Show newer
天空вℓσи∂ boosted
层叠 - The Cascading

有用户发现自己冷钱包中的数字货币不翼而飞。经过调查后,研究者发现 Libbitcoin Explorer 的 3.x 及 2.x 版本均存在使用非 CSPRNG 生成公私钥对的问题:不同用户可能会生成相同的公私钥对。已经有使用 Libbitcoin Explorer 3.x 版本生成公私钥对用户的钱包被窃。

漏洞研究者和 Libbitcoin 团队联系时,后者认为这并非一个漏洞,因为相关命令在文档中明确被标记为不应用于生成安全的钱包公私钥。研究者还发现,从 1.x - 3.x 间,Libbitcoin 使用了不同种类的随机数生成实现,而 3.x 使用的实现相比 2.x 反而更容易被攻击。

CVE: CVE-2023-39910

https://milksad.info

linksrc: https://t.me/bupt_moe/1913

#Cryptography #Crypto

Telegram 原文

0
天空вℓσи∂

For some unknown reason, the guy who sent the interview invitation stopped replying me.

Maybe they finally figured out that I'm not qualified to be a senior developer?😂

0
天空вℓσи∂

@trinsec @hvangalen

I do want to support Netflix and other streaming platforms. But they are too many, and too closed. They are blocked in China, and I normally use proxy to get around. But they blocked my server's ip (for some copyright reasons? looks like they blocked all ips from data centers), thus I switched to rarbg and the pirate bay...

0
天空вℓσи∂ boosted
Orca 🌻 | 🎀 | 🪁 | 🏴🏳️‍⚧️

非常不喜欢拿“各国有各国的N-word”来说“习近平被取外号↗↘↗”这件事的人。

西方各国的N-word(Nigger)被禁是因为这词是明目张胆的种族歧视。
中国的N被禁只是一个位高权重的独裁者不开心自己被取了外号(或者更有可能是是,下面的狗腿子不开心自己的主子被取了外号)。

我很想请问一下发了这句话的人:

这能一样吗?
这是可以类比的吗? :anenw31:

1+
天空вℓσи∂

@henghenghengAAAAA 买个平板(

0
天空вℓσи∂ boosted
木头不 :heart_nb:

亏死!大家失业在家一定要及时领取失业金!只要失业(非个人原因主动离职)就立刻开始申,不然你失业保险就白缴了!我因为没找到工作实在太穷最近才想起来领失业金这回事,然后发现流程特别简单迅速,直接在公众号填申领信息下个月钱就打给你,并不需要去社保所,每月两千多,他们不是根据你客观上的失业起始时间而是根据你的申请时间,什么时候申什么时候才开始给,而我实际上是去年失业的,相当于这几个月加起来我损失了两万的保险金,领失业保险并不影响履历和就业,属于个人应得权益,这可是少有的能让政府吃进去的钱吐出来的机会,大家千万记得要领,不领就是在扔钱

1+
天空вℓσи∂

@AFWood 那要是从毕业开始就没找到工作,是不是不能领(

0
天空вℓσи∂

又被劣质 UPS 坑了一回 

@Candinya 细说品牌好方便大家避雷(

0
天空вℓσи∂

@trinsec Thanks! Let's hope the countless time I spent on github is not a total waste :ablobattention:

0
天空вℓσи∂

Life is so elusive. Lately I've been watching TV shows and movies with my friend and managed to salvage myself from the anxiety of unemployment, who would have thought that last night my parents would throw my emotions back to the lowest observable point. It took me a lot of effort (meaning non-stop YouTube watching) to get those negative thoughts out of my head.

Today I was browsing through job search apps and suddenly found an interview invitation for one of the applications that I submitted in my entire batch. The position is Senior Java Developer, which mightbe my first formal job. They said they went through my resume carefully and thought I would be a good fit for the position and would like to conduct an interview. I don't know if this was a platitude from HR or not, but I'm glad that this was the only time in months that I didn't get rejected.

Hopefully I can nail the interview and got the job.

(Translated by deepl)

1+
天空вℓσи∂ boosted
Arlia Étoile :verified_yellow:

RT: @Timfurry233@twitter.com

求扩散❗❗📣普通人也能看得懂的最新河南GFW模式科普及应对方案❗❗❗
我总算是弄清楚最近河南那边的GFW搞的“扩大化黑名单”到底是怎么回事了!

