We installed a single turnstile to feel secure3 months agohttps://idiallo.com/blog/installed-single-turnstile-for-security-theater被大公司收购后,安全问题成为首要任务。包括电梯和停车场在内的各处都安装了门禁读卡器。员工常遇到忘带门禁卡被锁在门外的困扰。旋转闸门的启用导致排长队和通勤延误。电梯加装的门禁系统使混乱加剧,通勤时间超过一小时。一名软件工程师发现Jira凭证存储在cookie中的安全漏洞。真正的安全措施如规范认证被忽视,反而采用显眼却无效的安全表演。管理层为闸门安装庆功,却对关键漏洞视而不见。
A bug is a bug, but a patch is a policy: The case for bootable containers3 months agohttps://tuananh.net/2026/02/20/patch-is-policy/传统合规要求中对CVSS评分7.0以上漏洞需在30天内打补丁的规则已失效Linux内核CNA现在几乎为每个错误修复分配CVE编号却不提供CVSS评分,导致优先级难以判定企业面临两难选择:人工分类(精准但缓慢)还是快速补丁(高效但风险高)Chainguard方案通过最小化攻击面实现'零CVE'状态,但可能引发更新疲劳问题bootc引入可启动容器模型,将整个操作系统视为容器镜像进行原子化更新bootc的原子更新机制支持失败回滚,降低了快速打补丁的关联风险精简版bootc镜像支持精准漏洞扫描,仅检测镜像内实际存在的组件bootc实现操作系统更新自动化,消除'重启焦虑',使补丁成为无形自动化流程安全策略必须从争论CVSS评分转向视每个错误修复为相关威胁,并自动化补丁流程bootc代表着企业安全的未来——将补丁更新作为策略集成到交付流水线中
HackEurope 2026: A short rant on AI and hackathons3 months agohttps://duti.dev/blog/2026/spr/HackEurope 2026混乱但提供了关键经验前端展示至关重要,功能常被忽视选择正确赛道很重要,赞助商可能不会覆盖所有分场用简单方式解释项目很关键——时间有限且评委可能非技术背景紧跟趋势(尤其是加入AI元素)能提高胜算作者开发了安全包注册中心,用于检测npm包中的恶意行为最小可行产品采用eBPF收集行为数据,结合AI/历史数据标记异常未来规划包括可复现构建、多生态支持及HTTPS流量解密黑客马拉松过度依赖AI会导致同质化,扼杀创意和原创思想许多项目重复雷同,受限于AI能力而非真正创新
Our Warrant Canary3 months agohttps://joplinapp.org/news/20260223-warrant-canary/Joplin已引入公开签名的权证金丝雀机制。权证金丝雀用于确认截至声明日期,未收到任何秘密法律命令、禁言令或后门植入要求。该金丝雀声明通过专用OpenPGP密钥进行加密签名。每60天更新一次,并以纯文本形式发布以供验证。若在有效期内未更新,则视为金丝雀声明失效。当前金丝雀声明可通过提供的GitHub链接查看与核验。此举提升了透明度,可及时向社区通报法律状态变化。
NPM install is stealing your passwords – I built a tool to catch it3 months agohttps://westbayberry.com/product行为供应链智能(Behavioral Supply Chain Intelligence)可透视CI流水线中的依赖项行为每个软件包变更都会获得风险评分和行为报告,标记可疑包通过可配置阈值、白名单和审计追踪确保合规性依赖项更新可能合并未经审查的零日攻击(无CVE编号)解决方案提供自动化治理(通过/警告/拦截阈值+审计追踪)通过简单YAML文件或npm安装,支持GitHub Actions/GitLab CI/Jenkins等检测准确率经11,000+真实软件包验证(99.95%精确率,99.7% F1值)四步流程:PR提交→扫描→风险判定→安全合并26个行为检测器分析软件包恶意模式功能涵盖CI强制检查、可配置策略及私有源代码扫描
I think WebRTC is better than SSH-ing for connecting to Mac terminal from iPhone3 months agohttps://macky.dev通过原生Shell支持(Zsh、Bash)从iPhone访问Mac终端集成Claude Code(Anthropic)和Codex(OpenAI)提供编程辅助安全措施包括:端到端加密WebRTC、双重身份验证、设备白名单及隐私盲信令定价:基础版(免费,功能受限)|专业版(29美元终身,全功能解锁)用户评价强调便捷性、即时连接及应用整合优势
Cell Service for the Fairly Paranoid3 months agohttps://www.cape.co/Cape提供隐私至上的移动服务,首月试用价格为30美元。原则包括最小化数据收集、不出售数据及提供高级安全功能。与Proton合作隐私服务,并支持电子前哨基金会(EFF)和GrapheneOS。提供覆盖全国的4G/5G网络,专注于隐私与安全。订阅包含ID轮换、副号码和加密短信等功能。提供家庭套餐,可能将月费降至0美元。获隐私专家信任并被主流媒体报道。透明定价99美元/月,含所有税费。兼容多种设备并支持号码转移。测试阶段结束,Cape现已正式上线多项隐私功能。
