Twake – open-source Google Workspace alternativea year agohttps://twake.appTwake Mail为成长中的团队提供可扩展的安全解决方案。先进的安全措施和反垃圾邮件防护盾可抵御垃圾邮件、网络钓鱼和黑客攻击等威胁。开源加密数据存储确保文件在云端或您服务器上的安全存储。文件可与合作伙伴和团队共享,在隐私保护的同时提供优雅的界面体验。Twake是欧洲领先的开源力量,以在软件、服务和人工智能领域的社区协作与创新著称。
Show HN: SecureBuild – Zero-CVE Images That Pay OSS Projectsa year agohttps://securebuild.comSecureBuild为开源项目提供安全、无漏洞的构建服务与SecureBuild合作可产生持续性收入,无需签订支持合同获得超过20万星标的顶尖开源项目信任SecureBuild能映射并保护依赖关系图,修复安全漏洞新SecureBuild构建服务对关键漏洞提供6天SLA保障收入分成模式:70%归维护者,30%归SecureBuild开源项目可获得可持续收入和扩大用户群等优势企业用户能享受更强安全性和简化合规流程SecureBuild为企业提供零CVE的安全构建版本提供常见问题解答和合作详情查询服务
Breaking WebAuthn, FIDO2, and Forging Passkeysa year agohttps://www.nullpt.rs/forging-passkeys通行密钥正在取代密码,通过存储在设备上的FIDO2凭证提供防钓鱼认证通行密钥引入了涉及CTAP2协议、CBOR数据块和WebAuthn API的复杂攻击面概念验证演示了伪造通行密钥签名以实现无需硬件安全密钥的自动化登录该项目包含嗅探CTAP2流量、解码CBOR/COSE字段以及用Rust重新实现CTAP2协议可利用Chrome开发者工具协议创建虚拟认证器,绕过硬件要求实际测试显示Google、Microsoft和GitHub等主流网站存在不同级别的安全漏洞缓解措施包括强制使用签名计数器、严格限制CDP权限以及依赖方服务器端检查该研究凸显了WebAuthn和通行密钥实施过程中需要更强有力的安全策略
AtomicOS – A security-first OS with real crypto and deterministic languagea year agohttps://github.com/ipenas-cl/AtomicOsAtomicOS是一个以安全为先的教育型操作系统,完全从零开始构建。优先考虑安全性而非性能,提供AES-128加密、SHA-256哈希和MMU等特性。设计哲学:'安全第一,其次是稳定性,最后是性能'。关键特性包括自定义引导程序、保护模式、内存防护、W^X强制机制和确定性执行。所需工具:i686-elf-gcc、nasm、qemu-system-i386和make。提供不同版本(v0.3、v0.4、演示版)的构建与运行说明。目录结构包含内核、tempo(语言编译器)和文档。内存布局详情:内核空间、用户空间和内核镜像区。安全实现:AES-128、SHA-256和硬件强制MMU。当前局限:无网络栈、文件系统或设备驱动(仅基础VGA支持)。采用MIT许可证,要求署名保护且衍生项目不得使用原名。欢迎通过分叉开发、功能分支、拉取请求流程参与贡献。文档包含《语言规范》《现实检验》和《测试证据》。原作者:Ignacio Peña(2024年)。格言:'无漏洞、无崩溃、无谎言'。
Delta Chat is a decentralized and secure messenger appa year agohttps://delta.chat/en/Delta Chat 是一款去中心化的安全通讯应用。支持多账号多设备即时通讯,稳定可靠。可注册专属加密聊天邮件服务器,或使用传统邮件服务器。内置互动式网页应用,支持游戏和团队协作。采用经审计的端到端加密技术,有效防御网络和服务器攻击。基于互联网标准的免费开源软件(FOSS)。支持移动端和桌面端全平台使用。
