给软件开发者准备的优质简报,每日阅读 10分钟

Google broke reCAPTCHA for de-googled Android users

1386 pointsLinkComment(501)Share

Google将reCAPTCHA验证与Play服务强制绑定,去谷歌化Android用户遭遇验证障碍

  • Google将新一代reCAPTCHA系统与Google Play服务深度绑定,使用GrapheneOS等去谷歌化定制ROM的Android用户在被系统判定为可疑行为时将自动触发验证失败
  • 新的验证流程放弃了传统的图像验证码,转而要求用户扫描二维码,而二维码扫描必须依赖Play Services在后台运行并与Google服务器通信
  • 验证要求Android用户必须运行Google专有应用框架25.41.30或更高版本才能通过人机验证
  • 早在2025年10月,Google支持页面就已列出25.39.30版本的Play Services要求,这一依赖关系在至少七个月内悄然建立
  • iOS设备(16.4及以上版本)无需安装任何Google应用即可完成验证,仅拒绝Play Services的Android用户被封锁——这种不对称做法暴露了Google的真实意图是生态系统控制而非安全防护
  • 采用此验证方式的网站实际上在向去谷歌化Android用户发出"不受欢迎"的信号,而这一群体恰恰是最重视数据隐私且最不可能妥协的用户群体

Google Cloud Fraud Defence is just WEI repackaged

688 pointsLinkComment(350)Share

Google Cloud Fraud Defence 是被否决的 WEI 以商业化形式重生

  • 2023年6月Google工程师Yoav Weiss向Chromium项目提交Web Environment Integrity(WEI)提案,要求设备硬件签署加密证明以验证浏览器未被修改且运行于Google认证设备,Mozilla和EFF先后公开反对,Mozilla称其"违背用户利益",EFF称之为"Chrome DRM化网络的计划",Google三周内撤回提案
  • 2026年5月Google以"reCAPTCHA的下一代进化"名义推出Cloud Fraud Defence,用户需扫描二维码并通过Play Integrity API完成设备认证,认证要求限定为"安装Google Play服务的现代Android设备或现代iPhone/iPad"
  • 该方案可被轻易绕过:机器人操作摄像头对准屏幕即可自动化扫描,专业Bot农场批量采购合规Android设备成本仅约30美元;此外用户被训练扫码验证行为将直接被钓鱼攻击利用
  • GrapheneOS、LineageOS for microG等安全强化系统因不含Play Services无法满足认证级别要求,Firefox因拒绝集成Play Integrity API也被排除——这些用户并非机器人,仅因使用不参与Google认证架构的软件而被拒之门外
  • 每次验证成功都向Google报告"此认证设备在此时访问了此网站",设备稳定的硬件标识可跨会话、浏览器和隐私模式持续追踪,定义何种硬件"合法"的权力与积累用户访问数据的权力集于一身,追踪问题是架构层面的设计决策而非副作用

Ask HN: We just had an actual UUID v4 collision...

404 pointsLinkComment(318)Share

UUID v4 真实碰撞事件的技术分析与讨论

  • 一位开发者在约15000条记录的数据库中发现UUID v4碰撞(UUID: b6133fd6-70fe-4fe3-bed6-8ca8fc9386cd),第一条记录于2025年由客户端生成,第二条约一年后在服务器端生成;该帖子获得404分和318条评论
  • 专家jandrewrogers指出UUID v4的安全性依赖高质量熵源,硬件缺陷、软件bug或熵源不足都会导致碰撞,高可靠性系统通常禁止使用纯随机的UUID v4
  • 评论区发现uuid npm包存在bug:rng函数使用const声明的固定Uint8Array数组而非每次创建新数组,导致连续调用返回相同随机值;另外Googlebot等浏览器的随机数生成器是确定性的,也会产生重复UUID
  • 虽然碰撞概率约1/2¹²²极低,但当系统规模足够大时,"统计学上不可能"的事件会真实发生;UUID v7(时间戳+随机数结合,支持时间排序)可有效降低碰撞风险
  • 替代方案讨论:UUID v7、分布式ID生成服务(Twitter Snowflake)、物理熵源(电阻热噪声、CloudFlare熔岩灯墙),以及在数据库层面添加唯一性约束后重试
  • 讨论还涉及冯·诺依曼方法(从有偏硬币生成无偏随机数)的数学原理,以及浏览器环境生成UUID的安全隐患

