哪怕只要出现一个”明文“关键词都给我报cyber 2 个帖子 - 2 位参与者 阅读完整话题
腾子好像不给开放明文聊天记录,只有加密之后用qq打开解密的 4 个帖子 - 4 位参与者 阅读完整话题
我在局域网内用 OpenList 在 5244 端口搭建了一个明文 HTTP 的 WebDav 服务器。当使用 Debian 13 的 KDE 桌面自带的 Dolphin 文件管理器挂载时,读取正常,但是不能上传文件。弹窗提示“尝试上传时发生意外错误(0)”。同样的设置用其他软件和安卓手机上的软件都正常。 问了 AI,抓了一下日志发现是 KIO Worker 进程崩溃 ~$ QT_LOGGING_RULES="kf.kio.workers.http.debug=true;kf.kio.workers.dav.debug=true" dolphin kf.kio.core: Connection::send() called with connection not inited kf.kio.core: An error occurred during write. The worker terminates now. kf.kio.core: Connection::send() called with connection not inited kf.kio.core: An error occurred during write. The worker terminates now. kf.kio.core: Connection::send() called with connection not inited kf.kio.core: An error occurred during write. The worker terminates now. 尝试了清理 KIO 缓存、重装 KIO 相关组件、尝试在地址栏改用 webdav:// 和 http:// 都没用。又问了一下 Grok,它说这个问题很早之前就有人提出过,但是至今未解决,推荐换用 davfs2 或者 rclone 代替自带的 KIO,也可以尝试换用 HTTPS 以及检查服务器是否支持 Expect: 100-continue,尝试关闭服务器的 keep-alive 等。 然后我又想起来之前我安卓上要用 FolderSync Pro,它只支持 HTTPS 而不支持明文 HTTP,我就用OpenResty 反代了一下 5244 端口的 OpenList。加上了自签名证书,运行在 8443 端口。我抱着司马权当活马医的心态用 Dolphin 进入 8443 的 webdavs,结果发现文件上传正常了。再回过头去连接 5244 的明文 HTTP 问题依旧。 于是这个玄学问题就如此用“曲线救国”的方式解决了。 1 个帖子 - 1 位参与者 阅读完整话题
审核工作,需要明文的身份证号、姓名来核对信息。目前数据库、传输都有加密了,但前端是明文显示。系统需要做三级等保,了解到的情况是,前端个人信息显示都需要脱敏显示。想问下有没有处理过这种情况的佬友,怎么同时兼顾等保和业务。 5 个帖子 - 4 位参与者 阅读完整话题
应该没有在网上暴露过,可能用过公益站,被明文扫走了,太可怕了 2 个帖子 - 2 位参与者 阅读完整话题
此前安全研究人员 Tom Jøran Sønstebyseter Rønning 公开披露微软的 Microsoft Edge 浏览器会在启动时将所有已经保存的账户密码以明文形式直接加载到内存进程中,研究人员直接公开这个问题是因为微软不认为这是漏洞,因此也没有计划向安全研究人员提供漏洞奖励。 这件事其实并不让人意外,因为Google以前也犯过类似的错误,Google和微软都认为在攻击者已经能够控制设备的情况下,其他安全防御措施已经失效,所以像是通过恶意软件读取内存中保存的账号密码本身就不在安全模型考虑范围内。 不过微软还是准备进行改进: 微软团队在博客中表示,根据研究人员披露的问题将对 Microsoft Edge 浏览器进行改进,改进后不会在启动时将密码加载到内存中,这项深度防御措施将覆盖所有版本 (包括所有频道的测试版、正式版以及适用于企业的扩展稳定版)。 目前这项改进还被微软作为优先事项进行推进,所以在已经发布的 Microsoft Edge 金丝雀版中,浏览器启动后不会再将密码加载到内存中,到 Microsoft Edge v148.0 正式版发布后,用户正常安装此更新即可获得改进后的安全防御措施。 