storm boosted

无法访问的原理是:
Google Maps app 会带中国大陆 SIM 卡用户去 Google.cn 的服务器

Google.cn/maps 暂时或永久下线了…

信息来源:
t.me/LetITFlyW/9091
t.me/LetITFlyW/9094
t.me/MlgmXyysd

storm boosted

复读生对应届生是否公平?

笑死我了。你正反都说了,让别的答主怎么答?

#中特笑话

storm boosted

时间线守护者的安全隐患 

Timeline 上时常出现的 #时间线守护者 ,我强烈不建议大家使用。

在一切开始之前,先确立这样一个准则:不要相信你无法验证的承诺。
就比如说:不少VPN都承诺,不记录日志。但这些承诺靠谱吗?[1]用户根本没有办法验证,这些VPN服务商是否记录日志。即然如此,一个记录用户日志的VPN服务商完全可以承诺自己不记录用户日志。而且从动机上,VPN服务商完全有理由记录用户日志。你每个月付给它们的十美元连请律师的咖啡钱都不够,如果记录日志,一旦VPN服务商遇上了什么法律麻烦,就可以把你交出去来推卸自己的法律责任。
一些长毛象实例承诺不记录用户日志,但是在相信这些承诺之前,你应当想一想你是否有手段验证这些承诺的真伪。

回归正题,说一说时间线守护者。
先看一看时间线守护者这类备份工具的工作流程(图一)。
根据目前了解的信息,时间线守护者至少请求了 read:bookmarks、read:favourites、read:notifications、read:statuses、write:statuses 五个权限。而且由于需要每周定时发送邮件,相应的 access token 是存储于应用开发者的服务器上的。这就带来了极大的安全隐患。
如果一个恶意的攻击者拿到了这五个权限,他可以做什么?
有了那一堆read权限,他可以无感的对你的帐户进行监控与偷窥,基于这些监控,他还可以进一步对你进行建模分析。而 write:statuses 权限,则可以用来对你的好友进行钩鱼攻击或用来发送SPAM信息。

当然,时间线守护者可能会做出一系列承诺,但是正如前文所说,你是否可以验证他的这些承诺?
再退一步来说,就算他确实是按照这些承诺做了,在合理的范围内使用这些权限,但他也无法保证他所获取的这些Token不会泄露,不被其他怀有恶意目的攻击者取得。著名的提问箱 Peing 便曾出现过安全漏洞,造成大量用户的twitter OAuth token 泄露[2]。

所以为了自己的帐户安全考虑,请不要使用时间线守护者这类请求敏感权限,同时非本地存储相应 access token 的应用。

[1] solidot.org/story?sid=64970
[2] itmedia.co.jp/news/articles/19

用了代理,香港手机号码,英国手机号码,怎么都收不到line的验证码 :0171:

咳咳,还是没忍住剁了不该剁的手

storm boosted

github.com/apprenticeharper/De
移除DRM的教程(全图形界面不需要命令行),即安装calibre->安装插件->输入序列号->导入再导出(calibre原生支持大部分格式,刚在ubuntu18上测试了下azw3转pdf+在另台macos上打开)。
不必要地的话尽量还是别把自己硬件序列号交出去吧我觉得。。

刚刚看到有人说因为中美可能的断网在备份服务器数据了,我就惊呆了,我从来访问美国服务器都是从HK或者SGP跳板过去的。。。可能是因为我的贫穷,所以没有真正的GIA CN2吧~尴尬 :bili_tv_xiaoku:

storm boosted

不能让我一个人辣眼睛,毁童年之胖虎小夫之爱youtu.be/XbKphBksXrE

我们实例目前还没有开放嘟文搜索的计划,主要是考虑隐私问题,同时避免意识形态的争吵,如果你希望自己的嘟文被后来者检索到,就打tag吧 :0b14: :0b14: :0b14:

体验了一下gakki这个客户端,感觉和tusky的区别在于,tusky的消息给我一种信息流的感觉,gakki给我一种网页端刷新的感觉 。gakki还有500字限制,还差一个编辑功能。恩,今天又体验了一个客户端。 :blobcatlewd:

Show more
NS中文嘟嘟-Mastodon中文社区

NS中文嘟嘟(Mastodon中文社区)