yanqiyu 最近的时间轴更新
yanqiyu

yanqiyu

V2EX 第 127736 号会员,加入于 2015-07-18 00:20:26 +08:00
学物理的,懂个锤子的计算机
求助:四川电信 SK-D849 光猫怎么进管理页面
宽带症候群  •  yanqiyu  •  1 月 29 日  •  最后回复来自 A1188
9
CloudFlare 发放 $10 的 yubikey 优惠券
YubiKey  •  yanqiyu  •  2022 年 11 月 11 日  •  最后回复来自 malu2335
80
CentOS 项目开发重点将转向 CentOS Stream
Linux  •  yanqiyu  •  2020 年 12 月 12 日  •  最后回复来自 salmon5
95
grub2 被报道安全问题,可致安全启动被绕过
  •  2   
    Linux  •  yanqiyu  •  2020 年 9 月 10 日  •  最后回复来自 ungrown
    38
    leancloud 国际版有域名证书过期了
    全球工单系统  •  yanqiyu  •  2020 年 5 月 16 日  •  最后回复来自 lanternxx
    2
    我也是 00 后, 我也来分享一下我的博客
    程序员  •  yanqiyu  •  2020 年 4 月 8 日  •  最后回复来自 bboysoulcn
    17
    你的 Android 机的 IMEI 可能处于不设防的状态
  •  6   
    Chamber  •  yanqiyu  •  2022 年 8 月 25 日  •  最后回复来自 ALights
    106
    yanqiyu 最近回复了
    11 天前
    回复了 hqt1021 创建的主题 NAS 理性讨论 没有绝对安全的系统
    telnet 这个年久失修的远程协议对公网暴露就是作死;而 Web UI,尤其是 nas 的 Web UI 本身就是为了对公网暴露的。安全要求一开始就不一样。

    并且 fnos 这一开始就存在一系列漏洞,路径穿越(对于 NAS 而言已经很糟糕了)+关键 token 明文存储在日志/认证过程的私钥明文存储+一个 websocket 的 RCE ;至少路径穿越和 RCE 都可以单独拿一个 CVE 了。

    并且这里出问题的是 Web UI ,作为设计上需要对外暴露的环节,最应该严防死守的地方。
    针对开发者:建议把存储敏感内容的页面 mlock 起来,免得换出去了
    @lyz2754509784 #29 那更不可能是中间人攻击了,这么大规模 MITM 除了运营商等掌握基础设施的人没什么人能做到。有不是人人都随便连接奇怪的 WiFi ,恰好还用飞牛的
    @pingdog 我理解是怀疑中间人拿到了密码,或者关键用户 token ,导致攻击者获得 webui 的管理员权限。然后进行的渗透。

    但是说实话,正常情况下真的有这么多公网上的 MITM 吗?我其实更怀疑楼主的机器设置了弱密码被暴破了。
    @A1188 #7 还真可以,找客服就搞定了,我记得很早之前在四川电信的网站直接就能切换,然后之后不知道局方做了什么,拨号一直不成功,装维上门就给我切换了猫拨号,并且告诉我路由器拨号行不通

    现在找客服切换了就能正确拨号了,奇妙。
    @birdvdsk 这类地址直接 404
    1 月 13 日
    回复了 mikewang 创建的主题 程序员 防御性关机:某 OCR 库中内置关机代码
    这原爆料者是被公关了?不过能理解,个人遇到公司耍流氓在法律层面因素很浪费时间和精力,也捞不到好处。

    > 如果继续使用该缺陷版本到 2026 年 8 月 30 日,则触发关机命令 shutdown 。

    怎么看都是恶意行为。

    > 关机指令是为了防止破坏本程序导致进一步的可能损失, 防御性关机。

    直接 exit 还差不多,软件拒绝启动、功能降级、弹出警告都是合理的 DRM 行为。

    shutdown 就是在恶意破坏用户计算机系统,还在回应耍小聪明,既没文档记载的行为也超出软件功能也有破坏性,这种行为在中国和多个国家就是妥妥的违法行为。
    1 月 7 日
    回复了 sh537612856486 创建的主题 程序员 获取境外家庭 IP 方法
    虽然不建议整这种活
    但是真的想要扫描这类有配置错误的服务器的话建议直接用 censys 之类的服务
    1 月 5 日
    回复了 yitwotre 创建的主题 Android 华为手机禁止隐私截图怎么破?
    usb-c 接口要是支持视频输出的话接一个采集卡,大多数手机 flag_secured 不影响这种视频输出
    不太熟悉 Windows ,但是我记得虽然技术上讲 hyper-V 之后 host 是一个虚拟机( Root Partition ),但是这个虚拟机是高度轻量化的。SLAT 应该就是简单的线性映射,然后中断这些也是直接注入 host 的,按理说性能损失在几个百分点之内(出非开了虚拟化安全,那个有开销)

    要是你能感知到的操作上的延迟/卡顿,怪不得虚拟化,是为微软的毛病。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   1863 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:54 · PVG 16:54 · LAX 00:54 · JFK 03:54
    ♥ Do have faith in what you're doing.