## Azure Entra ID 登录日志绕过总结 (2023-2025) 安全研究员 Nyxgeek 在 2023 年至 2025 年间发现了 Azure Entra ID 登录日志中的四处绕过漏洞,允许攻击者验证凭据——在后期情况下,甚至获取完整令牌——而不会触发安全警报。虽然微软已修复所有漏洞,但了解这些漏洞对于主动防御至关重要。 这些绕过漏洞——GraphNinja、GraphGhost、GraphGoblin 和 Graph******——利用了身份验证端点在通过 OAuth2 ROPC 流程进行登录尝试时处理特定参数的弱点。GraphGoblin 和 Graph****** 允许在不记录任何活动的情况下检索完整令牌。GraphGoblin 是通过重复有效的 scope 参数来触发的,可能导致数据库溢出,而 Graph****** 则利用了过长的 user-agent 字符串来实现相同的效果。 Nyxgeek 演示了如何使用 KQL 查询通过比较 Graph 活动日志和登录日志来检测这些绕过漏洞,从而识别后者中缺失的会话(需要 E5 许可证才能获得完整可见性)。 尽管漏洞的严重性很高——特别是生成令牌的绕过漏洞——微软淡化了这些问题,拒绝了 GraphGoblin 和 Graph****** 的赏金,理由是它们属于“中等”严重级别。这种不一致性引发了对微软安全审查流程以及关于影响 Azure 安全的关键漏洞透明度的担忧。
每日HackerNews RSS
完整披露:发现第三个(和第四个)Azure 登录日志绕过漏洞
Full Disclosure: A Third (and Fourth) Azure Sign-In Log Bypass Found
49 天前
## Azure 安全问题及更广泛的问题
最近的发现揭示了微软 Azure 持续存在的关键安全漏洞,包括绕过登录日志的情况 ([trustedsec.com](https://trustedsec.com))。一份最新报告详细说明了一个国家资助的组织利用微软访问国务院等机构,凸显了缺乏主动检测——是国务院的系统管理员发现了此次泄露,而不是微软。
讨论线程指出存在系统性问题:日志记录不足、系统设计复杂且存在缺陷(如 Entra ID),以及历史上优先考虑功能而非安全的模式。人们对削减像 CISA 和 FBI 这样的网络安全机构的预算表示担忧,这可能会阻碍有效的防御。
许多评论者表达了对微软安全承诺缺乏信心,引用了过去的漏洞以及在不同平台之间重复使用有缺陷架构的倾向。一些人认为 Azure 的复杂性和对遗留系统的依赖导致了这些问题,而另一些人则指出了一种优先考虑销售而非健全安全实践的企业文化。这场辩论延伸到与 AWS 和 GCP 的比较,一些人认为 Azure 在安全态势方面始终落后。
## J.M.的毒品战争:摘要 “J.M.的毒品战争”是一个基于文本的模拟游戏,玩家尝试建立一个毒品帝国,偿还高利贷(初始债务5000美元),并在一个月内(31天)最大化利润。玩家可以买卖六种不同的毒品——可卡因、海洛因、迷幻剂、大麻、兴奋剂和鲁德,其价格由随机事件决定。 游戏围绕着管理财务、库存(受“风衣”空间限制)和躲避警察展开。随机事件,如竞争对手的销售、警察突袭、抢劫和发现藏匿点,会影响毒品价格和玩家财富。玩家还可以投资购买更大的风衣,冒着风险吸食发现的大麻(可能导致致命后果),或购买武器以自卫。 与高利贷的互动允许偿还债务或进一步借款(有风险)。银行允许存款和取款。游戏在31天后结束,根据剩余资金和偿还的债务计算得分。核心信息,反复显示,是“JUST SAY NO.”(抵制毒品)。
## 药物战争:TI计算器爱好者的怀旧之旅
这次Hacker News讨论围绕着《药物战争》,一款最初于2011年为TI-82/83/83计算器创作的热门游戏。用户们回忆了他们编程和玩这款游戏——以及《保龄球》和《贪吃蛇》等其他游戏——的经历,这些游戏都在这些早期设备上运行。
