## Discord 链接预览漏洞:绕过隐私保护
Discord 故意避免读取回执以保护用户隐私,通过其服务器代理链接预览图片来实现这一点——防止发送者直接追踪接收者何时查看内容。然而,最近发现的一个漏洞绕过了这一保护。
该漏洞利用了 Discord 的链接预览系统。当分享链接时,Discord 会获取并验证页面 OpenGraph 标签中声明的图片。研究人员发现他们可以返回一个有效的图片用于验证,然后持续使来自 Discord 代理服务器的后续请求失败。Discord 客户端随后会重复尝试加载图片(最多重试六次,且延迟逐渐增加)。
这些重试会击中研究人员的服务器,从而产生可预测的时间信号,揭示了*何时*查看了消息,*有多少*人查看了它,以及他们保持打开状态的*时长*。研究人员构建了一个概念验证工具,利用不可见链接和会话分组来可靠地追踪查看活动。
Discord 确认了该漏洞,并奖励了赏金并解决了该问题。研究人员于 2025 年 2 月公开披露了这些发现。
每日HackerNews RSS
对不起。
## 重振ME2掌机:一个保存的故事
2024年,一段视频展示了ME2,一款小众的2008年掌机玩具,它可以通过USB与在线游戏同步——而该游戏的软件和资源一度被认为已经丢失。受到启发,作者(Miuchiz Reborn保存项目的负责人,该项目专注于类似的手持设备/在线游戏)开始调查。尽管之前已知ME2的存在,但重新燃起的关注促使作者深入研究其功能。
最初的目标是重建游戏服务器,但很快扩展到理解与掌机的USB通信——ME2体验的核心。由于缺乏原始软件,作者购买了ME2设备进行逆向工程。这导致了拆焊和转储闪存芯片固件的过程,这个过程因“芯片贴片”微控制器缺少识别标记而变得复杂。
经过艰苦的工作,包括对微控制器进行解封,并利用数字显微镜和在线资源,处理器最终被识别出来。这使得固件可以被反汇编,揭示了USB协议并能够与设备通信。甚至发现了一个漏洞,允许进行任意内存读取,从而绕过了直接访问微控制器的ROM的需要。
结果是一个命令行工具,可以读取/写入闪存,操作游戏数据,甚至监视按钮输入——所有这些都不需要原始软件。这个项目展示了硬件逆向工程的力量,即使在原始软件丢失的情况下也能保存功能,并为复兴其他被遗忘的技术提供了一个蓝图。代码和研究是公开可用的,展示了一项成功地为游戏历史注入新生命的努力。
一个黑客新闻的讨论围绕着一个项目,详细介绍了对《质量效应2》USB驱动器的逆向工程,使用了热风枪和刀具。 话题很快转移到使用表面贴装器件(SMD)的技术。
用户分享了更容易移除SMD的技巧,包括用铝罐自制工具来帮助用烙铁抬起IC。 然而,许多人提倡使用热风枪,认为它优于基于烙铁的方法。
讨论随后集中在热风台的价格上,推荐范围从经济实惠(60美元的YIHUA 959D)到更专业的选择(300美元的Quick 861DW,或约30美元的858型台)。 建议使用热风回流焊膏来连接SMD插座,并预热电路板以保护塑料元件。 最后,一些人对用于复杂项目的中国激光焊接台表现出兴趣。
一个名为“信号”的俄罗斯情报设施,官方致力于探测研究,秘密地同时存在国家资助的兴奋剂计划和负责暗杀的化学武器计划。这种安排在2015年一次关键叛逃后,获得“最高层”的批准,利用“信号”合法的科研掩护来实现合理否认。 两项行动共享相同的科学家、设备和基础设施,由维克多·塔拉琴科等人物管理——他与斯克里帕尔中毒事件有关联,负责监督神经毒剂生产和兴奋剂开发。 两项计划都采用相似的运作结构:联邦安全局特工负责交付和掩盖,无论是向目标施毒还是向运动员提供无法检测到的物质。尽管俄罗斯试图通过安插联邦安全局特工来掩盖兴奋剂计划,但仍面临国际体育禁赛,目前正在重新考虑参赛资格。“信号”有效地为俄罗斯在体育和定向暗杀领域的非法活动提供了一个单一的、隐蔽的基地。
