天空вℓσи∂ @skyblond@qoto.org

R.I.P

我在国外变得越来越支持盗版，因为出版商吃相不要太难看。（而且我负担不起的书，没有盗版了我也不会去买，对作者有毛的好处？有条件的时候我会选择直接给作者打钱。）

分别讲一下我比较熟悉的学术文献和乐谱。

学术方面的，出版商基本很少需要操心。期刊从写作到编辑和评审都是义务劳动，我专业领域（计算机）里的很多作者连排版都包圆了，出版社那边就剩下把字印在纸上一件事，然而卖给图书馆就要么很贵，要么质量参差不齐地打包卖。按篇卖给个人更贵，15页的pdf要价$30是常事（应该没人买吧。。。）2013年，曾去MIT偷下了大量论文的Aaron Swartz被十几项重罪指控逼到自杀。当时很多学者正在联名抵制Elsevier，一直抵制到今天，然而收效甚微。

课本也是盈利机器。课本的市场是畸形的，老师通常可以免费获得试用书，对价格不敏感；老师选定课本后学生再贵也只能去买。虽说可以买二手书，出版商也是想尽办法打压二手市场。许多热门课本两三年就推出新版，内容变化不大，但是习题的顺序是打乱的，老师如果布置作业用书上的习题编号，用二手旧书的学生就有点麻烦。现在吸血手段更先进了，教辅内容放线上，交钱买注册码才能看，学期结束了码也就过期不能再用了。

音乐的版权简直匪夷所思，有些作者都死了几百年了，出版商还能从公开表演里收版税！就仗着新版稍微修订了下。我往YouTube上传自己合唱团的表演，也能被出版社抓到要往里面插广告收钱（荒唐的是，作者已死，版权还因为收购从一个公司转移到了另一个公司）。那是不是找个远古乐谱就没事了呢？想得美，弹钢琴为生的老婆告诉我，去音乐比赛被发现带着影印乐谱的，评委连听都不要听。

提醒：
学术出版商Elsevier曾经被抓现行，在在线PDF阅读器中追踪用户行为。
https://news.ycombinator.com/item?id=29442278
https://nitter.net/json_dirs/status/1466951017459716096
然后每次下载的pdf都会有一点元数据被改变：
https://nitter.net/json_dirs/status/1486120144141123584
不但要跟你收钱，还把你做成数据点卖，把下载pdf的用户当成贼来防。
。。。正版学术期刊的支持者的脑子还好吗？

