比特随想

#think 国产软件代替前端列表（更新中） QQ PC -> Icalingua++ 阿里网盘 -> 阿里网盘小白羊版v2阿里网盘小白羊版v3 哔哩哔哩 -> BiliYou（Android） 哔哩哔哩 PC -> 哔哩（UWP 应用） 哔哩哔哩 PC -> bilibili.com 微博 -> weibo.com 网易云音乐 PC -> music.163.com 网易云音乐 PC -> HyPlayer（UWP 应用） QQ 音乐 / 网易云音乐 -> 倒带（Android 不开源） 抖音 PC -> douyin.com 百度贴吧 -> 贴吧 Lite（Android） 注意：国产软件大多数不容许第三方软件的使用，使用这些客户端可能会被封禁账号。 注意：如不另外标注，这些软件都不保证安全（包括但不限于可重现构建、恶意代码、开放源代码、封号）

#think 我的安全浏览配置 2023 年，很多网站和服务都会标配“贴心广告”，这些广告往往会根据你浏览、搜寻或释出的内容，量身定制提供给你的内容。 不能说这很有害，只是让人觉得烦躁而已。 我用不同的账号释出和浏览内容，我也用不同的账号释出不同的内容。 根据资讯的级别，我会使用不同的手段来保护自己不被泄露。 我在这里分享一下我在浏览网页时的配置。 我目前使用的是 Firefox 浏览器，有些人只听说过，但没有使用过。 火狐浏览器有几个非常大的优势。 与竞品 Chrome 相比，用什么都特别自由。 2022 年，谷歌宣布 Chrome 将只允许在未来某个时间点安装 Manifest V3 (MV3) 扩充套件。 MV3 在 2018 年释出时遭受了很多批评，包括一些限制，例如限制广告外挂的 30,000 条拦截规则，而 Mozilla 基金会（Firefox 开发负责人）声称不会有限制。 届时只有火狐浏览器是自由的。 推荐几个扩充套件：ClearURLs、Temporary Container、uBlock Origin。 其中我会重点介绍 Temporary Container 的自动模式，允许同一个网站下使用同一个临时容器，避免了一些网站需要验证一些 cookie 带来的麻烦，容器和资料结合 当它关闭时 Destroy，并且可以有效地防止你的资料（在某些情况下）跨网站传播。 临时容器 此扩充套件是使用 Firefox 自身功能建立的容器。 如果有持久化登入状态需求，直接单独建立一个容器登入网站。 关闭 Firefox 时不会发生情况数据。 也可以在 Firefox multi-account containers 扩充套件中设定网站自动选择容器开启的功能。 注册账号的时候可以选择 duck.com 的邮件转发服务，他们的扩充套件可以生成一个永久的随机邮箱地址。 并在转发时删除跟踪器。 下次（如果有机会），我会在释出内容时分享我的配置。 以上。

#forward#think https://www.bumingbai.net/2023/05/ep-048-program-think/ 这个频道命名为“比特随想”，灵感就是来自编程随想。 编程随想中之人阮晓寰于 2021 年 5 月 10 日被捕。向简体中文互联网先锋敬礼，保持独立思考。 频道维护者引用链接的页面内容仅供参考，不代表维护者的立场。