## 黑客新闻讨论摘要:俄罗斯、兴奋剂和纳瓦尔尼
一场黑客新闻的讨论围绕一份报告展开,该报告指控俄罗斯联邦安全局(FSB)参与了国家支持的兴奋剂计划和对阿列克谢·纳瓦尔尼的毒害。 初始帖子链接到 *theins.press* 的调查新闻报道,详细介绍了这些指控。
对话分化到几个方面:联邦安全局在网络操纵中的更广泛作用、关于纳瓦尔尼返回俄罗斯的动机的猜测(理想主义与战略计算)、以及对其行动是否有效的争论。 一些评论员质疑纳瓦尔尼为何明知会冒生命危险,而另一些人则为他挑战俄罗斯政府的决心辩护。
进一步的讨论涉及考虑到遗传优势和兴奋剂盛行的情况下,竞技体育的公平性,以及对乌克兰冲突相关叙事的怀疑。 一个关键点是西方资助和议程可能对纳瓦尔尼等俄罗斯反对派人物产生的影响,一位评论员分享了一段前纳瓦尔尼助手讨论失去美国国际开发署(USAID)资金的视频。
总的来说,该帖子反映了对国际政治的复杂和愤世嫉俗的观点,参与者质疑动机并挑战主流叙事。
本文详细介绍了如何使用Golang将廉价的RFID阅读器用作直接输入设备的过程。作者希望直接将RFID扫描结果捕获到应用程序中,而无需依赖外部库或系统范围内的键盘模拟。 核心挑战在于获得对RFID阅读器输入的独占访问权限。这通过低级系统调用`EVIOCGRAB` ioctl来实现。作者选择Golang实现以避免Python依赖。 代码首先使用`/dev/input/by-id/`识别设备,然后打开设备,使用`EVIOCGRAB`获取独占访问权限,并读取输入事件。代码会过滤按键事件,将特定的键码映射到字符(在`keyMap`中定义),并将它们累积成一个代表RFID扫描结果的字符串。扫描结果以“Enter”键事件结束。最后,程序退出时释放独占访问权限。 提供了完整的Golang代码,允许用户直接将RFID数据读取到他们的应用程序中。
对不起。
这份CTV新闻摘要,日期为2026年4月19日,重点关注加拿大总理马克·卡尼向全国发表的讲话,他在讲话中宣布加拿大与美国的关系现在是“弱点”。 讲话涉及加拿大的经济挑战和贸易动态的重大转变。
除了总理的讲话,新闻还报道了各种全国性新闻。其中包括对魁北克和安大略省洪灾持续的担忧,哈利法克斯无人驾驶巴士事故造成的交通问题,以及奥尔良学校饮用水中铅含量超标问题。 多个省份正在应对各种问题,从基奇纳失踪的青少年到萨斯喀彻温省反对人工智能数据中心的抗议活动。
国际方面,报告强调了中东冲突和俄乌战争的升级,以及朝鲜的导弹发射。 商业新闻指出存在经济衰退风险和投资流动的变化,而健康报告则涵盖卡芬太尼的蔓延以及对植物性牛奶安全性的担忧。 该摘要还包括娱乐、体育、生活方式、气候和科技方面的更新。
与暴雪经历漫长的法律斗争后,流行的《魔兽世界》私服Turtle WoW将于5月14日关闭。此前,双方在去年9月就暴雪的版权侵权诉讼达成了和解。 Turtle WoW旨在重现“经典+”体验,在原版《魔兽世界》框架内提供新内容——这是粉丝们长期以来渴望的,也是暴雪目前正在官方探索的概念。尽管服务器运行了八年并拥有忠实的社区,但团队提出的粉丝服务器许可框架请求未能成功。 开发者对围绕服务器建立的社区表示感谢,强调共同的经历是该项目的最大成就。服务器将被加速到最终补丁,以便最后一次体验内容,但所有相关平台都将于10月16日停止运营,命运与《魔兽经典》推出前Nostalrius服务器的命运相似。
我们检测到您的浏览器已禁用 JavaScript。请启用 JavaScript 或切换到受支持的浏览器以继续使用 x.com。您可以在我们的帮助中心查看受支持的浏览器列表。帮助中心 服务条款 隐私政策 Cookie 政策 版权信息 广告信息 © 2026 X Corp.