Removal of unwanted drivers from Windows Updatea year agohttps://techcommunity.microsoft.com/blog/hardwaredevcenter/removal-of-unwanted-d...微软正在清理Windows Update上的旧版驱动程序,以减少安全和兼容性风险。第一阶段针对已有新版替代方案的旧版驱动程序。清理意味着使驱动程序过期,不再通过Windows Update提供。合作伙伴可以重新发布过期的驱动程序,但可能需要提供商业理由。如果6个月内未采取任何措施,过期的驱动程序将被永久删除。此次清理将成为常规操作,未来将扩展到更多驱动程序类别。合作伙伴应检查其驱动程序,并主动使不需要的/旧版驱动程序过期。将引入新的发布指南,以确保驱动程序更新的安全性和可靠性。
Show HN: Ariadne – A Rust implementation of aperiodic cryptographya year agohttps://codeberg.org/CipherNomad/AriadneAriadne套件是Ariadne协议的Rust语言实现,这是一种创新的密码学架构。核心组件包括用于密码学操作的`ariadne-core`、`ariadne-generator`和`ariadne-primitives`。包含高级协议如`ariadne-etm`及传输协议(`ariadne-transport-ephemeral`临时传输、`ariadne-transport-static`静态传输)。协议采用迷宫结构(密码学轮次的二叉树)和线程(穿越迷宫的秘密路径)。设计上具有非周期性,确保每个区块处理方式唯一,提供天然防篡改特性。局限性包括路径长度有限且解密期间不支持随机访问。该项目处于实验阶段,未经审计,不建议用于生产环境。包含完整测试、文档,采用CC0-1.0许可证发布。欢迎社区贡献,评审以技术价值为准。
Apptainer: Application Containers for Linuxa year agohttps://apptainer.org/Apptainer(原Singularity)简化了容器的创建和执行,便于移植和复现。Apptainer安全、便携且易于使用,确保在工业界和学术界的信任与安全性。用户在容器内外保持相同权限,防止权限提升。SIF容器格式支持跨不同环境实现可复现的构建、共享和归档。Apptainer支持容器加密,并与Vault等密钥管理平台集成。Apptainer兼容Docker,可轻松从OCI注册表导入和使用Docker镜像。Apptainer在学术界和HPC领域广泛应用,提供安全便携的容器解决方案。
Microsoft Dependency Has Risksa year agohttps://blog.miloslavhomer.cz/p/microsoft-dependency-has-risks微软据称封锁了一名受制裁个人的邮箱,引发了对微软产品依赖性的担忧。文章通过安全投资回报率(ROSI)计算,探讨了微软服务中断的可能性与成本。微软遵守美国制裁很可能因其与美国政府部门的重大合同关系。现代软件依赖性意味着,如果微软禁用服务,企业可能遭受严重影响。微软全面服务中断的成本可能极高,根据企业规模估计损失达数百万至数十亿。由于事件发生概率低但影响巨大,计算降低微软依赖的ROSI具有挑战性。摆脱微软产品的转换成本高昂且复杂,导致依赖性成为长期问题。丹麦等政府机构正考虑微软替代方案,表明存在非成本驱动的变革动机。
Libxml2's "no security embargoes" policya year agohttps://lwn.net/SubscriberLink/1025971/73f269ad3695186d/Libxml2维护者因不堪重负的工作量和缺乏企业支持而拒绝安全保密协议最初为GNOME开发的Libxml2已被苹果、谷歌、微软等科技巨头广泛采用维护者Nick Wellnhofer指出受益企业长期缺乏资金支持和技术反哺安全研究人员常只提交漏洞报告却不提供修复方案,加重无偿维护者负担Wellnhofer主张将安全问题视为普通漏洞处理,或能激发更多贡献并缓解维护者倦怠关于制定'MAINTENANCE-TERMS.md'文件的讨论,旨在明确项目维护条款和保护维护者权益这一困境折射出开源可持续性和企业责任等更广泛的系统性议题
