Hasty Briefsbeta

全部标签

#security

共 683 篇

双语

PyPI Prohibits inbox.ru email domain registrations
10 months ago
- PyPI 已因垃圾邮件活动禁止了 inbox.ru 邮箱域名。
- 该活动涉及超过250个新用户账户和1,500个项目，导致混淆和潜在安全风险。
- 所有受影响的项目和账户已被移除或禁用。
- PyPI 使用一次性邮箱域名列表并维护内部阻止列表以防止滥用。
- 垃圾邮件活动时间线显示，几天内用户账户和项目上传数量激增。
- 创建的项目不含代码，但可能是为未来攻击做准备。
- 一位用户在使用AI模型推荐不存在的项目（'slopsquatting'）后报告了该问题。
- PyPI 建议用户在安装前验证项目名称并举报可疑活动。
- 若邮箱服务商改进滥用防护措施，可能会解除对 inbox.ru 的封禁。
Upcoming coordinated security fix for all Matrix server implementations
10 months ago
- Element服务器团队与Matrix.org基金会安全团队过去六个月针对'状态重置'问题开展的重大研究项目。
- 发现两处高危协议漏洞（CVE-2025-49090及另一个尚未分配CVE编号的漏洞）。
- 协调所有Matrix服务器实现版本的安全更新计划于2025年7月22日星期二UTC时间17:00发布。
- 通过矩阵提案（MSCs）修复漏洞，将导致非常规的Matrix规范版本（1.16）及新房间版本（12）发布。
- 房间管理员应参照以往安全相关升级方案，适时安排房间版本更新。
- 客户端开发者需查阅MSC4291提案，了解新房间ID格式及房主权限变更内容。
- Matrix.org基金会寻求捐款支持其使命，包括维护Matrix技术规范及数字隐私权保护工作。
Chrome's SSL Bypass Cheatcode
10 months ago
- Chrome允许用户在SSL错误页面输入'thisisunsafe'来绕过安全警告
- 绕过代码历经多次变更：2014年用'danger'，2015年改为'badidea'，2018年变成'thisisnotsafe'，最终演变为'dGhpc2lzdW5zYWZl'（即'thisisunsafe'的base64编码）
- 这些变更反映了对绕过功能被滥用的日益关注
- Chrome为开发者提供了更安全的替代方案来绕过SSL错误，例如使用chrome://flags或命令行参数
- 当前绕过代码仍以base64形式存在于Chrome中，但官方建议使用更安全的替代方案而非该功能
Firefox-patch-bin, librewolf-fix-bin AUR packages contain malware
10 months ago
- 7月16日有人上传了恶意AUR软件包（librewolf-fix-bin、firefox-patch-bin、zen-browser-patched-bin）
- 这些软件包包含来自GitHub仓库的远程访问木马（RAT）
- Arch Linux团队已于7月18日移除相关软件包
- 建议安装过这些软件包的用户立即卸载并检查系统是否遭到入侵
Evolution Mail Users Easily Trackable Part 2
10 months ago
- Evolution Mail存在DNS预取漏洞，会泄露用户的邮件打开时间及DNS解析器IP。
- 另一个'link rel=preconnect'漏洞会暴露终端用户的IP地址，危害更严重。
- Email Privacy Tester已针对此问题新增测试项。
- Evolution Mail项目组驳回了该问题，拒绝在用户界面添加警告提示。
- 作者批评项目组处理漏洞不当，辜负了用户对隐私保护的期待。
- 项目组因感到被冒犯而锁定了漏洞讨论帖。
eslint-config-prettier npm package compromised
10 months ago
- 关于eslint-config-prettier npm软件包供应链安全事件的调查报告
- 维护者JounQin确认钓鱼攻击导致多个流行软件包版本被篡改
- 受影响软件包及版本包括eslint-config-prettier（8.10.1、9.1.1、10.1.6、10.1.7）、eslint-plugin-prettier（4.2.2、4.2.3）等
- 恶意版本发布时未在GitHub仓库同步代码变更
- 被篡改版本会安装影响Windows用户的DLL文件
- Dependabot和Renovate Bot等自动化工具已将项目升级至存在漏洞的版本
- 建议措施：锁定安全版本、检查近期依赖项更新记录、审计CI/CD流水线
- 当前调查重点：篡改内容分析、攻击途径溯源及影响范围评估
The new Beeper – mostly on-device withe full E2EE
10 months ago
- Beeper正在推出设备端直连功能以增强安全性，支持直接连接消息网络并在兼容平台实现端到端加密。
