Link | Comment

🔼 563 | 💬 341

Wikipedia将Archive.today列入黑名单，开始移除约69.5万个存档链接

• Wikipedia英语版社区经RfC（评论请求）讨论后达成共识，将Archive.today及其关联域名（archive.is、archive.ph、archive.fo、archive.li、archive.md、archive.vn）全面封禁，并移除分布在约40万个页面上的69.5万个链接
• 封禁原因：该存档网站曾利用恶意代码对Gyrovague博客发起DDoS攻击，且篡改网页快照内容，在存档页面中插入被攻击博主Jani Patokallio的姓名并修改评论者信息
• 冲突根源：Patokallio曾发表文章揭露Archive.today运营者使用”Denis Petrov”和”Masha Rabinovich”等假名，疑似来自俄罗斯；运营者发送威胁邮件声称要制作AI色情内容及冒名交友应用抹黑该博主
• Wikipedia指出封禁的两大核心理由：一是该网站利用用户设备发动DDoS攻击存在严重安全隐患，二是其篡改存档内容的行为已损害其作为可靠信息来源的信誉
• 维基媒体基金会于2月10日表示，因安全风险严重，不排除直接介入处理；此外，Wikipedia特别指出Internet Archive与Archive.today完全无关

Link | Comment

🔼 899 | 💬 336

LinkedIn身份验证背后：你实际交出了哪些数据

• 点击”验证”后由第三方公司Persona（美国加州）处理，收集护照全页照片（含NFC芯片数据及所有表面信息）、实时自拍、面部几何特征（生物识别数据，用于将自拍与护照进行匹配）、国籍/性别/出生日期/年龄、国籍ID号码、邮箱/电话/住址、IP地址/MAC地址/设备类型/浏览器/操作系统版本/语言及IP推断的地理位置
• Persona追踪犹豫时间和复制粘贴行为进行行为生物识别，并将数据与政府数据库、国家身份登记机关、信用机构、公用事业公司、运营商及邮政数据库等”全球可信第三方数据源”进行交叉核对
• 护照图片和自拍被用于AI模型训练（用于识别各国护照格式及改进服务），法律依据标注为”合法利益”而非用户同意；17家子处理器中16家在美国、1家在加拿大、零家在欧盟，其中Anthropic、OpenAI、Groqcloud三家AI公司负责数据提取和分析
• 尽管数据可能存储在德国服务器，美国CLOUD法案仍规定只要公司是美国法人，执法机构可强制提交境外数据，国家安全请求可附带禁言令使你永远无法知情；数据保护框架基于可能被未来总统单方面撤销的行政令而非法律
• 服务条款责任上限仅50美元，要求通过美国仲裁协会进行强制单独仲裁不得集体诉讼；欧盟用户虽适用爱尔兰法律但公司受美国法律管辖；生物特征数据（面部数学几何模型）一旦泄露无法更改，且法律程序可强制突破六个月保留期限无限期存储

Link | Comment

🔼 410 | 💬 241

全美各地民众正在拆除和破坏Flock监控摄像头

• Flock公司运营自动车牌读取系统（ALPR），总部位于亚特兰大，估值75亿美元，在全美约6000个社区安装了监控设备，数据可在无搜查令情况下被执法部门访问
• Flock数据被ICE routine获取，还曾被用于追踪跨州堕胎者；佐治亚州一名警察局长因利用Flock数据骚扰公民被捕
• 破坏事件已波及至少五个州：加州拉梅萨、俄勒冈州尤金和斯普林菲尔德（至少6台设备被砍倒）、伊利诺伊州格林维尤、康涅狄格州里斯本、弗吉尼亚州
• 弗吉尼亚州41岁男子Jefferey S. Sovern承认使用老虎钳拆卸并破坏了13个Flock摄像头，被指控13项破坏财产罪，其GoFundMe众筹获得社区广泛支持
• 尽管公众在市议会会议上强烈反对，部分城市仍继续与Flock合作；与此同时，至少46个城市已通过DeFlock.org拒绝Flock，圣克鲁斯和尤金等城市已取消合同
• 破坏行为获得跨党派广泛支持，Reddit论坛几乎一致称破坏者为”英雄”；为应对此类抵抗，佛罗里达州立法禁止遮挡或更改车牌

