分类 随手记 下的文章

2023年8月11日,自由软件与互联网慢讯第1期。

创作原因

WPS Office存在代码执行漏洞

来源2023-08-09 安全通告 - WPS Office存在代码执行漏洞

根据WPS官网消息,奇安信发现WPS存在安全漏洞。
影响范围:
WPS Office 个人版,Windows 平台,版本号低于 12.1.0.15120(含)
WPS Office 机构版本(如专业版、专业增强版),Windows 平台,版本号低于 11.8.2.12055(含)

WPS官方已推出新版本修复了此漏洞,推荐广大用户尽快更新。

Linux用户表示无所谓,WPS寄了也可以用LibreOffic或者OpenOffic等替代品,话说真的有人和我一样在Debian下使用WPS这个非自由软件吗?另外有不少网友称WPS的更早版本也多次有过危险的漏洞(尚未证实)。

VIM编辑器正在进行项目交接

来源groups.google.com vim-dev

在 Vim 文本编辑器的创建者 Bram Moolenaar去世后,Vim 的贡献者之一 Christian Brabandt 向社区更新了该项目的最新状态。目前Christian Brabandt已经取得了Github仓库的控制权限并邀请了更多用户加入Vim组织,目前已计划推出下一个版本,即 9.1 版本。在此之前,将会先发布次要的补丁版本。

开发者还无法访问主要的 Vim FTP 服务器。目前正在与 Bram 家人核实,看他们是否知道这些凭据。

虽然我日常使用Nano和VSCode,但是我相信几乎所有Linux用户都使用过Vim,在自由软件社区的驱动下Vim不会停止它的脚步。

工信部要求开展 App 备案,2024 年 4 月前完成

来源IT Home
工信部称 (https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_920db564162e4312916a01bed6540ad8.html),自 2000 年起,依据《互联网信息服务管理办法》(国务院令第 292 号)规定,电信主管部门对从事互联网信息服务的网站开展备案核准工作(即 ICP 备案)。
随着移动互联网快速发展,App 已成为互联网信息服务的重要载体,App 与网站同属于提供互联网信息服务,应按照国家法律法规要求,向电信主管部门参照网站备案的方式履行备案手续,登记实名、网络资源和业务等信息。
2023 年 9 月至 2024 年 3 月底,《通知》发布前开展业务的 App 向其住所所在地省级通信管理局履行备案手续。2024 年 4 月至 2024 年 6 月底,电信主管部门将组织对 App 备案情况开展监督检查,对仍未履行备案手续的 App 依法进行处置。
《通知》发布后拟开展业务的 App,应先履行备案手续后再开展业务。
《通知》还称,网络接入服务提供者、应用分发平台、智能终端生产企业不得为未履行备案手续的 App 提供网络接入、分发、预置等服务。

相关影响信息播报:

小米电视禁止安装“电视家"等”违规应用“

有网友晒出了与小米电视京东自营旗舰店客服的聊天记录,记录显示网友试图在小米电视上安装“电视家” APP更新,但是遭到系统拦截。网友质疑禁止第三方软件更新的行为,客服表示“不兼容”“应业务和国家管控政策要求,2022年8月26日起对电视家等违规应用进行增量安装限制,通过U盘等途径将无法安装违规应用”。

"鸿蒙4.0"支持太极,用户可放心升级

2023-8-09,太极开发者维术在其微信公众号“虚拟框架”发文表示“鸿蒙4.0系统完美支持太极”大家可以可以放心升级,(顺序别反了,这是维术自己强调的。)
在文章评论区,维术回应用户关于上述“工信部通知”的内容表示“只能不联网了”,此外维术回应关于鸿蒙Next的支持问题:“听那意思估计还不能无缝支持,得我出手了。”

