持扫码下载Firefox移动版,实现随时随地专注浏览
Passkeys and Modern Authentication8 months agohttps://lucumr.pocoo.org/2025/9/2/passkeys/行业正从用户名/密码转向通行密钥,虽具潜在优势但也存在隐忧。通行密钥的认证系统可能导致供应商锁定并限制验证方式,政府电子身份证系统已有先例。苹果和谷歌未在消费者通行密钥中公开认证数据,但允许硬件令牌和企业场景使用。私钥无法在认证密码管理器间迁移,增加了生态系统转换的复杂性。通行密钥常被自动启用(如亚马逊案例),有时缺乏明确用户授权。跨生态系统迁移(如苹果转安卓)会因通行密钥依赖而变得困难。谷歌账户注销政策可能导致第三方凭证永久丢失。当家庭成员丧失行为能力或去世时,复杂认证系统会加剧访问权限问题。由于OAuth和通行密钥依赖,从零构建或使用开源项目变得更困难。对科技巨头的深度依赖引发个体自主权与数据访问权丧失的担忧。