A web page that shows you everything the browser told it without asking

585 pointsLinkComment(288)Share

网站被动收集用户信息的机制与透明实践

  • 信息获取的先发制人:IP地址在用户主动提供任何数据前即被捕获,定位至美国爱荷华州Council Bluffs,网络服务商(Google LLC)同步暴露;设备时区、屏幕分辨率、操作系统、浏览器类型等信息均在页面加载前毫秒级自动传输,整个过程无需用户授权或知情。
  • GPU指纹与设备识别:通过WebGL技术获取显卡型号(如Intel Iris OpenGL Engine),结合屏幕尺寸与字体列表,可推断设备品牌、世代与大致价位;字体因软件安装累积而独特化,与其他参数组合后足以在全球互联网中近乎唯一地标识特定设备。
  • 电池状态曾可追踪用户:2015年研究发现,电量百分比与放电时间组合的独特性足以在约三十分钟内跨网站追踪用户;Firefox已于2016年移除该接口,但当前浏览器仍暴露此数据;此外,100%充电状态与无电池设备在技术层面完全无法区分。
  • 浏览器指纹追踪的普遍性与合法性:广告网络综合字体、屏幕、语言、时区、GPU等信息构建用户设备指纹,无需Cookie、无需账号即可跨站识别;该技术在大多数司法管辖区属于合法行为,且正在大多数用户访问的页面中悄然运行。
  • Do Not Track形同虚设:用户未启用该选项本身即为一种信息——或不知其存在,或知其无效;无论哪种情况均表明当前隐私保护机制在技术层面缺乏约束力。
  • 本页的差异化实践:虽然如多数网站般采集用户信息,但选择不向用户展示完整细节,且明确承诺未写入任何Cookie、未占用本地存储空间、关闭标签页后即清除所有数据——这是大多数商业网站不会做出的选择。

An Introduction to Meshtastic

492 pointsLinkComment(180)Share

Meshtastic 项目概述

  • 100% 社区驱动的开源项目,利用廉价 LoRa 无线电在缺乏可靠通信基础设施的地区实现离网长距离通信
  • 采用免许可的 LoRa 协议,设备会转发收到的报文形成去中心化 mesh 网络;每台设备一次只能与单个手机配对
  • 关键特性包括:超长距离(纪录 331 km)传输、加密文本消息、可选 GPS 定位、卓越电池续航,并支持 LoRa、蓝牙、WiFi、USB 多种接口
  • 硬件分为 Client(多数设备)和 Router(少数设备),支持多款型号,如 RAK、Heltec、Muzi 等
  • 社区贡献活跃:代码托管在 GitHub,志愿者通过 Discord 和 GitHub Discussions 提供帮助,文档可自行更新,全部支持均为志愿性质