小提示目前已知鸿蒙系统指的是HarmonyOS(疑似OpenHarmony+AOSP),鸿蒙Next则为OpenHarmonyOS。

 灵感来源是Linux.cn的每日新闻,老王叔叔做自媒体就更谨慎一些,这也是受限于相关性和正式性有些东西他一般是不会发出来的。我希望这部分信息他可能不那么方便发的信息依然有一个合适的渠道被传送给身处中国大陆,特别是不可能看到油管等外部媒体信息的普通大众。
我希望能促进真实信息的无障碍传递,尽可能的发挥中国大陆境内有限的言论自由权。
先在博客发布,然后在B站发专栏吧,毕竟看油管的也不需要看B站。后续考虑单独开个域名和站点发布相关内容。
中文名字就叫自由软件与互联网慢讯吧。
简写为FS&IT慢讯

计划使用域名:fsit.eu.org

正在申请注册

计划站点应用使用Typecho

暂定默认主题,如果有其他主题,欢迎推荐。

窃取用户隐私的拼多多,拿到了黑客奥斯卡提名

近日,素有“全球白帽黑客奥斯卡”之称的网络安全奖项Pwnie Awards揭榜了2023年度的各大奖项提名。在今年的奖项提名中,有Best Desktop Bug、Best Mobile Bug、Most Innovative Research、Lamest Vendor等30项通过筛选获得提名,其中“Lamest Vendor”中文译为“最差厂商奖”,也是每一年Pwnie Awards最受关注的一个奖项。

“最差厂商奖”旨在颁发给行业内那些面对安全事件、安全问题掩耳盗铃混淆是非,或闹出大乌龙的公司。2023年度Pwnie Awards的“最差厂商奖”提名花落“拼多多”,被提名的理由是:“拼多多因在自己App中植入无可辩驳的后门来窃听用户而被Google踢出安卓应用市场。在被包括卡巴斯基在内的多家媒体和安全公司曝光后,拼多多不仅拒不承认,还反而指责Google的处罚,但却私下迅速将恶意代码悄悄删除并解散了木马团队。”该颁奖仪式将在 8 月 9 日举行,拼多多最终能否拿到“最差厂商奖”,我们也拭目以待。

事实上,2023年3月,拼多多APP因安全问题被Google Play下架的新闻曾被CNN等国外媒体报道,Twitter上也有大量讨论,但是在国内却鲜有报道。

此外,前不久《财经》公众号发布了一篇文章《4年超2000款App因侵犯个人信息违规,有一家公司从未被点名》,这篇文章对2019年以来工信部通报批评过的APP做了统计,发现“四年来,阿里巴巴、字节跳动、腾讯、百度、京东、美团、网易、快手等头部互联网公司均有产品被点名。主要的互联网平台公司中,仅有拼多多从未被点名通报。”

这也引发了业界广泛热议。为何在国外被证明存在“后门”,被Google Play下架,又被媒体报道的拼多多在国内却拥有“金刚不坏之身”呢?

—— 磐石之心 全文 (原文已被删除)

昨晚无意间发现的,睡前随手打开博客结果转圈然后Connect Rest/Closed,刚开始以为服务器被墙了,就顺手打开笔记本看了一眼。

开始看乐子

Ping了一下域名,正常响应了,看来没被墙,SSH服务正常登录上去Htop看了一眼,CPU占用100%,RAM倒是没什么影响。 刚开始也没在意,只当是出了点bug抽风一下,直接重启。
重启后刚开始还能打开页面,过了几秒又是Connection Rest/Closed,htop命令上php-fpm占用居高不下,想了想可能是被攻击了,稍微上点心开始看日志。
cat /var/log/nginx/access.log
日志一直刷不完,那就
tail -f /var/log/nginx/access.log
看了下,刷不完是因为后面访问记录一直在高频刷写。
这里随意摘出来一部分:

