微闻

分类: 微闻快讯

  • 腾讯AIA不能清退一亿以上的用户

    腾讯AIA不能清退一亿以上的用户

    薯条机场的消息声称腾讯AIA不会清退月消费税前账单1亿元以上的用户。

  • Log4j 2.17 出现新 RCE 漏洞

    Log4j 2.17 可能的新 RCE

    相关对话在 Twitter 上展开,请持续关注。

    ==Update==============
    Log4j 2.17 出现新 RCE 漏洞

    影响范围:2.0-beta7 ~ 2.17.0

    利用条件:
    1.You are loading configuration from a remote server and/or someone can hijack/modify your log4j configuration file;
    2. You are using the JDBC log appender with a dynamic URL address.

    详细信息:CVE-2021-44832

    总结:需要在非默认配置下才能被利用,属实是屑啦,不必惊慌。

  • .telegram的真相

    以下是Signal创始人twitter上的原话,通过Deepl翻译:

    Moxie Marlinspike

    让我感到惊讶的是,经过这么长时间,几乎所有媒体对Telegram的报道仍然将其称为 “加密的通讯工具”。

    Telegram有很多引人注目的功能,但在隐私和数据收集方面,没有比这更糟糕的选择了。以下是它的实际运作情况。

    Telegram将你所有的联系人、群组、媒体,以及你曾经发送或接收的每一条信息都以明文形式存储在他们的服务器上。你手机上的应用程序只是他们服务器上的一个 “视图”,数据实际上就在那里。

    你在应用中看到的几乎所有东西,Telegram都会看到。

    这里有一个简单的测试:删除Telegram,把它安装在一个全新的手机上,然后用你的号码注册。你会立即看到你所有的对话历史,你所有的联系人,你分享的所有媒体,你所有的组。怎么会这样?这一切都在他们的服务器上,以明文形式存在。

    混乱的是,Telegram确实允许你创建非常有限的 “秘密聊天”(没有组,同步,没有同步),名义上确实使用e2ee,即使他们使用的e2ee协议的安全性值得怀疑。

    默认情况下没有e2ee,但他们说得好像有一样。

    FB Messenger也有一个e2ee “秘密聊天 “模式,实际上比Telegram的限制少得多(也使用了更好的e2ee协议),但没有人会认为Messenger是一个 “加密的通信工具”。

    FB Messenger和Telegram的构建方式几乎完全相同。

    有些人可能觉得让Telegram访问他们所有的数据、短信、图片、联系人、群组等没有问题,因为他们 “信任Telegram”。

    然而,”加密通信 “的重点应该是,除了与你交流的人之外,你不必相信任何人。

    实际的隐私技术不是关于信任别人和/或你的数据。而是不需要信任。你发送的味精应该只对你和收件人可见。一个小组的细节应该只对其他成员可见。查阅你的联系人不应该向其他人透露他们。

    隐私技术实际上是使技术与用户界面一致。但是,如果Telegram的用户界面与技术工作方式一致,那么每一次聊天都会成为一个群聊,每个在Telegram工作的人+每个黑客Telegram的人+每个访问Telegram的政府,等等。

    对于写这个空间的人来说,我的要求是,当你写 “加密的通信工具 “时,它至少应该是指一个所有信息默认为e2ee的应用程序。Telegram和FB Messenger的构建方式完全相同。它们都不是 “加密的通信工具”。

    今天,TG创始人杜洛夫回击了上述言论

  • Telegram vs WhatsApp:安全性和用户信任

    TG创始人杜洛夫发帖,似乎是在回应Signal创办人此前的一篇文章。之前Signal的开发者曾声称Telegram不能算是一种加密的聊天软件。

    杜洛夫发帖译文:

    最近的一份报告证明,Telegram坚持其对用户数据保密的承诺,而像WhatsApp这样的应用程序则将实时用户数据交给第三方,尽管他们多次声称 “E2E加密”,但也可以披露信息内容。

    该报告已经证实,Telegram是为数不多的不违背用户信任的消息应用程序之一。

    我并不感到惊讶。其他大多数应用程序即使想保证用户的隐私,也无法做到。因为他们的工程师居住在美国,当美国政府命令他们时,他们不得不秘密地在其应用程序中实施后门。如果工程师公开谈论此事,那么就会因违反禁言令而入狱。