为什么微软最初认为这不是漏洞: Google和微软的核心考虑都是设备本身的安全性才是最重要的,在本次案例中研究人员披露的问题需要通过软件获得管理员权限并在本地运行读取内存中的数据,这种利用方式有不同的利用场景:1. 恶意软件已经可以获得管理员权限运行;2. 在共享使用的设备上管理员账户可以读取其他非账户的数据。 微软称研究人员报告的场景前提都是攻击者能够控制设备,而攻击者能够在本地运行不安全的软件的情况下,浏览器或任何应用程序的防御能力都无法应对,微软的密码管理器威胁模型明确指出,物理上的本地攻击和以提升权限运行的恶意软件不在考虑范围内。微软也强调相关利用场景并非攻击者通过浏览器直接获得数据,因此从浏览器角度而言这是没有任何问题的。 微软还解释不给研究人员发奖金的问题: 微软忽略漏洞报告并不会为这份报告提供漏洞奖金的根源在于,微软在浏览器安全方面采用与Google Chromium 开源项目相同的安全标准,因此既然认定这是无效的漏洞报告自然也不会为研究人员提供漏洞奖金。 但因为漏洞报告与研究人员的沟通流程仍然存在问题,像是本次的安全缺陷本身其实可以被归类为改进,所以微软将重新审视处理研究人员报告的方式,后续微软将公布这方面的经验教训和正在进行的流程改进。 查看评论
IT之家 5 月 16 日消息,科技媒体 WinAero 昨日(5 月 15 日)发布博文,报道称微软计划升级 Microsoft Edge 浏览器,调整密码管理机制, 不再把已保存密码以明文形式解密后放入进程内存。 IT之家曾于本月报道,挪威安全研究员 @L1v1ng0ffTh3L4N 发现,微软 Edge 浏览器在启动后, 会将所有已保存的密码以明文形式加载到内存中,导致恶意软件或黑客更容易窃取这些密码。 微软发言人随后回应称,Edge 在启动时以明文将全部密码加载到内存是设计使然,并非用户怀疑的 Bug 导致,其目的是加快终端用户的登录和认证流程: 安全与保障是 Microsoft Edge 的基石。要想在所描述的场景下窃取浏览器数据,前提是设备已经遭到入侵。 这一领域的设计选择需要在性能、可用性和安全性之间取得平衡,我们会持续根据不断变化的威胁进行评估。 浏览器在内存中访问密码数据是为了帮助用户快速、安全地登录 —— 这是应用程序的预期功能。我们建议用户安装最新的安全更新和杀毒软件,以帮助防范安全威胁。 微软最初并不打算修复这个问题,不过微软现在改变决定,微软 Edge 安全部门负责人 Gareth Evans 表示,未来更新将不再让浏览器在启动时立即把已保存密码加载进设备内存。 从推进节奏看,微软已在 Canary 频道 Microsoft Edge 中修复该问题,此外这项更新也被列为优先事项,并将并入下一轮正式版更新,有望在 Edge 148 中修复。 相关阅读: 《 微软回应 Edge 在内存中明文加载所有密码:并非 Bug,设计使然 》
经过 洗澡前突然朋友突然at我,问我截图为什么传到他那里了 剧情啊 我们学校今天突然断网,把企业微信吵架的话截图出来发到我们实验室的小群(我们几个玩的好的小群),给他们省流不用滑,然后我电赛队友那个朋友(不是同一个实验室,分道扬镳了)问我怎么截图传到他那了 开始骂人 9点多发的11点多传到隔壁实验室(他们BOSS和我们实验室BOSS有纠纷平时两个实验室关系摆在明面不好),早不知道传几手了 最搞的来了 最后 带明文水印的最好不要随便截图,多信赖的不可以,到现在连个道歉都没有。。。 4 个帖子 - 3 位参与者 阅读完整话题
昨天又用户在 X 上提到:Microsoft Edge 会在启动时将你保存的所有密码以明文形式加载到内存中,即使你没使用它们。 这是真的,但真相不止如此。 根据这个说法,Edge 在刚启动时、使用中,以及使用后,所有密码都会明文保存在内存中。 只需要有管理员权限,就可以获取。 甚至,有一个演示代码,
https://cybernews.com/security/microsoft-edge-loads-cleartext-passwords-to-memory/ 18 个帖子 - 14 位参与者 阅读完整话题
