Намери подобно съдържание

博客名称：破袜子 博客地址：https://pewae.com/ 博客分类：#Life#Write 建站时间：2005年 博客介绍：这里是lifishake同学的blog，主要涉及他所关心的游戏、动漫、笑话以及其他话题。自称是脱离不了低级趣味的人，在他的博客你可以看到许多有趣的吐槽，对生活、工作的各种吐槽，博主大致也是个有趣的人。 RSS地址：https://pewae.com/feed #Blog 频道：@FindBlog

博客名称：陈仓颉 博客地址：https://imzm.im/ 博客分类：#Life#Write 建立时间：2015年 博客介绍：博主陈仓颉的个人博客，有生活日志、摄影分享、电影观后感、读书读后感等分类。博客内容丰富，博主阳光有趣。 RSS地址：https://imzm.im/feed #Blog 频道：@FindBlog

博客名称：印记 博客地址：https://yinji.org/ 博客分类：#Life#Write 建立时间：2018年 博客介绍：小胡同学的个人博客，分享自己的所见所闻，分享自己的观点态度，分享生活与你的美。 RSS地址：https://yinji.org/feed #Blog 频道：@FindBlog

🌍 Web LLM Attacks. • What are LLMs? • Interactive Interfaces and Use Cases; • Security Considerations; • Protecting Against LLM Attacks; • Exploiting LLM APIs with excessive agency; • Exploiting vulnerabilities in LLM APIs; • Indirect prompt injection; • Exploiting insecure output handling in LLMs; • LLM Zero-Shot Learning Attacks; • LLM Homographic Attacks; • LLM Model Poisoning with Code Injection; • Chained Prompt Injection; • Conclusion; • References; • Security Researchers. #web#LLM

午饭间隙整理订阅的中文newsletter，点开了neo为四十岁生日写下的期许和祝福。 这句话写得太好了： “如果过去的一个时代，我们的主要工作是在解决连接问题，那么下一个时代，工作的重点就是“翻译”：它不是字面上的意思，而是在连接之上重新阐释，释放由多样的 1% 带来的力量。” 十分推荐neo的newsletter，毫无疑问是我觉得最值得付费订阅的中文邮件通讯：https://pt.plus/one-percent/ #growth#life

💣 Zip-бомбы для защиты сервера. • Вы ведь знаете, что такое Zip-бомбы? Если коротко, то термин «Zip-бомба» был придуман более 20 лет назад, равно как и сами ZIP-бомбы. Принцип работы заключается в следующем: представьте файл в сжатом виде, который никаким образом не вызывает подозрений, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя. К примеру, файл в сжатом виде занимающий всего 42 килобайта, при распаковки может занимать в памяти более 4,5 петабайт. • Дело в том, что основной объём трафика в вебе возникает из-за ботов (читалки RSS-фидов, поисковые движки, выполняющие краулинг контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM), но помимо всего прочего есть и зловредные боты, которые находят уязвимости и могут встроить в наш сервер зловредный скрипт, а затем превратить машину в ботнет, используемый для DDOS. Таких ботов создают спамеры, скрейперы контента и хакеры. • В общем и целом, автор этого материала описывает методы, где боту в ответ на запрос страницы передаётся сжатое содержимое, размер которого при распаковке многократно превышает размер переданных по сети данных. • Происходит следующее: боты получают файл и считывают заголовок, сообщающий им, что файл сжат. Они пытаются распаковать файл размером 1 МБ, чтобы найти в нём тот контент, который ищут. Но файл продолжает распаковываться снова, и снова, и снова, пока у них не заканчивается память и на их сервере не происходит сбой. Файл на 1 МБ распаковывается в 1 ГБ. Этого более, чем достаточно для того, чтобы поломать большинство ботов. Однако для тех надоедливых скриптов, которые не останавливаются, можно использовать файл на 10 МБ. Он распаковывается в 10 ГБ и мгновенно убивает скрипт. • Если интересно почитать, то статью можно найти вот тут: https://idiallo.com/blog/zipbomb-protection. Либо почитать перевод этого материала на хабре. #ИБ#Web

👨‍💻 Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF. • В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. • Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону. ➡Пример атаки; ➡BFF не панацея; ➡Поможет ли PKCE; ➡Рекомендации из BCP for OAuth 2.0 Security; ➡Упоминание атаки в FAPI 2.0 Security Profile; ➡Актуальность и применимость атаки; ➡Меры защиты. #Web#ИБ

《万物生灵》第二季 字幕组更新完第二季。本剧是一眼望去各色成人化剧集中的一股清流，之前已经推荐过。 按说不该分享盗版的，但这剧没有被引进，也并非常见的大家订阅的港台和美国平台，想看中文字幕正版估计只能指望台湾流媒体，对大部分人而言难度很大，所以还是发出来。 以后也会依照这个原则，酌情分享一些好剧好电影。 💰生活简化 今天注销了7张信用卡，剩下几张偶尔薅各种活动羊毛用。 #TV#Life#资源

web.telegram.orgdiperbarui Dua versi baru telah tersedia (WebK dan WebZ) di web.telegram.org. Saat pertama kali Anda mengunjungi situs web, itu akan secara acak memilih dan mengingatkan Anda versi K dan Z, namun Anda dapat memilih versi alternatif atau lama dari web. Otorisasi hanya tersedia jika ada sesi aktif di perangkat lain. Secara bawaan, situs web akan membiarkan Anda masuk melalui kode QR. #web#update

博客名称：俊介历险记 博客地址：https://www.alrcly.com/ 博客分类：#Life#Code 建立时间：2018年 博客介绍：卧槽，哥们你把少数派抄得短裤都不剩！博主萧俊介，来自江城的全栈工程师，别的不多说，太牛了。 RSS地址：https://www.alrcly.com/feed.xml #Blog 频道：@FindBlog 群组：@FindBlog_Group

博客名称：陈昱行博客 博客地址：https://yuhang.ch 博客分类：#Life#Code 建立时间：2016年 博客介绍：被他博客的简洁风格所吸引。基于 Astro，灵感来自 Bearblog，网站切换还有动效。博客文章不多，但很丰富，语言朴实。是一个喜欢周杰伦的博主。 RSS地址：https://yuhang.ch/rss.xml #Blog 频道：@FindBlog 群组：@FindBlog_Group

博客名称：無標題文檔 博客地址：https://www.gracecode.com 博客分类：#Life#Code 建立时间：2006年 博客介绍：博主明城，八零后、码农、宁波佬。在博客中记录的大概是他认为的点点可能不怎么被理解的幽默感和对平淡生活的追求与向往。 RSS地址：https://www.gracecode.com/feed/ #Blog 频道：@FindBlog 群组：@FindBlog_Group