- 现有Beeper Cloud用户无需任何操作，该服务将逐步停止维护。
- Beeper Plus是起价9.99美元/月的新高级套餐，支持多账号、定时发送、消息提醒、无痕模式、语音转文字及自定义应用图标等功能。
- Beeper Plus Plus起价49.99美元/月，为高级用户提供不限数量的账号支持。
- 早期Beeper用户可免费获得12个账号和定时发送功能，元老级用户更可永久免费使用所有Beeper Plus特性。
SecretSpec: Declarative Secrets Management
10 months ago
- 宣布推出SecretSpec用于声明式密钥管理，解决.env文件存在的问题
- .env文件的痛点：解析规则不明确、需手动集成密码管理器、存在供应商锁定风险且缺乏加密
- 现有解决方案（如dotenvx或sops）存在单密钥管理难题和信任问题
- 大团队使用OpenBao等复杂方案，而小团队缺乏合适选择
- SecretSpec采用关注点分离设计：WHAT（所需密钥）、HOW（要求规范）、WHERE（存储位置）
- 示例场景：开发者可使用不同提供商（Keychain/GNOME密钥环/.env文件）而无需修改代码
- 提供本地开发、CI/CD（GitHub Actions）和生产环境（Fly.io）的集成方案
- Rust SDK提供类型安全的密钥访问，具备编译时保障和可选密钥处理机制
- 未来计划推出Python/JavaScript/Go等多语言SDK及增强功能
- 欢迎通过Discord或GitHub提交反馈，共同改进密钥管理实践
Common Expression Language – Fast, safe expression language
10 months ago
- 通用表达式语言（CEL）是一种快速、便携且安全的表达式语言。
- CEL专为嵌入具有特定扩展功能的应用程序而设计。
- 非常适合在性能关键型应用中扩展声明式配置。
- 典型用例包括列表过滤器、验证约束和授权规则。
- CEL能安全快速地进行求值，适合高频评估场景。
- 最适合表达式频繁求值但很少修改的应用程序。
- 示例用例：根据安全策略评估HTTP请求。
- 可查阅CEL概述和语言定义以进一步探索。
OSS Rebuild: open-source, Rebuilt to Last
10 months ago
- 宣布OSS Rebuild项目，旨在通过重现上游制品来增强对开源软件包生态系统的信任。
- 项目特性包括自动化生成构建定义、为软件包生成SLSA溯源数据、构建可观测性工具及基础设施定义。
- 致力于解决开源安全领域的挑战，如软件供应链攻击和透明度需求问题。
- 旨在赋能安全社区，使其对供应链拥有深度理解和控制能力。
- 运作方式包括重建软件包、与上游制品比对差异，并通过SLSA溯源发布构建定义。
- 核心能力涵盖检测未提交的源代码、构建环境被入侵迹象及隐蔽后门程序。
- 企业用户可获得增强的元数据、强化的SBOM清单和加速的漏洞响应等收益。
- 发布者能获得强化软件包可信度、历史包追溯能力及降低CI安全敏感度等优势。
- 提供基于Go语言的CLI工具，用于访问验证凭证、获取SLSA溯源数据和重建软件包。
- 诚邀开发者、企业及安全研究人员共同参与守护开源生态系统安全。
NPM stylus package contained malicious code and was removed from the registry
10 months ago
- 该软件包包含恶意代码。
- 已被npm安全团队从注册表中移除。
- 已发布占位包以防止对用户造成进一步影响。
- 更多信息请访问：www.npmjs.com/advisories?search=stylus。
The Promised LAN
10 months ago
- The Promised LAN是一个封闭的、仅限会员参与的网络，自2021年起持续运营全天候局域网聚会。
- 《宣言》阐述了该局域网的社会技术动态与目标。
- 骨干网络通过IPSec链路连接各局域网段，使用专用/24地址段并通过BGP协议进行路由。
- DNS系统采用自定义顶级域名(.tpl)，根服务器分散部署在不同局域网以确保冗余性。
- PKI体系包含生命周期为三年的x509证书颁发机构，采用ECDSA P-384椭圆曲线和SHA384签名算法。
- 证书颁发通过DNS TXT记录和SSH认证进行管理，兼顾安全性与操作简便性。
A Lockpicking Robot That Can Sense the Pins
10 months ago
- 开发一种通过细金属丝、称重传感器和伺服电机感知弹子阻力的开锁机器人
- 技术难点在于识别绑定弹子和安全弹子，这导致多数机器人只能暴力破解组合
- 改进建议包括在撬针上加装称重传感器，或借鉴李氏解码工具的设计理念
- 随着技术进步，开锁机器人可能逐渐削弱所有锁具的安全性
- 破坏性方法（如破窗或使用酸蚀）通常比技术开锁更快速高效
- 历史背景：'卫星'工具最初是犯罪发明，后被安防专家逆向工程破解
- 现有机器人受限于伺服精度和金属丝导向问题，影响力的有效传递