## Notion 数据泄露与安全问题
最近的问题显示,Notion 会公开泄露任何公开页面所有编辑者的电子邮件地址和个人资料照片。 这已在 Notion 的帮助文档中正式记录,但被埋没其中。 虽然一些人认为修复起来很简单,但另一些人认为由于遗留代码和对其他功能可能造成的影响,这很复杂。 Notion 代表承认了这个问题,并表示正在探索解决方案,例如从公共端点删除个人身份信息或使用电子邮件代理,但承认快速修复不可行。
该事件引发了关于企业对用户数据负责的讨论,呼吁对违规行为实施更严格的法规和处罚。 许多用户表达了沮丧之情,强调了一种优先考虑功能而非安全的模式。 Obsidian、Anytype 以及 Docmost 和 Outline 等自托管解决方案被讨论。
核心问题似乎源于 Notion 处理用户 ID 和公开页面渲染的方式,不必要地暴露了信息。 这起事件凸显了现代 Web 应用程序中功能、便利性和强大的数据隐私实践之间持续存在的紧张关系。
## 配对顺序:一种衡量无序的基本方法
这篇博文探讨了一种名为“Amp”的新定义度量,用于量化序列中的无序性,并以此为基础构建于“配对顺序”的概念之上。配对顺序是通过比较序列中的相邻元素来确定的——如果第一个小于第二个,则赋值为1;如果大于,则赋值为-1;如果相等,则赋值为0。这可以看作是离散导数或元素之间差值的符号。
关键见解是,许多现有的无序度量,如Runs(计算下降步数)和Mono(计算单调片段),都可以仅使用配对顺序来*重新定义*。这简化了分析,将重点从原始序列的变化转移到代表配对比较的-1、0和1值的序列的变化。
至关重要的是,这种方法优雅地处理具有相等元素的序列。通过仅考虑唯一元素(通过一个名为Unique的函数),度量变得与重复值无关,有效地忽略了配对顺序中的“0”值。
作者得出结论,配对顺序是一种令人惊讶的强大工具,它提供了一个更小的范围来分析无序性,并可能在未来的工作中解锁对不同无序度量之间关系的更深入理解,例如Mono和Amp。
最近一篇 Hacker News 的帖子链接到一篇文章,该文章通过关注元素之间的局部差异来探讨序列中的“无序”。然而,一位评论者 npinsker 对文章的方法表示困惑和怀疑。
Npinsker 认为作者创建了许多相关的、但缺乏实际应用价值的 reducer 函数,并且最终未能捕捉到有意义的无序。该评论者强调,评估无序需要考虑序列中的*全局*关系——仅进行局部分析会遗漏关键上下文(例如,区分几乎有序和极度无序的序列)。
作者甚至承认了他们“Amp”函数的局限性。Npinsker 质疑这项工作的整体实用性,认为它并没有提供一个解决方案,即有效地测量无序需要全局意识的固有问题。
必要的 Cookie 启用网站的基本功能,如安全登录和偏好设置调整。它们不存储个人数据。无 功能性 Cookie 支持内容在社交媒体上分享、收集反馈和启用第三方工具等功能。无 分析性 Cookie 跟踪访问者互动,提供访问者数量、跳出率和流量来源等指标的洞察。无 广告 Cookie 根据您之前的访问情况提供个性化广告,并分析广告活动的效果。无 未分类的 Cookie 是我们正在与各个 Cookie 提供商一起分类的 Cookie。无
Hacker News新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交登录 [重复] Vercel 称内部系统遭到入侵 (decipher.sc)
377 点赞 by whiteyford 1 天前 | 隐藏 | 过去 | 收藏 | 2 评论 帮助
sdoering 1 天前 [–]
重复。其他有评论的帖子:https://news.ycombinator.com/item?id=47824463回复
dang 1 天前 | 父 [–]
评论已移动至那里。谢谢!
考虑申请 YC 2026 夏季批次!申请截止至 5 月 4 日
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
启用 JavaScript 和 Cookie 以继续。
## WordPress 争端:CEO 否决开发者意见,将 Akismet 纳入推荐
WordPress 社区近期出现争议,CEO Matt Mullenweg 否决了核心提交者(core committers)的意见,将他公司 Automattic 拥有的反垃圾邮件服务 Akismet 纳入 WordPress 7 的“Connectors”列表——一个推荐插件的显著区域。
核心团队最初表示反对,可能出于偏袒商业产品的担忧。然而,Mullenweg 强调了 Akismet 长期以来对 WordPress 的重要性,并坚持将其纳入,甚至在发布候选版本阶段,违反了既定政策。
争论的焦点在于这是否是合法的产品决策,还是滥用权力。一些人认为这是标准的商业行为,而另一些人则批评缺乏透明度,以及 Mullenweg 同时领导非营利 WordPress 基金会和盈利 Automattic 带来的潜在利益冲突。 也有人担心这可能导致优先考虑 Automattic 的利益,而非更广泛的 WordPress 社区。
这一事件凸显了开源治理以及企业利益在 WordPress 生态系统中的影响的持续紧张关系,引发了关于该项目未来方向的讨论。