Reading NFC Passport Chips in Linuxa year agohttps://shkspr.mobi/blog/2025/06/reading-nfc-passport-chips-in-linux/在Linux系统中使用pypassport读取NFC护照芯片护照NFC芯片需要基于MRZ(机读区)生成的密码已注销护照的MRZ可能部分损毁,但NFC芯片仍可工作MRZ密码构成要素:护照号、出生日期、有效期(均含校验码)提供生成MRZ及计算校验码的Python代码理论上可暴力破解护照MRZ,但因组合量过大实际不可行护照数据包含生物特征、个人信息及存储在数据组的元数据演示用Python从NFC芯片保存护照照片尝试多种工具后,pypassport最适合Linux系统安全性依赖标准公钥加密体系,无暴力破解锁定机制
Show HN: VSCan - Detect Malicious VSCode Extensionsa year agohttps://vscan.dev/VSCan可分析VSCode扩展的安全风险用户输入扩展在应用商店的名称或ID即可进行分析系统会对扩展的代码、权限和元数据进行深度分析提供详尽报告,列明潜在风险及改进建议近期分析展示常用扩展或特定搜索的结果已扫描超过10,000个扩展程序已识别500余个安全漏洞提供24/7全天候持续监测服务
Excalidraw+ Is Now SoC 2 Certifieda year agohttps://plus.excalidraw.com/blog/excalidraw-soc2Excalidraw+ 已通过SOC 2 Type I合规认证,并正在努力实现Type II认证。使用Vanta简化合规流程、整合服务并填补漏洞。实施零信任生产访问机制,并升级技术栈(Nx、Infisical、VPN等)。进行渗透测试并评估所有供应商的合规性。编写并定制大量政策,在初创企业文化和结构化流程之间取得平衡。采用安全工作站政策,包括磁盘加密和密码管理器。使用Nx将单体架构拆分为服务,以提高管理效率和性能。使用Infisical管理加密环境密钥并改进CI/CD工作流。通过Vector和Axiom建立监控系统,并创建公开状态页面。评估并记录所有供应商,重点关注那些提供SOC 2报告的供应商。选择注重隐私的分析工具(Umami、Simple Analytics),无需Cookie横幅。通过Insight Assurance的SOC 2 Type I审计,并在信任中心分享结果。未来目标包括SOC 2 Type II、GDPR合规,并根据客户需求可能实现ISO 27001认证。
Comparison of Android-Based Operating Systemsa year agohttps://eylenburg.github.io/android_comparison.htm对比主流基于Android的操作系统(AOSP发行版),包括GrapheneOS、CalyxOS、IodéOS、/e/、LineageOS和原生Android核心功能对比:网络控制、定位服务、全局连接拦截、端到端加密备份、通知转发、胁迫PIN码、Android Auto兼容性、Google Pay兼容性、通话录音和截图选项隐私与安全特性:存储隔离、联系人隔离、逐应用传感器控制、MAC地址随机化、照片/截图元数据剥离、追踪防护安全措施:验证启动、基于硬件的安全验证、系统应用降级保护、强化内存分配器、SELinux策略更新策略:安全更新速度、完整补丁支持、生命周期结束后的部分更新、支持的Android版本数量、WebView更新速度支持设备:列出各操作系统兼容的厂商和机型,注明新设备的限制情况多用户管理:工作资料、私密空间和次级用户配置的隐私性、便利性、集成度和安全性对比
FOKS – The Federated Open Key Servicea year agohttps://foks.pub/FOKS提供安全的端到端加密Git托管服务,数据在发送至服务器前即完成加密采用抗量子攻击的现代PQ安全公钥密码体系基于加密键值存储实现Git功能,支持字符串及大文件存储配备联邦式团队管理系统,可构建复杂团队拓扑及跨服务器团队设备管理支持YubiKey,并在设备撤销时执行级联密钥轮换采用三级密钥体系:基础密钥、用户专属密钥(PUK)和团队专属密钥(PTK)运用签名链和默克尔树技术防止服务器篡改,确保数据完整性专注简洁强化的加密方案,避免使用VRF或SNARK等复杂协议MIT许可证开源,无供应商锁定,支持类似电子邮件或网络的联邦架构支持通过包管理器(Chocolatey/Homebrew/apt/dnf)或静态二进制一键安装未来规划包含加密SQL、日历等功能,采用社区驱动开发模式
