V2EX › Ketteiron 的所有回复 › 第 3 页 / 共 30 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 30

❮

❯

2 月 3 日

回复了 chhtdd 创建的主题 › NAS › 飞牛 os 0day 漏洞有能力感染同一个网络下的其他智能设备吗

如果你的飞牛能够连接其他设备，且这些设备有漏洞，那可以感染或者留下一些恶意执行文件。
一般来说内网设备都是默认互联互信的，所以答案是 yes 。

2 月 3 日

回复了 EyebrowsWhite 创建的主题 › 信息安全 › 飞牛的影响面比想象的大很多

@adminpro #13 这次漏洞的最大受害者是开启了飞牛推荐的外网访问方式 FN Connect ，这 tm 是收费项目，那些免费白嫖的都没中招。

2 月 3 日

回复了 EyebrowsWhite 创建的主题 › 信息安全 › 飞牛的影响面比想象的大很多

一、用户根本不知道漏洞，并且相信官方会妥善处理好漏洞。
二、没有强制升级，很多人会选择停留在旧版本。
三、通过查杀病毒升级到新版本的系统，依然无法杀干净潜在恶意文件，除非重装系统。
四、即使是目前最新的系统，依然存在鉴权漏洞。

草台班子就是这样的，没能力负责用户的安全问题，不知道一行弱智代码会产生什么样的破坏性。

2 月 3 日

回复了 Lentin 创建的主题 › NAS › 飞牛紧急安全通告：木马变种对抗与设备修复指南

@lnbiuc #25 没人好奇，至少有四个帖子解释了，就是飞牛官方穿透有 bug ，可以随意查看/下载任意路径下的任意文件，即使不知道密码，那攻击者直接找到密钥就能直接进 NAS 跟回自己家一样，放几个木马不是简单得很。理论上除了重装没有安全的灭杀方案，所有没重装的系统依然可能存在恶意文件。
这个问题要解决很简单，12 月用户报告问题时强制禁用穿透服务等修好再放开就行了，结果根本没人在意，在这几天明明知道用户的绝大部分数据已经被恶意轮询脚本搞完了，依然不关，甚至今天还好心的发了个公告说过几个小时将要关闭穿透服务，提醒黑客们赶紧抓紧下原创国产片。

2 月 2 日

回复了 yGin 创建的主题 › 信息安全 › 在厂家之外，我们该如何保护我们自己的设备。

@libregratis #2 飞牛的目标群体大部分就是小白啊，用户啥都不知道可能 26 字母都认不全，但是他们就不允许有 NAS 的需求了吗？有需求就有利益，飞牛要做的就是赚到这部分人的钱，如果运营得当这是双赢，但可惜实在太草台班子了，他们不配赚这钱。
在此之前，我对飞牛的反感在于他们不尊重开源协议。态度决定很多东西，就从这个细节来说，我根本不会考虑他们的任何产品。
但这次事件再次刷新了我的三观，不敢相信互联网竟然存在这种公司。

1 月 30 日

回复了 Ketteiron 创建的主题 › 分享发现 › 彻底关闭支付宝的"抖音"首页

@wqsdfdddd #10 我说的"抖音"是指首页任意卡片服务后边的推荐内容，即使关闭了视频页也不影响首页留着一堆短视频。

1 月 30 日

回复了 Ketteiron 创建的主题 › 分享发现 › 彻底关闭支付宝的"抖音"首页

@v1 几年没登录过闲鱼，今天下载进去一看，首页一半是各种女大学生出售摆拍照，给我看傻了

1 月 30 日

回复了 Ketteiron 创建的主题 › 分享发现 › 彻底关闭支付宝的"抖音"首页

@dooono #2 太丑。

1 月 30 日

回复了 Ketteiron 创建的主题 › 分享发现 › 彻底关闭支付宝的"抖音"首页

@ssh #1 首页管理下面的视频页管理关掉，我点了几百个页面才把垃圾全部清理掉，还得揣摩这些选项到底是什么玩意。

1 月 29 日

回复了 blinue 创建的主题 › 开源软件 › 开源项目维权太难了

@blinue 不是，他否不否认没用，DMCA 是发给网站的，工作人员确认违反 DMCA 就会单方面删除。只要你能证明身份且证据确凿，48 小时内就会删库/下架。