#think 使用新顶级域欺骗 本文实际上是翻译这篇文章。 Google 在早些时候推出了 zip. 和 mov. 等顶级域名 ，这两个域名分别意味着以 zip 为后缀的压缩包和以 mov 为后缀的视频。 问题就出在这里，攻击者可以设计一个精心制作的 URL 来欺骗你进入非预期的页面。 ★示例 https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip （应跳转 Youtube） https://github.com/example/example/archive/refs/tags/release.zip （应显示 Not Found） ★为什么会这样 一个 URL 的构成是... https:// （协议） 用户名:密码@ （用户信息） 二级域.示例.中文 （域名） :11451 （端口） /路径 （路径） ?query=keyword （参数） #main （哪块儿） 拼起来就是 https://用户名:密码@二级域.示例.中文:11451/路径?query=keyword#main。 一些浏览器会忽略用户信息，让用户不会意外登录到某网站，直接进入这个 URL。 https://[email protected] 这个网址会把解析到 b.com。如果我们在@之前添加反斜杠就会解析 a.com，就像 https://a.com/[email protected]。 所以欺骗一个人只需要让一个网址看起来是带你到 a.com，但实则是带到 b.com。 根据一个 Chromium 的 bug。浏览器允许在地址栏使用 U+2044 (⁄) 和 U+2215 (∕)，但不视作 U+002F (/) 正斜杠。 利用这点，我们假设有这样一个链接... https://github.com/example/example/archive/refs/tags/release.zip，只需要稍加改造，在 release.zip 前添加@并且全部换成 U+2215 (∕) 字符使浏览器认成用户信息，现在这个链接会指向 release.zip 域了。现在别人花了 $15 租用这个域名指向了 Youtube 的一个视频... https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip ★预防 排查任何链接，尤其是带@的。 ★延伸阅读 The Dangers of Google’s .zip TLD 频道维护者引用链接的页面内容仅供参考，不代表维护者的立场。

#think Reproducible Build 扫盲：如何证明你的二进制文件是用这段代码编译的？ ★简介 今天想到一件事，如果我下载了一个开源应用的安装包和应用程序，如果这个应用不是用这套代码编译的怎么办？ 今天就分享这个方法。 ★为什么这么重要？ 如果您下载的应用程序被植入了后门，而源代码却没有后门，这会让您误以为该软件是安全的。 ★什么是可重现构建？ 可重现构建（洋文：Reproducible builds）是一个编译过程，目的是让每次生成的二进制文件都一样。 有相当多的软件支持可复制构建，例如 Telegram（不一定，详见这里）、Tor 浏览器、Debian 等。 当然，有些软件不支持可重现构建，并且有一定的要求，比如代码中不记录编译日期，尽可能在最纯净的环境中编译等。 ★普遍方法 clone一个编译版本的仓库源码，按照指南编译，与下载的二进制文件对比。 ★提醒 仍然需要 code review ★延伸阅读 Reproducible-builds.org 投票：如果一个开源项目提供了可以使用的二进制文件，你会下载并运行它还是自行编译？@比特随想的频道 频道维护者引用链接的页面内容仅供参考，不代表维护者的立场。

#think 打印机日志可能会披露用户名——信息安全随想 一些打印机可能会安装硬盘来存储信息，有一些打印机（例如学校里安置的打印机）会记录从操作系统发送的打印文件名，可能包含该文件的路径，如果一个文件是从 WeChat 下载的并直接从下载目录打印，操作系统就会发送包括 wxid 以及系统用户名的目录。 若计算机系统配置了域，攻击者可以通过统一的密码和固定格式的用户名来攻击服务器。 ★解决方案 一些程序不会发送路径到打印机，可以转用这些程序来打印。 另一种方式则是通过使用其他的路径或使用公共的计算机来打印，以避免泄露。 其他的方式是给打印机修改密码。 ★延伸阅读 扫盲“社会工程学”[1]：攻击手法之【信息收集】@编程随想的博客 频道维护者引用链接的页面内容仅供参考，不代表维护者的立场。

世界您好。 我会在那里发布一些应用程序和一些新闻，敬请关注！ 频道维护者引用链接的页面内容仅供参考，不代表维护者的立场。 维护者通常不会以超过两周的间隔发送信息。如果已经超过四周了，我可能发生了什么事。 应用列表： [准备开发...] 匿名的哔哩哔哩（即将推出） [正在评估] 基于 Cloudflare Worker 的 Telegram 频道页面（即将推出） [正在评估] 社区软件 标签： #think (随想) #nsfw (工作时不适宜内容) #4fun (for fun) #notice (公告) #evaluate (评价) #forward (转载) #accelerate (加速！) #tips （提示）