美国网人也不觉得zlib被封是政府和知识产权法的问题，是做tiktok宣传如何在zlib上免费下载的人该死，听上去是否十分熟悉，世界网人心连心呢

转载cnbeta报道：
读科研文献也能泄露隐私 用户发现爱思唯尔PDF阅读器收集用户信息

阅读科学文献也能泄露个人隐私吗？最近，一位名叫 Jonny Saunders 的程序员便爆了这么一个猛料：世界最大学术出版商之一爱思唯尔（Elsevier），就一直悄悄做着这件事。
Jonny 晒出的图片显示：当科研人员打开 ScienceDirect 网站，用着网页自带 PDF 阅读器，那么点击、阅读情况都会被一一记录下来，然后再传给爱思唯尔服务器。
原来我们在阅读科学文献的时候，一直被爱思唯尔监控着。
根据 Jonny Saunders 的分析，爱思唯尔不仅读取了你的行为，还记录你所在学校等信息，并在空闲时将一大串 base64 码发送到服务器。
虽然，这并不是爱思唯尔第一次被指责获取用户隐私。但这篇推文还是在社交网络上掀起轩然大波，一日转发量就超过 1000。
早在 2013 年，爱思唯尔收购参考文献管理器 Mendeley 时，就有 Mendeley 用户表达了这样的担忧。
事实上这种担忧并非杞人忧天，之后有人发现了 Mendeley 在后台的一些记录行为，包括：姓名、电子邮件、密码、学习领域和学术状况等个人信息阅读、管理的论文意见和反馈日志文件和设备数据第三方帐户数据阅读时间以及上传文章的摘要、参考文献等使用数据在外界看来，出版商靠着收取出版费和订阅费，利润已经不菲了，为何还要收集用户数据呢？爱思唯尔为何这样做？爱思唯尔对自己的定位，不仅是一家学术出版商，也是一家学术数据供应商。
今年 9 月，爱思唯尔在 Twitter 上说：他们不仅是一家出版商，还提供“知识和分析”服务。
推文最后的链接指向了一个官方页面，上面显示着“数据分析”、“证据主导决策”等关键词。
而且爱思唯尔母公司 RELX 本身就是全球最大信息中介商，过去 20 年收购了大量数据分析公司。
有人整理了一张爱思唯尔旗下品牌和产业生态链，在这个庞大的产业链中，每一个都会为公司贡献利润。每当你使用这些工具交互时，Elsevier 都可能收集和分析您的用户数据。
Jonny 认为，来自研究人员的数据很可能从 SciVal（爱思唯尔旗下数据业务）卖出。
由于论文数量越来越多，研究人员的注意力时间越来越短，为了保持研究项目的进展，他们需要推荐系统，而出版商有利可图，也开始推出相应业务。
如何关闭爱思唯尔阅读器如果不想被爱思唯尔获取个人信息，可以在网页中关掉默认的 PDF 阅读器。
登录 ScienceDirect 设置页时，将默认启用爱思唯尔阅读器一项关掉。
最简单直接的方法是直接将 PDF 下载到本地再阅读。
如果希望能够系统阅读管理文献，建议使用 Zotero 等第三方文献阅读器替代。Zotero 是由非营利组织创建和维护的，并且是免费和开源的，隐私政策友好很多。

https://www.cnbeta.com/articles/soft/1211221.htm

咱在个人 Blog 上发表了一篇长文章，详细地分析和叙述了我为什么不建议大家继续使用 Twitter，欢迎转发qwq：

https://moe23333.vercel.app/posts/twitter-to-mastodon

一篇旧闻：
FBI访问了Alexandra Elbakyan（sci-hub创始人）的iCloud和Google账户，Apple和Google被要求一段时间内不得对她透露此事。
FBI Has Gained Access to Sci-Hub Founder’s Apple Account, Email Claims
https://torrentfreak.com/fbi-has-gained-access-to-sci-hub-founders-apple-account-email-claims-210513/
https://nitter.net/ringo_ring/status/1499393139500412931

Aaron Swartz因为下载论文被判刑患上抑郁症自杀了，and now this?

紧急求救⚠️⚠️⚠️

Rakki 身高186cm瘦高戴眼镜

10月29日跑路成功后于今日(11月1日) 12:40在避难所被警察和疑似家长的共5位成年人带走2警察3大人

现需要在嘉兴杭州附近的小伙伴去她家附近蹲守

她家在嘉兴离杭州很近，就读于杭州外国语学校高二，班主任许如明，年级主任焦晓鹏，能联系学校的可以帮忙交涉下

【补充】

10.2 她单独在杭州中医院做了六项 因为雌激素超标过多 医院给她家里人打了电话
10.3 糖被发现 全部扔掉 和家里人商量也没有任何好结果 她家里人说北京的医院都是非法组织
10.7 去学校开始住宿
10.16 家里人带她查六项 结果雌激素正常 睾酮偏低
10.30 她家里人早上起来 就抢她手机 逼迫她签字保证以后不吃糖

http://twitter.com/yaming00742313/status/1587317052976791553

The OpenSSL bug is a bit "meh" after all the excitement.

If you want to read something really interesting I recommend this Xen bug¹ "x86: unintended memory sharing between guests
" which is a side-effect of Intel's "virtualised APIC access".

It turns out that if you have it enabled then a guest can read _and write_ the global shared xAPIC page by moving the local APIC out of xAPIC mode ​

Ooopsie™

__
¹ https://xenbits.xen.org/xsa/advisory-412.html

长文，技术相关。
转载需遵守CC BY-SA 4.0 International知识共享协议，给予credit并以相同的协议分发。

近期部分技术圈子的人员可能听说了一个名为HyeonSeungri的Github帐号在“中国大规模地封锁基于TLS的翻墙服务器”[1]帖子下发布关于网络流量识别与审查的相关“内部信息”。
该帐号声称自己是广州互联网交换中心[2][3]的审查员工，提到了一些流量识别系统工作的内部过程，并且推荐翻墙软件的开发者使用较老的TLS协议版本（主要包括SSL3.0、TLS1.0、TLS1.1）、使用自签名证书、并采用显示/可信代理方式设置代理服务器/VPN。该说法在论坛上引起了一些争执。