1 月 29 日

回复了 blinue 创建的主题 › 开源软件 › 开源项目维权太难了

发 DMCA 给 Github 和 Steam 试试，这种情况是会受理的。

1 月 28 日

回复了 jianglibo 创建的主题 › 程序员 › 关于 https://localhost, https://127.0.0.1, CORS 那些事

我来简单总结下吧。
举个例子，本地使用 https:localhost ，浏览器需要一个受信任的证书，这里需要 mkcert 签发一个临时信任证书。
如果从其他地方例如手机访问局域网，手机的浏览器会警告，因为它没有信任证书。
那么"分布式" mkcert 如何提供证书，其实是服务端下发私有根证书。

简单来说，通过自建一个私有 CA ，安装软件等于信任这个 CA ，因此不会警告。
当然这带来了安全风险，自建方案也存在隐患。

一般情况下 vite + vite-plugin-mkcert 就行了
OP 的工具其实是解决了自动化复制 rootCA.pem 的操作。你说有用吧，确实有用，但我猜愿意用的没几个。

1 月 28 日

回复了 jianglibo 创建的主题 › 程序员 › 关于 https://localhost, https://127.0.0.1, CORS 那些事

你应该更直接地表述这个工具到底解决了什么场景下的问题。
什么时候有用？即使用 cookie 鉴权且后端设置了 SameSite=None; Secure 且需要远程访问本地运行的项目且需要保证开发环境与实际环境完全一致。
这样就能劝退完全用不上的 99.99% 用户了。

1 月 27 日

回复了 Ketteiron 创建的主题 › 程序员 › 发现一个自动优化 js/ts 桶文件的工具

@Jynxio #10 > 拖慢 Bundler 的 Barrel Files 主要来自库，而非业务代码
如果是库，只有第一次预构建有开销，之后全部走缓存
业务代码无法缓存，每一次变更都要重建依赖图

1 月 27 日

回复了 Ketteiron 创建的主题 › 程序员 › 发现一个自动优化 js/ts 桶文件的工具

@TossPig #11 看不出这段 AI 废话跟我说的哪里有冲突，表达的观点是一模一样的，库有使用索引文件的正当理由，其他场景应该尽量避免。
所有 bundler 下都是必然更快，AI 总是会更保守谨慎，不敢下结论

1 月 27 日

回复了 Ketteiron 创建的主题 › 程序员 › 发现一个自动优化 js/ts 桶文件的工具

@SanjinGG #13 我的建议是不要 export default ，使用具名导出 export { xxx }，这样可以随时重构变量名，而默认导出做不到
编辑器会收集全部 export 对象作为快速导入的候选列表，因此只要导出一次就够了，重复导出+默认导出一起用经常会遇到奇奇怪怪的 bug 。

1 月 27 日

回复了 Ketteiron 创建的主题 › 程序员 › 发现一个自动优化 js/ts 桶文件的工具

@Jynxio #10
> 标明代码的访问权限
对于模块内，不 export 就等于私有
对于 monorepo 可以使用 package.json 的 exports 来声明外部访问列表
如果是想禁止跨模块引入，可以用 eslint
https://github.com/javierbrea/eslint-plugin-boundaries

重新导出的问题在于它只提供了一个大家约定好的入口，不能真正禁止外部引用，即使没有在入口导出，也可以全路径导入

1 月 27 日

回复了 Ketteiron 创建的主题 › 程序员 › 发现一个自动优化 js/ts 桶文件的工具

@SanjinGG #7 自动补全跟 index.ts 没有关系，而且 index.ts 也会减慢编辑器构建自动导入缓存的速度，项目越大越明显。

1 月 26 日

回复了 YanSeven 创建的主题 › 程序员 › 有没有用过 Neon 数据库的大佬，说说体验吗

@changwei #2 superbase 讨论热度高是因为适合当前 AI 一天写一个网站的环境。
这俩不好比较，因为不是一个东西，不过可以参考下这个：
https://www.devtoolsacademy.com/blog/neon-vs-supabase/

1 2 3 4 5 6 7 8 9 10 ... 30

❮

❯