对话强调了这些计算器作为许多人进入编程领域的入口的重要性,TI-Basic对一代人来说是第一门编程语言。通过电缆下载游戏(以及TI Files和ticalc.org之间的“TI网站大战”)的兴奋之情被人们津津乐道。
许多用户分享了超越TI-Basic,学习z80汇编的故事,他们受到Bill Nagel和Jimmy Mardell等开发者的启发。有些人甚至回忆起费力地手动输入代码! 讨论还涉及了游戏的遗产,包括移植到其他平台,如HP 48,甚至在AI辅助下创建的网络版本。最终,《药物战争》代表了许多早期程序员的形成性经历,以及珍贵的科技怀旧之情。
## Wayland:对Linux显示服务器替代方案的批判性审视
Wayland 作为对成熟的 X11 显示服务器的替代方案,历经 17 年后,其采用情况正面临质疑。尽管旨在解决 X11 的复杂性,但 Wayland 的推广受到影响可用性和阻碍广泛接受的问题的阻碍,目前市场份额为 40-60%。
主要批评包括限制性的“安全”措施,破坏了屏幕录制和复制粘贴等常用功能,性能提升值得怀疑(尤其是在 NVIDIA 硬件上),以及一个碎片化的生态系统,其中核心功能缺乏标准化。该协议的设计优先考虑简单性,经常将实现负担转移到合成器和应用程序上,导致不一致性。
尽管正在积极开发中,许多用户仍然会遇到重大错误,即使是最近的更新也是如此。作者认为,强制采用一个未完成的产品会滋生沮丧,而一些 Wayland 开发者对用户问题的态度被认为是不屑一顾,这进一步加剧了这种情况。
尽管承认在游戏和硬件支持等方面的进展,但作者预测在五年内可能会回滚到 X11,或者出现新的显示协议,强调 Wayland 的权衡并没有证明其破坏的合理性。最终,Wayland 感觉像一个由开发者偏好而非用户需求驱动的项目。
## Claude 代码频道:摘要
Claude 代码现在支持“频道”,这是一个研究预览功能,允许来自 Telegram 和 Discord 等平台的消息、警报、Webhook 推送到正在运行的会话中。这使得 Claude 即使在您未主动使用终端时也能对事件做出反应。
频道作为 MCP 服务器以插件形式安装,需要 Claude 代码 v2.1.80+ 和 claude.ai 登录。团队/企业组织需要明确的管理员启用。设置包括安装所需的插件(Telegram、Discord 或自定义构建),使用 API 令牌进行配置,并使用 `--channels` 标志重启 Claude 代码。
安全性通过发送者允许列表进行管理,通过代码交换“配对”您的帐户与机器人来启动。团队/企业计划的管理员控制整个频道的可用性。
目前,仅支持来自 `claude-plugins-official` 市场的插件,但开发者可以使用特定标志测试自定义频道。频道专为自动化和远程交互而设计,补充了钩子和计划任务等功能。鼓励通过 Claude 代码 GitHub 仓库提供反馈。
## Inara:更佳训练,看得见的进步
Inara 是一款可穿戴肌电传感器,旨在帮助私人教练**留住客户并增加收入**,通过使肌肉激活*可视化*来实现。认识到客户常常因为缺乏感知到的进步而放弃,Inara 提供锻炼期间肌肉激活的实时数据。
这使得教练能够**立即纠正姿势,客观地跟踪每次训练的进步,并在受伤发生前识别肌肉疲劳**。通过展示切实的成果——激活、参与和对称性的改善——教练可以**收取更高的费用**并建立忠诚的高端客户群。
Inara 提供传感器(169.99 美元 + 39.99 美元/月)和免费配套应用程序。它的目标是将教练从仅仅提供锻炼转变为提供**数据支持的指导**和无可辩驳的成果证明。
一位Hacker News用户分享了inara.technology的链接,这是一个来自澳大利亚的新设备,声称是一种可夹在身上的肌肉传感器,供私人教练追踪客户的进步。然而,评论者表达了强烈的怀疑。
提出的担忧包括缺乏独立验证——网站引用科学但未提供来源,并且没有外部评论。有限的在线存在(仅13条Instagram帖子)和可疑的应用商店评论(看起来像是机器人生成,并且提到了AI教练,而非硬件)进一步加剧了疑虑。