Link | Comment

🔼 606 | 💬 177

关闭 Dependabot：提升安全性与减少噪音

• Dependabot 会产生大量误报，尤其在 Go 生态中，这些虚假警报不仅浪费时间，还会干扰更有价值的开发工作，甚至降低整体安全性。
• 作者以自身项目为例：修复了一个几乎无人使用的函数漏洞，但 Dependabot 却向数千个未受影响的项目提交了更新 PR，包括完全不导入该漏洞包的仓库。
• 建议使用 Go 官方工具 govulncheck 替代 Dependabot，它通过静态分析检测代码是否实际调用了漏洞符号，从而大幅减少误报。
• 另一个推荐实践是每天在 CI 中运行测试套件针对依赖项的最新版本（使用 go get -u），而非自动更新，这样既能及时发现兼容性问题，又避免不必要的更新干扰。
• 误报警报会导致警报疲劳，使开发者忽视真正重要的安全漏洞，同时给开源维护者带来额外负担，而合理的工具选择能显著改善这一状况。

Link | Comment

🔼 283 | 💬 90

12岁被误认为日本间谍：我的安全审查经历

• 12岁时阅读密码学入门书籍《Secret and Urgent》，与朋友根据字母频率原理（e-t-a-o-n-r-i）自制加密通信代码，藏于眼镜盒中
• 眼镜盒在电车上遗失，被爱国公民误认为是日本间谍物品，于1943年转交FBI
• FBI调查六周后，通过验光记录追踪到他，确认是误会后归还眼镜但保留了代码钥匙
• 成年后在海军电子实验室申请暑期工作时，如实填写“曾被FBI调查”并注明“涉嫌日本间谍”
• 审核官员扫描表格后将其撕毁，警告若提及此事将永远无法获批；按要求删除该经历后顺利获批

Link | Comment

🔼 63 | 💬 33

2026年2月20日Cloudflare BYOIP服务中断事件分析

• 事件概述：2026年2月20日17:48 UTC，Cloudflare的BYOIP（自带IP）服务因配置变更bug引发故障，约1,100个客户前缀被意外通过BGP协议撤回，中断持续6小时7分钟；官方明确排除网络攻击可能性
• 技术根因：自动化清理子任务存在代码缺陷——API查询pending_delete参数时空值被误解为获取所有BYOIP前缀，导致系统将全部前缀及服务绑定（service bindings）列入删除队列并执行删除操作
• 影响范围：在总计4,306个BYOIP前缀中约25%被撤回；1.1.1.1子域（one.one.one.one）作为Cloudflare自有的BYOIP前缀也受波及；Core CDN、安全服务、Spectrum、Magic Transit、专用 egress等产品均出现连接超时和失败
• 恢复过程：约800个仅被撤回前缀的客户通过仪表板重新广告IP地址自行恢复；约300个前缀及服务绑定均被删除的客户无法自助恢复，需工程师手动在全球边缘服务器上重新配置，于23:03 UTC完成恢复
• 改进措施：推进API模式标准化确保参数验证严格；重构数据库架构实现运营状态与配置状态分离，支持快照式快速回滚；建立熔断机制监控大规模撤回行为并自动阻断异常配置部署；采用健康指标介导的渐进式部署流程

Link | Comment

🔼 827 | 💬 378

发现漏洞后收到的却是律师函：一名潜水教练的负责任披露遭遇

• 作者在哥斯达黎加科科斯岛潜水旅行中（同时身为平台工程师），发现某大型潜水保险公司会员门户存在严重漏洞：用户ID为递增数字，所有账户共享同一静态默认密码且无强制修改机制，无速率限制或账户锁定，攻击者只需猜测数字并输入默认密码即可访问用户完整个人资料（包括未成年学员数据）
• 作者于2025年4月28日按马耳他国家协调漏洞披露政策（NCVDP）同时向公司及马耳他CSIRT报告，给予标准30天修复期限；至2026年2月发文时已等待超过8个月，目的是给予组织充分的修复和通知受影响用户的时间
• 公司未派IT团队回应，而是由数据保护官的律师事务所发函：指责作者先通知政府机构”造成不公平的责任风险”，援引马耳他刑法第337E条威胁刑事追诉，并要求在当天下班前签署含保密条款的声明、提交护照信息——实质上是以法律手段封口
• 公司声称”用户有责任自行更改默认密码”，将安全责任转嫁给用户，而根据GDPR第5条(1)(f)和第24条(1)，数据控制者有义务实施适当的技术和组织措施确保数据安全，静态默认密码加可枚举ID显然不符合该标准
• 漏洞虽已修复（重置默认密码、推进2FA部署），但作者未收到公司已通知受影响用户的确认，而GDPR第33条和第34条明确要求对可能给个人带来高风险的数据泄露及时通报监管机构和数据主体，尤其涉及未成年人
• 作者指出这是安全研究界长期面临的”寒蝉效应”模式：以律师而非工程师回应漏洞报告的组织，暴露了其将声誉管理置于用户数据保护之上的价值排序——真正损害声誉的不是漏洞本身，而是对发现者的打压方式