- 提出利用超声波振动与声学分析来更精准感知弹子运动
- 声波探测技术在锁具破解外的潜在应用，例如材料缺陷检测
- 弹簧张力系数(K值)均匀的假设可能不成立，需预先进行可行性测试
Jitsi privacy flaw enables one-click stealth audio and video capture
10 months ago
- Jitsi存在隐私漏洞，攻击者可在未经用户同意的情况下窃取音视频数据。
- 攻击者可通过后台重定向用户至Jitsi会议链接实施利用。
- 若用户曾授权麦克风/摄像头权限，攻击将无需交互即可静默运行。
- 利用`window.open`技巧可隐藏Jitsi窗口，使攻击完全不可见。
- Jitsi声称此为功能特性，尽管存在安全风险仍拒绝修复。
- 时间线显示Jitsi漠视安全警告，超一个月未予回应。
Vet is a safety net for the risky curl | bash pattern
10 months ago
- vet是一款命令行工具，旨在通过检查、审查和需经批准后再执行的方式，安全处理高风险的'curl | bash'模式。
- 它提供安全的工作流程：获取脚本、差异对比与审查、代码检查（使用shellcheck工具）、以及执行前的二次确认。
- 推荐通过Homebrew安装，但也支持手动安装以符合vet安全至上的设计原则。
- 基础用法包含审查脚本URL，支持向脚本传递参数或在非交互式环境中强制执行的选项。
- vet基于现代bash特性构建以确保安全性和健壮性，因此在精简环境中会显式依赖bash。
- 项目鼓励贡献代码，提供包括分支管理、功能开发、测试和提交PR的完整指南。
- 该项目采用MIT许可证，并通过贡献者名单记录社区成员的付出。
Graphene OS: a security-enhanced Android build
10 months ago
- GrapheneOS是一个安全增强型Android系统，最初名为CopperheadOS，后因创始人纠纷更名重建。
- 它基于安卓开源项目(AOSP)进行深度修改，专注于提升系统威胁防御能力和用户隐私保护。
- 目前仅支持Google Pixel 6至9系列设备，对Pixel 4/5提供有限支持，特别强调硬件内存标记等安全特性。
- 提供网页端和命令行两种安装方式，其中网页安装法可靠性更佳。
- 系统采用极简设计，预装Vanadium浏览器（强化版Chromium分支）和隐私导向相机应用，默认不包含谷歌套件。
- 通过沙盒化Google Play实现应用兼容性，应用运行时无需特殊权限，但部分应用可能因完整性检查失效。
- 安全功能包括：增强型应用权限管理、存储/联系人访问范围限制、紧急PIN码数据擦除机制及高频次更新。
- 项目治理透明度较低，虽由基金会支持开发，但除创始人Daniel Micay外，鲜少公开运营细节或贡献者信息。
- 用户反馈普遍肯定其安全性和隐私控制，不过某些专业功能仍需依赖专有应用实现完整体验。
AIDE – a file and directory integrity checker
10 months ago
- AIDE（高级入侵检测环境）是一个文件与目录完整性检查工具。
- 它通过配置文件规则创建数据库，使用多种消息摘要算法来验证文件完整性。
- 支持的算法包括md5、sha1、rmd160、tiger、crc32、sha256、sha512、whirlpool，并通过libmhash支持更多算法。
- 可检查文件属性如类型、权限、inode、用户ID、组ID、大小、修改时间等。
- 若编译时启用，支持Posix ACL、SELinux、XAttrs及扩展文件系统属性。
- 特性包括纯文本配置文件、强大的正则表达式支持、gzip压缩及独立静态二进制文件。
- 当前稳定版本为0.19.1，支持所有现代Unix系统。
- 源码压缩包和git标签由维护者Hannes von Haugwitz进行GnuPG签名。
- 许可证：GPL-2.0。
- 通过邮件列表、IRC（irc.oftc.net的#aide频道）和GitHub issues提供支持。
- 最初由Rami Lehti和Pablo Virolainen于1999年开发，现由Hannes von Haugwitz维护。
The perils of the real client IP (2022)
10 months ago
- 出于安全考虑，应使用X-Forwarded-For（XFF）标头中最右侧的IP地址，以避免欺骗行为。
- 避免使用XFF标头中最左侧的IP地址，因为它极易被伪造，安全性不可靠。
- 选择最右侧IP时，务必确保使用的是XFF标头的最后一个实例。
- 特殊标头如X-Real-IP或True-Client-IP可能有用，但依赖于正确的反向代理配置。
- 切勿信任非自身反向代理设置的标头，以防止欺骗漏洞。
- 许多速率限制器实现容易受到欺骗攻击，导致绕过限制和内存耗尽攻击。
- 始终验证代码和基础设施中'真实客户端IP'的获取方式。
- 除非由自身基础设施控制，否则X-Forwarded-For等标头不可信。
- 多个XFF标头会使IP提取复杂化，需谨慎合并处理。