The hypocrisy of cyberlibertarianism

189 pointsLinkComment(145)Share

网络自由主义的虚伪本质

  • 作者以亲身经历说明互联网带来的真实便利,但深刻批判早期"网络自由主义"意识形态的欺骗性与危害性,认为互联网并未让人类变得更好,反而制造了信息茧房和极化社会
  • 1996年约翰·佩里·巴洛在达沃斯写就《网络空间独立宣言》——此人身份极具讽刺意味:感恩至死乐队词作者、怀俄明州牧场主、迪克·切尼的国会竞选经理、达沃斯论坛常客;该宣言如今读来如同主权公民TikTok视频
  • 兰登·温纳1997年首次使用"网络自由主义"概念,在谷歌、脸书、iPhone、推特、优步、OpenAI出现之前便精准预言了所有后果;他识别出四大支柱:技术决定论("要么跟上要么被淘汰")、激进个人主义(引用安·兰德作智识依据)、自由市场绝对主义(乔治·吉尔德的供给侧经济学)、社区乌托邦的幻想——全部承诺均已落空
  • 温纳最深刻的洞察:网络自由主义者刻意混淆"追求自由的个体"与"追逐利润的企业",将保护个人权利的概念偷换为替跨国巨头服务;这正是整个骗局的本质
  • 内容治理被外包给无偿志愿者(Reddit版主、维基百科编辑、开源维护者),平台收取租金却逃避责任;加密货币则更加赤裸——以"自由"为名绕过消费者一个世纪积累的所有保护,最终让真实的人付出真实代价,创始人却购买游艇并进入AI公司董事会
  • 网络自由主义者最终成为他们曾声称要颠覆的权力结构——当平台足够大时,自由主义言辞被悄然搁置;版权和专利只在有利于苹果、谷歌、OpenAI时才重要;"网络自由主义是爬上去后就踢掉的梯子"

Bun's experimental Rust rewrite hits 99.8% test compatibility on Linux x64 glibc

86 pointsLinkComment(128)Share

Bun创始人宣布Rust重写重大进展:99.8%测试通过率

  • Bun创始人Jarred Sumner在X平台宣布Bun正在进行Rust语言重写
  • 在Linux x64 glibc架构上,原有测试套件的99.8%已通过
  • 推文附带一张图片,展示相关测试结果
  • 此消息发布于2026年5月9日,获得178,200次浏览

LLMs corrupt your documents when you delegate

277 pointsLinkComment(105)Share

LLM委托工作会损坏文档:DELEGATE-52基准揭示严重信任危机

  • 研究引入"委托"这一新兴交互范式(如vibe coding),并创建DELEGATE-52基准测试,包含52个专业领域(编程、晶体学、音乐记谱等)的深入文档编辑任务,用于评估AI系统在长期委托工作流程中的可靠性
  • 大规模实验测试19个LLM后发现,即使前沿模型(Gemini 3.1 Pro、Claude 4.6 Opus、GPT 5.4)在长工作流程结束时也会损坏约25%的文档内容,其他模型失败更严重
  • 代理工具使用(agentic tool use)并不能改善模型在DELEGATE-52上的表现,工具调用能力无助于解决文档损坏问题
  • 文档损坏严重程度与文档规模、交互时长、干扰文件存在等因素呈正相关
  • 当前LLM作为委托者存在根本缺陷:引入的错误稀疏但严重,会静默累积和恶化,导致文档在不知不觉中被腐蚀

Distributing Mac software is increasing my cortisol levels

79 pointsLinkComment(38)Share

Apple正在增加我的皮质醇水平

  • 作者开发了一个用Go语言编写的跨平台开发者工具,在Windows和Linux上分发正常,但在macOS上遭遇Apple的隔离机制(Gatekeeper quarantine),即使通过Nextcloud自共享文件也会触发警告
  • Apple要求加入开发者计划才能签名分发软件,年费99美元,而作者计划在Itch.io以"随意付款"模式销售(约7美元),大多数用户可能选择0美元,扣除平台抽成和增值税后,50次下载仅能获得约25美元收益,仅够支付3个月费用
  • 身份验证过程极其繁琐:MacBook内置摄像头无法拍出清晰的证件照片,Apple未提供使用同网络iPhone作为摄像头的选项,最终只能通过外接摄像头加转接头的临时方案,且每隔一次尝试就报通用错误需从头开始
  • 开发者通过iPhone上的应用完成了注册并付款成功,但桌面应用状态未同步更新,仍显示未提交状态,客服系统存在"最终一致性"问题导致用户困惑
  • 作者指出Apple生态系统存在诸多限制:预算机型停产、取消静音键和TouchID、MacBook仅配备8GB内存、窗口管理需借助第三方工具(AutoRaise、Rectangle)、Finder缺少剪切功能、遥控软件因按键布局问题无法正常工作
  • 作者对比了欧洲国家的数字身份验证系统(如拉脱维亚的SmartID和eParaksts),可在20秒内完成身份验证、1分钟内完成数字签名,认为这些小型国家开发的服务反而比万亿市值的Apple公司更加人性化