The Complete Rust Security Handbooka year agohttps://github.com/yevh/rust-security-handbookRust提供内存安全但需要严格遵循应用安全规范安全三要素:类型安全、错误安全、秘密安全使用语义类型防止资金转错账户等错误金融系统中避免panic以防止DoS攻击显式处理溢出问题防止资金静默损坏安全关键操作使用加密随机数对敏感数据清零处理防止内存残留避免记录敏感信息到日志使用参数化查询防止SQL注入在异步上下文中将CPU密集型任务卸载到线程池在await点前释放锁防止死锁确保异步操作的取消安全性在智能合约中验证授权和所有权区块链环境下使用确定性函数为unsafe代码块编写安全不变量的文档启用安全导向的编译器和构建设置编写基于属性的测试来验证安全不变量在关键函数中实施分层安全检查遵循Rust安全开发最佳实践
Use Plain Text Emaila year agohttps://useplaintext.email/电子邮件主要分为两种类型:纯文本和HTML格式。技术社区更倾向于使用纯文本邮件。由sourcehut平台提供的指南,该平台使用纯文本邮件。列出了能良好处理纯文本邮件的电子邮件客户端。配置各种邮件客户端使用纯文本的说明指南。纯文本邮件的礼仪建议,包括底部回复的规范。纯文本邮件相比HTML邮件的优势:安全性、简洁性、可访问性。HTML邮件容易遭受钓鱼攻击、用户追踪及垃圾邮件问题。纯文本邮件对屏幕阅读器和终端用户更友好。鼓励使用纯文本邮件以获得更安全的通信体验。
Show HN: Vet – A tool for safely running remote shell scriptsa year agohttps://getvet.sh直接将脚本通过管道传输到bash存在风险,可能导致执行恶意或不完整的脚本。vet工具提供了安全的工作流程,可在执行前检查并审批远程脚本。vet的功能包括获取脚本、比对变更、使用shellcheck进行代码检查,以及要求显式审批。使用示例:vet https://example.com/install.sh 可替代不安全的curl | bash模式。安装方法:运行 curl -sL https://getvet.sh | sh 即可安装vet。
We Found a Heap Overflow in Llama.cpp's Tokenizera year agohttps://pwno.io/blog/prompt-to-heap-overflowPwno在llama.cpp的分词器中发现了堆溢出漏洞(CVE-2025-52566)该漏洞源于分词器大小比较时的整数溢出,最终导致堆溢出该漏洞存在超过一年时间,在负责任的披露后24小时内即被修复漏洞利用需要特定条件,例如启用Jinja模板引擎并输入精心构造的数据该漏洞可能导致远程代码执行或拒绝服务攻击Pwno运用多智能体系统和历史安全数据来识别该漏洞这一发现凸显了AI在底层安全研究中的巨大潜力
AI slop security reports submitted to curla year agohttps://gist.github.com/bagder/07f7581f6e3d78ef37dfbfc81fd1d1cdcurl CVE-2023-38545漏洞代码变更细节公开WebSocket处理中的缓冲区溢出漏洞curl_mfprintf函数存在可被利用的格式化字符串漏洞strcpy函数缓冲区溢出漏洞strcpy()缓冲区溢出漏洞导致远程代码执行Curl_inet_ntop与inet_ntop4函数存在缓冲区溢出风险curl协议限制机制不严格黑客利用curl漏洞攻击并访问敏感信息潜在释放后重用(UAF)漏洞未过滤IPFS_PATH环境变量导致的路径遍历漏洞恶意CONNECT数据包引发curl MQTT测试服务器缓冲区溢出libcurl使用存在缺陷或不安全的加密算法(CWE-327)libcurl cookie管理模块双重释放漏洞HTTP/2 CONTINUATION洪水攻击漏洞HTTP/3流依赖循环利用漏洞libcurl内存泄漏问题Location标头处理不当导致内存泄漏(CWE-770)