首先GFW“黑名单”是什么?
GFWList,我将其称作“黑名单”。是通过一个存储GFW所墙网站列表的庞大项目。这个项目由网友齐心协力完成,涵盖了大多数普通用户需要访问的外网。用户发现了可能被封锁的网站,将会提交至项目,维护者通过审核,再三确认后将其载入名单。[1]
那这个名单如何在河南“扩大化”?如何进行的“扩大化”?
其实原因可能是因为大量的翻墙用户使用Trojan等协议进行“翻墙”,而Trojan协议的伪装方式是使用TLS加密流量来让GFW看上去像是在用HTTPS协议正常访问一个境外网站而已。
但这并不能一直都骗过GFW,当你的连接出现“时间长 高并发 大流量 多境内IP连接”的流量特征时,就会引发GFW的“主动探测”[2],还好Trojan协议允许你进行站点“伪装”(websocket),让正常访问网站的GFW看到的是一个英文网站之类的,也能骗过GFW认为你是在正常访问一个网站而不是用它翻墙,但就长期而言,这样的方式有风险,一旦GFW认为你是在利用这个站点搭代理“翻墙”,轻则把你连接的端口封掉(通常HTTPS走的是443端口),重则就会把整个IP和域名加入“黑名单”(也就是说所有经过GFW发往这个IP/网站的包,包括TCP/UDP都会被丢掉)。
但这种方法毕竟封锁效率有限,有时还得人工识别,再加上现在有很多协议(v2ray xTLS等)都可以走CDN转发这些TLS流量[3],而CDN的IP又是一大堆,上面还有一些其它正常的网站走的也是这些IP,简单的封锁这些IP反而会“误伤”到这些正常的通往境外网站的流量(那就真成朝鲜了.jpg)。

正当大家以为可以长期挂代理高枕无忧时,这个河南GFW来了个升级很好的“解决”了这个“问题”,用方法就是经典的“RST复位攻击”![4](没错就是你以前早些年访问谷歌时看到的那个“连接已重置”),原理是当你用基于TCP连接的协议时(TLS就是基于TCP连接的协议),河南GFW就会在长连接建立的几分钟之后向你境内客户端这边伪造一个RST包,这时你的客户端就会毫无疑问的丢弃与服务端的缓冲区上所有数据,强制关掉连接。之后你的每一次都会像图①那样直接被GFW伪造的RST包阻断。据TG网友 @ MiyamotoKonatsu 测试,这个攻击阀值很低,虽然说是黑名单,但是跟那次泉州模式似的连几分钟就给你发RST包阻断就他妈离谱!(虽然还是比泉州模式好的是毕竟还是黑名单,陌生的境外网站不会默认给你来个阻断,而是长连接还会给你保持着几分钟后再给你发RST包阻断,它真的,我哭死QAQ)
所以……难道我们就真的无能为力了吗?
当然不是!俗话说得好,只要思想不滑坡,办法总比困难多!v2ray core项目的开发者进行了讨论和研究[5],如果是服务端和客户端都支持Timestamps的话那么tcp每个包都会带有额外的10bytes timestamps时间截,那么在GFW重置连接的RST数据包时就会被直接丢掉,这将表现为没有影响。

那么什么是tcp连接中Timestamps呢?
timestamps是作为一个 TCP 选项存在于 TCP 首部。引入 timestamp 最初有两个目的:1.更精确地估算报文往返时间(round-trip-time, RTT) 2. 防止陈旧的报文干扰正常的连接.[6]
TCP Timestamp 选项虽然能带来好处, 但并不是所有的 TCP 连接都会使用该选项,比如 Windows 系统就是默认不不启用该选项的,而 Linux 系统则是默认启用了该选项。 据 tcpm 的统计,在全球范围内,使用了 TCP Timestamp 的连接比例大概为 60%~70% 。[7]
不支持 TCP Timestamp 的理由是该选项占用的报文长度太多了,它会占用 TCP 报文首部的 10 个字节,而且是每个报文都会有这种损耗。
好巧不巧,据v2ray core开发者测试,所有由GFW发送的RST包都是没有Timestamp的!那就是说如果代理服务端和客户端都使用带有Timestamp的tcp连接的话那么由GFW发送的不带有Timestamp的RST包就会被忽略!那么连接就会顺利进行下去了!我们就又能够愉快的与代理服务器握手连接了!♪(^∇^*)
(显然人们不知道自己的设备有没有开 TSopt,有的默认开了就没被阻断,这就是人们对河南新上的 SNI 黑名单说法不一的原因之一)
据telegram用户的小道消息传言,明年的四月这阴间阻断将在全国实施!
所以我现在呼吁各位翻墙用户都把自己客户端/服务端的timestamp选项打开!