Curl Security Moves Again3 months agohttps://daniel.haxx.se/blog/2026/02/25/curl-security-moves-again/curl将于2026年3月1日起重新使用Hackerone平台提交安全漏洞报告,此前尝试使用GitHub的方案未能成功。curl安全团队发现GitHub平台缺少漏洞报告的关键功能,包括:私密团队评论、可定制的CVE字段、无效报告的规范披露机制。安全报告系统的核心需求包括:私密提交、公开披露、讨论功能以及封禁滥用的能力。GitHub的主要缺陷体现在:不安全的邮件通知、无法编辑CVE编号、缺少标签系统、不支持团队私密评论。邮件处理报告存在诸多困难,包括难以追踪未解决问题和披露无效报告。GitLab和Codeberg等其他平台同样缺乏专业的安全报告功能,无法满足curl的需求。
2026 Acute Pulmonary Embolism Guideline-at-a-Glance - PubMed3 months agohttps://pubmed.ncbi.nlm.nih.gov/41729142/美国政府官方网站使用.gov或.mil域名。在分享敏感信息前,请确认网站是安全的(https://)。安全网站会对数据进行加密并安全传输。
I rendered 1,418 confusables over 230 fonts. Most aren't confusable to the eye3 months agohttps://paultendo.github.io/posts/confusable-vision-visual-similarity/工具'confusable-vision'的开发目的是通过渲染并比较230种字体中的Unicode混淆对,来测量它们的视觉相似度。96.5%的混淆对视觉相似度得分较低,但有82对在至少一种字体中像素级相同,存在高风险。西里尔字母同形符尤其危险,在许多标准字体中与拉丁字母像素级相同,导致难以区分。该研究使用SSIM(结构相似性指数)进行确定性和可复现的字形比较,不依赖机器学习。字体选择显著影响混淆风险,某些字体如Phosphate和Copperplate因几何设计风格具有较高危险率。研究结果表明,混淆检测系统应考虑渲染上下文和特定字体的风险,而非仅依赖Unicode数据。该工具是开源且可复现的,提供详细文档和评分数据以供进一步分析。
Respecting maintainer time should be in security policies3 months agohttps://sethmlarson.dev/respecting-maintainer-time-should-be-in-security-policie...生成式AI工具导致漏洞报告篇幅变长,使开源维护者的分类工作更加困难无论漏洞是否真实存在,维护者都认为冗长的报告既耗时又带来压力Flask和Pallets维护者David Lord强调安全报告应当尊重维护者的时间建议:安全政策应要求初始报告简明扼要以节省维护者时间示例政策要求可不直接提及LLM或生成式AI不符合政策的报告可用预设模板退回提交者漏洞报告者常提供过多细节以减少反复沟通,但应适应项目需求多数报告者出于善意;维护者执行政策时应保持灵活判断
LM Link: Use local models on remote devices, powered by Tailscale3 months agohttps://tailscale.com/blog/lm-link-remote-llm-accessLM Link是与LM Studio的合作项目,用于在设备间安全共享大型语言模型。支持通过加密连接从任何地点远程访问模型。可通过LM Studio桌面应用或终端命令快速配置。让团队无需暴露于公共互联网即可共享大型模型。基于tsnet技术构建,确保点对点通信的安全可审计和加密传输。个人用户免费使用,同时提供企业级付费方案。
Subacute Sclerosing Panencephalitis after Measles Infection - PubMed3 months agohttps://pubmed.ncbi.nlm.nih.gov/41728896/gov域名表示美国政府的官方网站联邦政府网站通常以.gov或.mil结尾在分享敏感信息前请确认网站是安全的(https://)安全网站会对数据进行加密传输
New AirSnitch attack breaks Wi-Fi encryption in homes, offices, and enterprises3 months agohttps://arstechnica.com/security/2026/02/new-airsnitch-attack-breaks-wi-fi-encry...Wi-Fi是现代生活不可或缺的部分,自20世纪90年代末以来全球出货量超480亿台设备,预计用户数达60亿。Wi-Fi安全性历来薄弱,既继承了以太网的漏洞,又易受无线电信号拦截影响。早期公共Wi-Fi网络易受ARP欺骗等攻击,这促使了加密保护措施的推行。新研究揭示网络协议栈底层的漏洞,使得加密机制无法有效实现客户端隔离。AirSnitch攻击利用这些缺陷,影响Netgear、D-Link、Ubiquity、思科等主流品牌路由器,以及搭载DD-WRT和OpenWrt系统的设备。