目前，该帐号已删除其在该贴中的评论，其帐号也已经被删除。并无法得知该帐号到底是自行注销还是被封号。
该帐号发布的相关言论仍然可以通过存档找到[4]。

接下来是我的结论：
大多数“应该怎么做”是在放屁，简直就是在害人。
借用贴内一个网友的回复：“它们（指HyeonSeungri声称的不会被识别出来的代理流量）不需要被识别出流量特征，它们本身就是特征。/They don't need fingerprinting to be distinguished. They are fingerprints per se.”

首先，使用旧版本的TLS协议是有很大风险的。暂且不提具有严重的已知安全问题[5]因此应当完全被废弃的SSL 3.0，TLS 1.0和1.1版本包含很多不安全的加密算法（如GOST、3DES、RC2、RC4）和不安全的密钥交换算法（如DH-ANON）[6][7],对此不了解的新手非常容易因为配置错误，导致安全问题。
类似的，使用自签名证书也很容易导致对此不了解的新手打开诸如“允许非安全连接”等会降低连接安全性的选项。

然后，无论是使用自签名的数字证书还是使用旧版本TLS协议，都会导致这个本来应该悯然众人的服务器在防火长城鹤立鸡群。根据Qualys SSL Labs的SSL Pulse报告[8]，截至2022年9月，仅38.7%的服务器支持TLS 1.1，仅35.5%的服务器支持TLS 1.0，而SSL 3.0的支持率只有2.3%，TLS 1.2的支持率高达99.8%。这就是说，如果你按照这位HyeonSeungri的指示，把代理服务器配置成不支持TLS 1.2及以上的版本的话，你的服务器就成了非常显眼的0.2%。同样的，为了让现代化的浏览器接受，大多数网页服务器都有由证书颁发机构（CA）签发的证书，自签名证书一般是测试服务时才会用的。那么，一方是支持现代化加密、拥有正确的证书、看起来非常普通的网页服务器，另一方是固执地选择老旧的安全协议、使用会让浏览器告警的自签名证书的奇怪的网页服务器，哪边看上去更像是have something to hide的代理服务器呢？

而且，即使，出于某些原因，你的代理服务器没有被发现。你连接这种服务器所造成的流量，看起来也不会像是普通的浏览器访问网页的流量。2020年，Chrome浏览器在版本84移除了对于TLS 1.0和1.1的支持[9][10]，Firefox在版本78默认禁用了TLS 1.0和1.1[11][12]。因此，现在在网络上传递的HTTPS流量，绝大多数都是使用TLS 1.2或1.3的。而即使在此之前，大多数浏览器也会默认选用服务器支持的最高版本的TLS协议来增强链路的安全性，老版本的TLS协议的使用率，本来就没有那么高。这种情况下，SSL3.0、TLS1.0或1.1的互联网流量，也是非常显眼的，毋庸置疑。

综上所述，HyeonSeungri的建议不但会严重降低通信的保密性和安全性，也让流量和代理服务器显得更加突出，这直接违背了v2ray等审查绕过软件的设计思路（使翻墙流量看起来像普通的网页访问流量），因此不应该采用。


[1] https://github.com/net4people/bbs/issues/129
[2] https://inflect.com/ix/chn-ix-guangzhou
[3] https://en.wikipedia.org/wiki/List_of_Internet_exchange_points
[4] http://archive.today/2022.10.09-065615/https://github.com/net4people/bbs/issues/129
[5] http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
[6] https://datatracker.ietf.org/doc/html/rfc2246
[7] https://datatracker.ietf.org/doc/html/rfc4346
[8] https://www.ssllabs.com/ssl-pulse/
[9] https://chromestatus.com/feature/5654791610957824
[10] https://developer.chrome.com/blog/chrome-81-deps-rems/
[11] https://www.mozilla.org/en-US/firefox/78.0/releasenotes/
[12] https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/

#ssl #tls #v2ray #xtls #naiveproxy #clash #翻墙 #代理 #censorship #anticensorship #disinformation #debunk