35.197.121.158 - - [10/Aug/2023:01:10:23 +0800] "GET /?nonce=ce167aaf-483f-4887-b710-4fa822ef5e34&param1=4GDzirKVEe&param2=gA6vVX8eaw&timestamp=1691601014 HTTP/2.0" 200 10389 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:59.0) Gecko/20100101 Firefox/59.0"
198.23.254.212 - - [10/Aug/2023:01:10:23 +0800] "GET /api/p/index.php HTTP/1.0" 404 153 "-" "-"
35.197.71.216 - - [10/Aug/2023:01:10:23 +0800] "GET /?nonce=7fb35c3b-a136-4223-b68a-8317ee501a07&param1=7RvcaEVkej&param2=gnVzSYROZ3&timestamp=1691601015 HTTP/2.0" 200 10389 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10"
34.66.111.163 - - [10/Aug/2023:01:10:23 +0800] "GET /?nonce=b3f2bfc1-de55-4c22-a701-7f68052dc544&param1=vrkJ5thvM7&param2=fgIC6O2tJz&timestamp=1691601015 HTTP/2.0" 200 10389 "-" "Mozilla/5.0 (Linux; Android 5.0.1; ALE-L23) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.80 Mobile Safari/537.36"
198.23.254.212 - - [10/Aug/2023:01:10:24 +0800] "GET /api/p/index.php HTTP/1.0" 404 153 "-" "-"
34.66.111.163 - - [10/Aug/2023:01:10:24 +0800] "GET /?nonce=d4aa11be-98fa-4750-a0eb-5d0dc5776086&param1=QtOZIkFllL&param2=QSGsDtkQ0d&timestamp=1691601015 HTTP/2.0" 200 10389 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 8_1_1 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12B436 Safari/600.1.4"
35.197.121.158 - - [10/Aug/2023:01:10:24 +0800] "GET /?nonce=426e4139-08f4-4f34-a37f-b71370953631&param1=IeNOGHrPqK&param2=rdtWgqRdps&timestamp=1691601015 HTTP/2.0" 200 10389 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
35.197.71.216 - - [10/Aug/2023:01:10:24 +0800] "GET /?nonce=0a8da378-ece3-49ee-9ec2-2236e2757c50&param1=xjEtLEFZAf&param2=fNBFJMmWv2&timestamp=1691601015 HTTP/2.0" 200 10389 "-" "Mozilla/5.0 (Linux; NetCast; U) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.33 Safari/537.31 SmartTV/5.0"
34.66.111.163 - - [10/Aug/2023:01:10:24 +0800] "GET /?nonce=5418aacd-821e-4d70-8fe8-979ee757d923&param1=SRCtiYzr7m&param2=bg3Ce86SOK&timestamp=1691601015 HTTP/2.0" 200 10389 "-" "Mozilla/5.0 (Linux; Android 7.0; SM-G610M Build/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/69.0.3497.100 Mobile Safari/537.36 [FB_IAB/FB4A;FBAV/191.0.0.35.96;]"

稍作分析

198.23.254.212是服务器自己发出的正常请求,不过这个api我貌似早就弃用了,后续去看看主题文件是不是没删掉。
其他ip随机抓下来查了下都是美国谷歌的机房IP。UA估计也没啥真实性,都是随机出来的垃圾数据。
之前也有找朋友DDoS帮我测压,国内服务器1TB下去没买防御套餐直接就黑洞了,不过我这个国外的VPS就没那么脆弱了,目前从头到尾除了博客打不开其他服务都正常运行,因为这个服务器带宽不小亦不是按流量计费,上面也没需要100%全天运行的东西,之前就没怎么关心防DDoS/CC。

第一次遇到还是挺新奇的,群友的博客服务器之前也有遇到过访问日志一直刷的。当晚也没什么事情就在B站开了个直播和网友一起看日志刷屏,顺便一起聊聊天。有个粉丝说关注我第一次看见我开播哈哈,正好赶上当作活素材了。