I’ve banned query strings

89 pointsLinkComment(37)Share

我禁止了查询字符串

  • 作者 Chris Morgan 反对他人在其网站 URL 上添加追踪参数,如 ?ref= 和 UTM 参数(?utm_source=),认为这是对用户和网站所有者的滥用
  • 作者认为追踪来源应通过 HTTP Referer 头信息获取,若该信息不存在,通常有其合理原因
  • 网站制定了全面禁止未授权查询字符串的政策:目前不使用任何查询字符串,未来若使用也仅允许已知参数
  • 作者过去曾使用 ?t=?h= 等查询字符串进行样式表缓存破坏,但认为即使破坏这类请求也可接受,因为不应存在合法的此类请求
  • 作者邀请读者尝试在 URL 后添加任意查询字符串查看效果,以此展示其禁止政策
  • 作者强调这是其个人网站的自主权,访问者可以自由决定如何处理自己的网站

CPanel's Black Week: 3 New Vulnerabilities Patched After Attack on 44k Servers

61 pointsLinkComment(33)Share

cPanel紧急安全周:勒索软件攻击后10天内连发两个补丁修复三个新漏洞

  • 2026年5月8日,cPanel发布第二个技术安全发布(TSR),一次性修复CVE-2026-29201、CVE-2026-29202、CVE-2026-29203三个新漏洞,距上次修复CVE-2026-41940仅10天,两周内两次紧急补丁非正常现象,暗示勒索软件事件触发了更深入的代码审计
  • 4月28日修复的CVE-2026-41940(CVSS 9.8)认证绕过漏洞被作为零日利用约两个月(自2026年2月下旬起),导致至少4.4万台运行cPanel的服务器被入侵,攻击者部署了名为"Sorry"的Go语言Linux勒索软件加密器
  • CVE-2026-29202(CVSS 8.8)危害最严重,允许通过create_user API的plugin参数注入任意Perl代码,在共享托管服务器上任何认证账户均可利用,可影响整台机器;CVE-2026-29203(CVSS 8.8)允许通过不安全符号链接利用chmod修改任意文件权限,两者可串联实施更深层攻击
  • CVE-2026-29201(CVSS 4.3)严重程度虽较低,但可读取配置文件、凭据及内部路径等敏感信息,为后续更具破坏性的攻击提供情报支撑
  • 修复步骤:执行/scripts/upcp(自动更新禁用时加--force),然后执行/scripts/restartsrv_cpsrvd重启服务,最后用/usr/local/cpanel/cpanel -V验证版本号
  • 若服务器在2026年2月23日至4月28日期间运行过未修复版本,应视为已沦陷而非仅需补丁修复,需追溯审查/usr/local/cpanel/logs/access_log/usr/local/cpanel/logs/login_log中的异常认证模式,并递归扫描用户主目录中是否存在.sorry后缀文件

Zed Editor Theme-Builder

61 pointsLinkComment(24)Share

Zed Theme Builder — 代码编辑器主题定制工具

  • 桌面端专属工具:Zed 主题构建器需通过桌面应用程序访问,暂不支持网页端操作;用户可通过主题扩展页面浏览现有主题
  • 可视化编辑界面:提供深色和浅色主题的实时预览,展示表面、边框、文本、图标、编辑器等各类元素的颜色配置界面
  • 16个组件类别、178个可定制项:涵盖表面(11种)、边框(6种)、文本(6种)、图标(4种)、编辑器(19种)、导航(4种)、元素(6种)、幽灵元素(5种)、拖放目标(2种)、标签(3种)、滚动条(6种)、小地图(4种)、状态栏(42种)、版本控制(8种)、终端(28种)、播放器(24种)等各类界面元素;支持颜色值直接编辑或关联到其他颜色
  • 内置两套主题模板:提供 One Dark 和 One Light 两种预设主题作为起点,便于用户快速开始自定义
  • 完整的主题管理功能:支持创建新主题、重置、导入、导出和分享自定义主题配置
← 2026-05-08 2026-05-09 ...