    在大多数情况下,这些机构甚至不需要法院命令就能从WhatsApp等消息应用程序中提取私人信息,而在其他情况下,法院文件则被掩盖在保密之中。一些所谓的安全应用程序从一开始就得到了政府机构的资助(如Anom、Signal)。

    多年来,国家安全局(NSA)一直在确保国际加密标准符合NSA能够破译的内容,而所有其他的加密方法都被贴上 “非标准 “或 “自制 “的标签。通过他们在加密行业的代理人(比如这个),NSA将有缺陷的标准强加给世界其他国家使用的加密方式,告诫其他所有人不要 “推出自己的加密方式”。

    难怪WhatsApp等基于美国的应用程序受到后门的困扰–政府(和其他任何人)可以利用这些故意植入的安全漏洞来入侵智能手机,并从人们身上提取私人数据。

    我听说我们在美国的竞争对手很沮丧,因为他们无法与Telegram的增长相提并论,尽管大量投资于市场营销(Telegram从未投资过)。但为了与我们的增长相匹配,他们必须首先确保他们的行动与他们的营销主张相匹配。在此之前,不幸的是,他们应用中的数据泄露和安全问题仍将不可避免。

  • 相互宝关闭

    相互宝将于1月28日关停:关停前三次分摊全部由平台承担

    12月28日晚间消息,继美团互助、水滴互助、轻松互助等平台宣布关停后,相互宝发布公告表示,为更长远保护所有成员权益,经过慎重思考和讨论,将于2022年1月28日24时停止运行。

    相互宝公告显示,自公告之日起,成员不再参与互助分摊,原定于公告日扣款的分摊金及2022年1月的两期分摊金,全部由相互宝平台承担。

    为了更好地保障相互宝成员权益,相互宝停止运行后,符合互助规则的患病成员仍可申请互助金:即医院初次确诊时间在2022年1月28日24时之前且确诊时在互助计划内的患病成员,可于医院初次确诊之日起180天内(含180天)发起申请。相互宝平台将根据现有互助规则审核,审核通过的互助金全部由相互宝平台承担,无需成员分摊。

    为防止关停后部分成员保障中断,相互宝表示,成员可根据自身需求自主选择适合的保障产品作为全新保障方案。

  • 腾讯AIA专线预计将于月底关闭

    有消息称腾讯 AIA 专线预计月底将会正式关停跨境内网。

    —— 星辰云

  • VMess协议:2022年1月1日起对MD5认证信息的兼容禁用

    VMess协议

    自 2022 年 1 月 1 日起,服务器端将默认禁用对于 MD5 认证信息 的兼容。任何使用 MD5 认证信息的客户端将无法连接到禁用 VMess MD5 认证信息的服务器端。

    如果使用的是较新的服务端,请修改 alterid 为 0 。

  • steam商店被工信部列为违法互联网站黑名单

    有网友发现Steam商店域名已经加入工信部违法互联网站黑名单,蓝鲸财经记者就此事向工信部工作人员进行了问询,对方如此回复:虽然不清楚Steam被拉黑的具体原因,但绝对是因为该平台出现了违法违规的行为。至于其整改后能否被移出黑名单,以及国内玩家未来能否正常地登陆,工作人员都表示不知道。

    —— 鲸视频

  • 《“十四五”智能制造发展规划》

    工信部等八部门联合印发《“十四五”智能制造发展规划》

    规划提出,到2025年的具体目标为:

    一是转型升级成效显著,70%的规模以上制造业企业基本实现数字化网络化,建成500个以上引领行业发展的智能制造示范工厂。

    二是供给能力明显增强,智能制造装备和工业软件市场满足率分别超过70%和50%,培育150家以上专业水平高、服务能力强的系统解决方案供应商。

    三是基础支撑更加坚实,完成200项以上国家、行业标准的制修订,建成120个以上具有行业和区域影响力的工业互联网平台。《规划》还部署了智能制造技术攻关行动、智能制造示范工厂建设行动、行业智能化改造升级行动、智能制造装备创新发展行动、工业软件突破提升行动、智能制造标准领航行动6个专项行动。

    —— 央视新闻

  • 百度推出的国内首个 Metaverse 元宇宙虚拟世界

    “希壤”是百度推出的国内首个 Metaverse 元宇宙虚拟世界。现场展示时,貌似设备是Oculus。不知是否元宇宙硬件也被卡脖子。

    扩展:有网友表示展示视频比较粗糙,吹牛逼的嫌疑较大。