睡觉之前,给NAS装上了OBS,然后在Nas上继续串流直播。
今天睡醒把这事都忘了,刚才爬起来上去看nas命令行已经停掉了,直播间有粉丝留言说攻击已经停了可以正常访问了。
报错是:client_loop: send disconnect: Broken pipe
然后看了看中断之前日志上最后一个访问的异常ip是35.197.121.158,
http访问过去,页面就一个ヾ(*ФωФ)βyё βyё☆彡,又试了试另一个ip,也是一样。

乐子结束

不知道是哪家的小孩打着玩的,本来当天晚上打算看看有没有什么防火墙工具可以处理一下,但是这点流量又没什么技术性也就没什么实质性威胁我就懒得管了,挂着直播给网友娱乐,我直接睡觉去。

韩国发现疑似室温超导(目前正在多方验证,如结果为真将载入人类史册。

虽然目前还没明确证伪,但是中科院已发声表示可能性不大。
美国公司OpenAI的大语言模型ChatGPT。
俄乌军事冲突,或者说俄罗斯和北约的实质性战争。
还有最近刷B站发现的一个项目:SoftVC VITS Singing Voice Conversion
2020年的时候字节跳动人工智能实验室发表的关于中文歌声合成系统的论文——《 A Chinese Singing Voice Synthesis System Using Duration Allocated Encoder-Decoder Acoustic Models and WaveRNN Vocoders》。这个项目就是这篇论文的一个很好的实现。
这个项目让我想起来之前一段时间看到的MockingBird
可以说是群除我佬,我很庆幸的是我还有机会作为用户成为这些开源项目的受益者。

我给各位直接放个其他用户的成果:

 刚看了一位博友的关于页面,对于其描述的“互联网创立的目的”颇有感触,又想起身边一个朋友前段时间用C#写的“朋友圈Moments”项目,遂计划部署类似的产品。
好处颇多,既可以方便自己和其他博友查看更多中文博客内容。拒绝信息孤岛,也给我自己一个戒除沉迷短视频,查看更多高质量内容的机会(目前我把B站也纳入短视频平台范围),显而易见的能独立搭建并持续更新博客等网站的群体在其站点更新的内容在质量方面往往比充满营销号的各类视频平台更高。

我对短视频的定义是:时长较短,通常短于五分钟且内容空洞泛娱乐化,缺少高价值有效信息。

具体部署项目选型

暂定Moments,如有更合适的欢迎推荐。

购入渠道:PDD
购入价格:150 (用了一张满149 -19的卷:169-19=150)
对比下我自己给自己的ThinpadE14Gen3购买的的TiPlus5000

硬盘型号TiPlus5000PC005
主控联芸MAP1202A慧荣SM2262EN
闪存长江存储3D 128层TLC长江存储3D 64层TLC
闪存构架Xtracking 2.0Xtracking 3D
缓存HMB智能缓存1GB独立缓存

跑分速度什么的我就不放了,因为我很清楚性能至少符合/超过主流水平,我也不是很关心这个。
PC5005买回来给NAS插上(为此我还花了7.5买了一张PCIE X4 to M.2 NVME的转接卡)

MiniPCIE转SATA的卡本来不需要芯片但是网售的产品一般是通过芯片转2个或多个,价格一般在30元以上。想了想就没再打算让NAS用机械硬盘,老盘留着做冷数据备份算了。

今天发现我在K9 Mail客户端上无法获取QQ邮箱账户的邮件了,于是回忆最近相关异常,异常之一就是最近修改过QQ账户密码。
登录QQ邮箱Web端发现QQ邮箱POP3/IMAP/SMTP/Exchange/CardDAV授权码相关服务链接跳转到wx.mail.qq.com强制要求再次绑定手机号码并发送短信验证码才能重新生成一个授权码,而之前生成的授权码我已确定失效。

新的邮箱授权码管理页面

新的页面位于wx.mail.qq.com
提供了在线设备/授权码管理/应用授权三项功能
现在可以查看授权码登录的设备的最后登录时间和IP及地址信息(被打码了一部分)

也许我应该早日脱离QQ邮箱改用自己托管/靠谱的代托管域名邮箱。