iPhone and iPad approved to handle classified NATO information3 months agohttps://www.apple.com/newsroom/2026/02/iphone-and-ipad-approved-to-handle-classi...iPhone和iPad成为首批获准处理北约机密信息的消费级设备该认证基于德国政府严格的安全测试及对北约信息保障要求的合规性验证设备无需特殊软件或设置即可处理北约限制级及以下机密信息苹果内置安全功能(包括加密技术和面容ID)满足政府与国际最高安全标准iOS 26和iPadOS 26系统已列入北约信息保障产品目录德国联邦信息安全局(BSI)开展全面技术评估以确保符合北约国家安全要求苹果的安全方案被公认为革新了传统安全交付模式
Hydroph0bia – a fixed SecureBoot bypass for UEFI firmware based on Insyde H2O3 months agohttps://coderush.me/hydroph0bia-part3/Hydroph0bia (CVE-2025-4275)漏洞修复分析目前仅戴尔发布了修复Hydroph0bia漏洞的BIOS更新(禁运期后)联想和Framework确认漏洞存在但修复时间表延迟或未明确Insyde的修复方案涉及BdsDxe、SecurityStubDxe和SecureFlashDxe驱动的修改SecureFlashDxe驱动获得重大更新,包括LibSetSecureVariable调用和VariablePolicy注册机制当前修复方案理论上有效但仍存在物理攻击(如NVRAM篡改)风险Insyde曾考虑更彻底的修复方案,但因回归测试问题选择临时解决方案特别致谢戴尔和Insyde团队的合作与快速响应后续计划对Acer Swift Go 16进行Insyde H2O平台安全性的深入分析
Linux explores new way of authenticating developers and their code3 months agohttps://www.zdnet.com/article/linux-kernel-maintainers-new-way-of-authenticating...Linux内核正在采用名为Linux ID的新型去中心化身份验证系统,以取代过时的基于PGP的验证方式。Linux ID利用加密证明和去中心化标识符(DID)来验证开发者身份及其代码,从而提升安全性和隐私保护。新系统支持多凭证颁发机构(包括政府、雇主和Linux基金会),使其更具灵活性和鲁棒性。Linux ID中的凭证有效期短且可撤销,从而降低了长期漏洞和身份冒充的风险。该系统设计为与颁发机构无关且可组合,支持不同颁发机构和社区之间的信任路径建立。Linux ID包含去中心化消息传递和临时DID功能,以保护开发者隐私并防范社会工程攻击。该技术目前仍处于原型阶段,计划在即将举行的Linux活动中进一步讨论和测试。该倡议是Linux基金会为开源和AI驱动生态系统改进去中心化信任基础设施的更广泛努力的一部分。
The Enshittificator [video]3 months agohttps://vimeo.com/1168468796这段文字是来自vimeo.com的安全验证提示。它要求用户确认自己是人类而非垃圾邮件机器人。网站在继续操作前正在检查连接的安全性。
Real-World Outcomes of Newly Diagnosed Multiple Myeloma Patients Treated With Front-Line Daratumumab Lenalidomide and Dexamethasone - PubMed3 months agohttps://pubmed.ncbi.nlm.nih.gov/41738585/美国政府官方网站使用.gov或.mil域名。在分享敏感信息前,请确认该网站为联邦政府网站。安全网站使用https://加密并保护传输的数据。
JavaScript DRMs Are Stupid and Useless3 months agohttps://the-ranty-dev.vercel.app/javascript-drms-are-stupidHotAudio.net为ASMR创作者提供DRM保护,但基于JavaScript的实现存在根本性漏洞JavaScript DRM的缺陷在于解密数据最终必须暴露给浏览器,使其可能被拦截文章描述了作者与HotAudio开发者之间围绕DRM攻防的技术博弈关键漏洞包括必须向浏览器传输解密音频数据的'PCM边界'问题,以及利用JavaScript钩子截获数据作者开发了多个版本的浏览器扩展来绕过DRM,每次都被开发者新的防御措施反制最终版扩展通过深度钩取浏览器API,实现无论DOM中何处播放都能截获音频数据文章论证JavaScript DRM存在固有弱点,无法像Widevine等硬件级DRM提供真正保护作者结论认为DRM虽能增加侵权难度,但无法有效保护内容,未必符合创作者利益文章强调开放互联网价值的同时,也承认促使DRM普及的经济现实因素