此外,网站的历史显示了焦点变化(最初是AI教练),并且关于Android应用程序可用性的信息不一致。一位用户指出,FDA批准的说法难以核实。有人要求提供演示视频以帮助验证该产品。
本篇记录了作者踏入字型设计领域的历程,源于1976年3月在北亨内平社区学院求学期间。最初探索插画和平面设计,一次与兰斯·基兰德老师的字体课点燃了对排版的激情。由于对标题字体选择的限制感到沮丧,作者已经开始尝试使用干贴字,并受到一位平面设计师叔叔的影响。
一个关键的时刻是发现了ITC出版的《U&lc》杂志,该杂志展示了鼓舞人心的排版作品,并征集字型投稿——为设计师提供潜在的收入。这激发了作者的毕业设计:“Uncial Sans”,一种经过精心手工绘制的几何无衬线字体。
尽管最初的设计存在缺陷,但获得了A+的成绩,这次经历巩固了作者一生的抱负。尽管在接下来的二十年里追求其他创意领域,但1976年播下的种子最终在90年代中期结出了果实,出版了一款字型,证明了那堂课是充实职业生涯的真正起点。
一个由marksimonson.com(一个关于字体设计的网站)链接引发的Hacker News讨论,展现了对这项工艺的精彩欣赏。最初的帖子引出了关于字母颜色选择所产生的视觉错觉(特别是色彩立体视差和等光度颜色)的对话,并以1974年年鉴设计为例进行了说明。
用户分享了他们与字体的个人联系,其中一人提到他们广泛使用“Etna”,该字体由网站作者设计。该讨论还涉及了字体排印中经常被忽视的艺术性,以及一个有趣的建议,即复兴古老的字符,如“thorn”(Þ),以应对语言挑战。最终,这场讨论突出了在字形设计中发现的微妙之美和复杂性。
## Minecraft PS3 源代码:深度解析 最近泄露的 Minecraft PS3 源代码揭示了将 Java 游戏移植到性能有限的家用机硬件时,巧妙且常常非常规的解决方案。由 4J Studios 开发的 C++ 代码库展示了因需求而产生的卓越优化技术。 主要亮点包括将指针和计数器打包到单个 64 位整数中以避免锁,一个利用旋转删除队列进行无锁内存回收的 20 行垃圾回收器,以及积极的光照数据压缩,可将内存使用量减少高达 80%。空间效率通过 Z 阶曲线进行平铺存储进一步提高,从而改善缓存命中率。 为了确保世界的一致性,4J 仔细复制了 Java 标准库的部分内容——包括随机数生成和哈希函数——直至原始实现细节。爆炸使用光线投射而非物理引擎进行模拟,地形生成利用 Perlin 噪声并进行巧妙的优化。该代码还揭示了务实的解决方法,例如绕过损坏的控制台堆,直接分配物理内存,以及诚实的开发者评论,承认对混乱或可疑的原始 Java 代码感到困惑。 这份泄露的源代码并非精雕细琢或教科书式的完美,而是一个小型团队克服重大技术障碍,交付深受喜爱的游戏体验的原始而务实的例子。
## 黑客新闻讨论:AI生成内容与Minecraft源代码
一篇关于Minecraft源代码有趣之处的黑客新闻帖子引发了关于在线AI生成内容日益普及的争论。最初,该帖子被作者短暂删除,他承认使用了LLM来“改进”写作,因为一开始在英语和潜在的拼写错误方面遇到困难。
这引发了更广泛的讨论,关于检测AI写作文本的难度,许多评论者指出过于精确的措辞和缺乏真正见解等明显迹象。人们担心AI可能会用无法区分的内容充斥互联网,破坏信任,并可能使验证真实的互动变得困难。
一些人提出了政府支持的身份验证或AI辅助写作的免责声明等解决方案,但另一些人质疑它们的有效性。使用Donald Knuth的写作文本进行的详细分析表明,虽然AI可以*模仿*风格,但它通常缺乏人类作者的细微差别、意图和逻辑一致性。这次对话凸显了人们对在日益复杂的AI时代保持真实性的日益增长的担忧。
轰炸式地向赌徒提供优惠会大大增加投注和赌博危害。
Bombarding gamblers with offers greatly increases betting and gambling harm