- XFF标头中的私有IP应被忽略，因其无法用于识别客户端。
- RFC 7239的Forwarded标头是比XFF更官方但采用较少的替代方案，存在类似安全问题。
- 若未更新IP派生逻辑，网络架构变更可能引入漏洞。
- 在首个代理处覆盖XFF标头可简化信任模型，但可能助长不良实践。
- 考虑使用由首个代理设置的自定义单IP标头，以实现更可靠的客户端IP识别。
Instrumenting Next.js with runtime secret injection
10 months ago
- Next.js 14 引入了 instrumentation 特性，允许通过 `instrumentation.ts/js` 文件在应用启动时运行自定义逻辑
- instrumentation 文件中的 `register()` 函数非常适合初始化日志、遥测或运行时密钥注入等服务
- 通过 instrumentation 进行运行时密钥注入可以将密钥排除在代码、版本控制和构建产物之外，从而增强安全性和可移植性
- 在 Next.js 中使用 `.env` 文件管理密钥存在安全风险和扩展性差等缺点，使用密钥管理工具是更好的替代方案
- 演示配置包括创建 `instrumentation.ts` 文件从 Phase 等服务获取密钥，并将其注入全局作用域 (`globalThis.secrets`)
- 可以通过 `globalThis` 全局访问密钥，或使用受控的模块本地缓存以提高安全性
- 客户端环境变量应避免使用 `NEXT_PUBLIC_` 前缀，而应通过服务器向客户端组件传递 props 或使用上下文提供器
- 这种方法确保密钥仅在 Node.js 运行时可用，不会不必要地暴露给客户端
Eslogger: Trace filesystem events using the Mac OS X endpoint security framework
10 months ago
- 在macOS上使用dtrace或dtruss（类似于Linux的strace）需要禁用系统完整性保护（SIP）。
- 苹果的端点安全框架（Endpoint Security Framework）提供了无需禁用SIP即可监控系统事件的工具。
- eslogger是一个命令行工具，能以JSONL格式监控特定系统事件，并可配合jq工具进行数据处理。
- 通过Homebrew可安装FileMonitor和ProcessMonitor工具，用于详细的文件和进程监控。
- Crescendo和Red Canary Mac Monitor是基于端点安全框架的图形界面应用程序，专用于系统监控。

About|Login

#security

PyPI Prohibits inbox.ru email domain registrations

Upcoming coordinated security fix for all Matrix server implementations

Chrome's SSL Bypass Cheatcode

Firefox-patch-bin, librewolf-fix-bin AUR packages contain malware

Evolution Mail Users Easily Trackable Part 2

eslint-config-prettier npm package compromised

The new Beeper – mostly on-device withe full E2EE

SecretSpec: Declarative Secrets Management

Common Expression Language – Fast, safe expression language

OSS Rebuild: open-source, Rebuilt to Last

NPM stylus package contained malicious code and was removed from the registry

The Promised LAN

A Lockpicking Robot That Can Sense the Pins

Jitsi privacy flaw enables one-click stealth audio and video capture

Vet is a safety net for the risky curl | bash pattern

Graphene OS: a security-enhanced Android build

AIDE – a file and directory integrity checker

The perils of the real client IP (2022)

Instrumenting Next.js with runtime secret injection

Eslogger: Trace filesystem events using the Mac OS X endpoint security framework