那么该怎么做才能开启tcp连接中的timestamp选项?
在你的服务端和客户端都启用你的timestamp选项,如果你是linux作为服务端/客户端,那么恭喜,你的timestamp选项应该是默认开启的,不过我还是建议您在控制台中输入以下指令把这个选项再确认开启一下(ipv6也会生效):
sysctl -w net.ipv4.tcp_timestamps=1

如果您是windows用户或者使用winsever来做的代理服务器,那请您使用管理员权限打开powershell,然后输入以下指令:
netsh interface tcp set global timestamps=enabled

如果你是安卓用户,那么不是国产流氓魔改系统的话请将您的系统升级为最新版本(越新越好),或者root后在控制台输入刚才的linux指令。
这样你的客户端/服务端就支持timestamps了!下次连接时的tcp首部都将带有timestamps时间截!
(目前已知的情报:墙不给 开了TCP Timestamps的固定宽带网络 发RST, 给没开TCP Timestamps选项的固定宽带网络发RST,
对于数据流量网络,无论开不开TCP Timestamps,墙都会发伪造的RST。
无论任何一种情况,均未收到过带Timestamps的 RST。)

(最后我想吐槽一下赢家张维为谈GFW时[8]说是"为了过滤掉一部分键政魔怔人和一部分技术不够的网民" 这个被过滤掉的"一部分人"也太他妈多了吧,又是DNS污染,又是深度包探测,证书伪造,封IP封端口,翻墙IP段加强巡查,关键词阻断配合TCP重置,还带大数据人工智能协议识别,甚至还有泉州白名单模式,连中转还有反向墙,现在又来个河南TCP重置……技术是一个比一个先进!真要是研究人员20分钟能学会,vpn协议能翻墙不给你秒封的话哪用得着费这么多功夫哦!真的是服了这"赢家"的逆天发言了😅😅😅

🐦📎: https://vxtwitter.com/Timfurry233/status/1690305876039811072

1+
天空вℓσи∂ boosted
Soran 🏳️‍⚧️ 🌹 :verified_yellow:

@board@ovo.st
四格小漫画:

向 Google Safe Browsing 举报/申诉:https://safebrowsing.google.com/safebrowsing/report_general/
查询网站是否安全:https://transparencyreport.google.com/safe-browsing/search

0
天空вℓσи∂

@arlia 我觉得s23手感还行,但是我是喜欢那种有棱有角方方正正的那种(

1
天空вℓσи∂

About making a phone call 

I recently removed my phone number from my résumé be those HRs keep calling me without texting me first. (I do leave my email address on it)

Recently I switched to a new job finding platform, and it has a feature that allows you to send your resumes in batches. Most of the time, I don't check the recommendations, and I just yolo it. So when someone calls me without telling me beforehand, I don't know who they are... and I don't pick them up. (Yeah, I generally ignore all unknown incoming phone calls to keep way spams and promotions. If that's an important call, the other side will try again.)

Talking about the batch sending feature, I feel bad for those hardworking HRs getting spammed in this way. But from the last year of job finding experience, I spent a lot of time searching the company and decided I'd like to go there, sending messages and my résumé to them, and got no reply. This happens a lot. So to improve the efficiency, I decided to spam them and see who came back to me. After all you have to reply me before we can keep talking. And HRs are paid to work, while I'm not.

Also, talking about making the phone call, I think for an unknown person, calling them without any beforehand communication is rude. If a friend calls me (which my phone will show his/her name, assuming I have friends), I'm ok with that. We're friends and I'm expecting that. But unknown people? No, thanks. I always text the person and ask if now is a good timing to call him/her before making the call. I hope others can ask before calling me too.

0
天空вℓσи∂ boosted
时间的玫瑰

今天的重头戏其实是看湖,可以说是五彩斑斓的蓝色哈哈。冰川湖泊,一路看过来,美不胜收。

1+
天空вℓσи∂ boosted
糖喵💕🍭(◍•ᴗ•◍)✧*

:neocat_heart:

RE: https://is-a.wyvern.rip/notes/9i93f4clow7vwt55

0
天空вℓσи∂ boosted
Arlia Étoile :verified_yellow:

不仅仅是翻越高墙,我们应该推翻它,为了我们,也为了后辈

RE: https://m.cmx.im/users/Lindenpendecy/statuses/110870444466596176

Lindenpendecy  
东伦敦的涂鸦事件,这张是我看过最好的反击了。我们一起携手翻越高墙 :ablobmeltsoblove: 来源:https://www.instagram.com/p/CvyPZwINbeu/
1
天空вℓσи∂

@fatelab 塔罗牌 最近找到一份可以接受的工作

0
天空вℓσи∂

@fatelab 算卦 最近找到一份可以接受的工作

1
天空вℓσи∂

@fatelab 求签 最近找到一份可以接受的工作

1
Show older
Qoto Mastodon

QOTO: Question Others to Teach Ourselves
An inclusive, Academic Freedom, instance
All cultures welcome.
Hate speech and harassment strictly forbidden.

Trending now

Resources

Developers

What is Mastodon?

qoto.org

More…

v3.5.19-qoto · Privacy policy