49 天前
一项新的研究首次提供了确凿的证据,表明直接的赌博营销——例如通过电子邮件和短信提供的免费投注优惠——会显著增加投注活动、支出和相关危害。来自澳大利亚和英国的研究人员追踪了227名常客赌徒两周,发现那些*没有*收到营销信息的人投注次数减少了23%,花费减少了39%,并且报告的与赌博相关的危害减少了67%。 这项研究结果挑战了反对监管赌博营销的论点,尤其是在英国2023年白皮书中有所强调。专家认为,类似的负面影响也适用于更广泛的广告,例如电视和社交媒体活动。 该研究强调了这些策略的操纵性,正如纳曼·贾瓦伊德因免费投注广告而引发的成瘾经历所说明的那样。贾瓦伊德现在正在康复中,并与一个赌博危害慈善机构合作,他强调了那些寻求帮助的人所受到的持续激励轰炸。该研究强烈呼吁加强监管,甚至可能完全禁止,以保护弱势群体。
## 赌博危害与广告:摘要
近期一项研究表明,向赌徒大量推送优惠显著增加了投注和潜在危害。这并不令人惊讶,正如专家指出的那样,这与成功监管烟草和酒精广告相似——限制接触可以明显改善公众健康。
Hacker News上的讨论揭示了一个复杂的问题。许多人同意广告助长了赌博,特别是对于弱势群体,但由于激烈的竞争,行业抵制限制。禁止广告将使竞争环境公平,减少大规模营销支出,但广告收入是变革的强大动力。像最高法院裁决保护赌博广告受第一修正案保护这样的法律挑战,进一步使监管复杂化。
许多评论员指出该行业的掠夺性本质,并指出公司甚至投资于心理健康服务——从问题本身*和*解决方案中获利。担忧延伸到赌博公司的伦理影响以及加强监管以保护个人免受成瘾和财务毁灭的必要性。一些人提出了解决方案,例如与政府颁发的许可证挂钩的损失限制,但承认潜在的漏洞和执法挑战。最终,争论的中心在于平衡个人自由与社会免受明显有害行业的保护。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 [重复] Android 开发者验证:在开放性和选择权与安全性之间取得平衡 (googleblog.com)
51 分,WalterSobchak 1 天前 | 隐藏 | 过去 | 收藏 | 2 条评论 帮助
Groxx 1 天前 | 下一个 [–]
更多讨论在这里:https://news.ycombinator.com/item?id=47442690 回复tomhow 1 天前 | 父评论 | 下一个 [–]
评论已移至此处。谢谢!
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
初步随机森林调优后,为了解决scikit-learn默认基尼重要性的局限性,采用了样本外(OOS)排列特征重要性进行特征优化。由于基尼重要性对连续变量存在偏见(许多特征是离散的)、计算基于训练数据以及与相关特征存在问题,因此被认为不适用。 OOS方法包括训练模型,然后评估在*独立*验证数据上,单个特征值随机打乱后预测能力下降的程度。结果显示,模型严重依赖“seconds_to_settle”特征——本质上是时间/到期时间——该特征承担了整个模型的预测权重。 此外,异常高的AUC分数0.7566引发了对潜在的先验偏差和过拟合的担忧。因此,目前正在进行特征清理,以解决这种不平衡并提高模型的鲁棒性。
一篇 Hacker News 帖子讨论了一篇博客文章(illya.sh),详细描述了使用随机森林机器学习模型进行价格预测的经验,很可能预测的是比特币。作者发现该模型受到“到期时间”噪音的严重影响,而非有意义的信号。
最初的讨论集中在这一特征出人意料的强度以及对背景的请求,并通过链接到同一博客上的相关帖子提供了背景信息。这些帖子详细介绍了构建交易机器学习工厂并获得 22% 的回报。一位评论者建议使用 SHAP 值进行更好的特征分析。总的来说,这篇帖子和随后的评论强调了特征选择的挑战以及将机器学习应用于金融市场的潜在陷阱。这篇文章因易于理解且信息丰富而受到赞扬。