一名网络安全研究人员日前发布了一款概念验证工具,展示了 Microsoft Edge 在处理已保存密码时存在的安全隐患。 这名在网络上使用 Tom Jøran Sønstebyseter Rønning 名号的研究人员在包括 X 在内的社交平台分享了自己的发现,并给出了完整演示。 根据他的说法,Microsoft Edge 在浏览器启动时就会将用户已保存的账号密码,以明文形式加载到系统内存中,即便这些凭据当下并未被使用。 更耐人寻味的是,即使在所有密码都以未受保护的形式驻留在内存的情况下,浏览器仍然会继续要求用户重新登录。 为更直观地说明这一行为,研究人员在 GitHub 上发布了名为 “EdgeSavedPasswordsDumper” 的工具。 项目被定位为一款教育用途的实用程序,旨在帮助安全专业人士和普通用户验证浏览器环境中保存凭据的管理方式。 该工具通过访问浏览器的进程内存,来提取其中可能以可读形式存在的用户名和密码。 研究显示,Microsoft Edge 的父进程会持续持有这些已经解密的凭据,一旦攻击者获得足够的系统权限,这一进程就可能成为密码提取的目标。 对于运行共享帐号或多用户环境的组织而言,这种风险尤为突出,因为一旦拥有管理员权限的帐号遭到攻陷,攻击者就有机会访问多个活动会话中的数据。 需要指出的是,这种技术本身并不构成远程攻击手段,而是在攻击者已经取得高权限访问的场景下,成为进一步横向移动或窃取敏感信息的利器。 在这种情况下,通过常见的管理工具进行内存转储等操作,就有可能泄露存储在其中的登录信息。 研究人员的测试还发现,此问题似乎是 Edge 特有的行为,在其他基于 Chromium 的浏览器(例如 Google Chrome 和 Brave)中,并未观察到同样的模式。 后者通常只在需要时解密凭据,而不会将其长时间以明文形式保存在内存中。 不过,这并不意味着 Chrome 完全没有隐忧,例如此前就有报告指出,Chrome 在浏览器指纹保护这一重要隐私特性上落后于 Edge、Firefox 和 Brave 等产品。 更令人疑惑的是,当研究人员尝试向微软通报这一问题时,微软将其归类为“设计如此”(by design)。 除了这一说法之外,微软似乎并未提供更多回应或解释。 查看评论
IT之家 5 月 6 日消息,安全研究员 @L1v1ng0ffTh3L4N 发现,微软 Edge 浏览器在启动时会将所有已保存的密码以明文形式加载到内存中,这使得恶意软件或黑客更容易窃取这些密码。 @L1v1ng0ffTh3L4N 表示,“在我测试过的所有基于 Chromium 的浏览器中,Edge 是唯一会这样做的”。 据介绍,谷歌 Chrome 仅在用户通过密码管理器或自动填充菜单请求查看密码时,才会将密码以明文形式加载到内存中。 他进一步指出:“当你在 Edge 中保存密码时,浏览器会在启动时解密每一条凭证,并将其保留在内存中。即使你从未访问过使用这些凭证的网站,这种情况也会发生。如果攻击者获得了终端服务器的管理权限,他们就可以访问所有已登录用户进程的内存。” 对此,微软发言人回应称,Edge 在启动时以明文将全部密码加载到内存是设计使然,并非用户怀疑的 Bug 导致,其目的是加快终端用户的登录和认证流程。 安全与保障是 Microsoft Edge 的基石。要想在所描述的场景下窃取浏览器数据,前提是设备已经遭到入侵。 这一领域的设计选择需要在性能、可用性和安全性之间取得平衡,我们会持续根据不断变化的威胁进行评估。 浏览器在内存中访问密码数据是为了帮助用户快速、安全地登录 —— 这是应用程序的预期功能。我们建议用户安装最新的安全更新和杀毒软件,以帮助防范安全威胁。 很显然,微软已经意识到这一问题,但并未打算对其进行修正,而是建议用户确保 PC 始终保持最新的安全更新,以防止安装可能利用此设计的恶意软件。
来源: PSA: The string “HERMES.md” in your git commit history silently routes Claude Code billing to extra usage — cost me $200 之前就听说A/查反代查的严没想到逆天到这种程度,反代站要记得屏蔽这个文本喽: HERMES.md 1 个帖子 - 1 位参与者 阅读完整话题
第一次用codex 不熟悉 所有的密码什么的都是明文 瞎弄两周后 想放些项目上github 查了下说是要脱敏 于是配了数据库什么的 现在问题是怎么才能把这乱糟糟的工作区重新梳理一遍 把资产信息 秘钥什么的都清理进数据库 把之前的踩坑记录和一些特殊设置的来龙去脉也放到数据库。我让codex自己搞 他搞了半天都搞不定 根本识别不全 该怎么处理呢 2 个帖子 - 2 位参与者 阅读完整话题
有一个很典型的情况,公司对信息极度敏感,所有的密码都不能明文存储,但是在项目对接的情况下例如 xxx 系统 我们通常会创建一个文件夹命名为xxx系统用来存储与其相关的文件手册甚至工具进行备份,但如果里面有涉及到的服务器账号密码之类的又是敏感信息如果单独用某个工具例如ediary 进行存储 那么每次找相关的东西就会多一步 有没有什么好的方法或者说涉及到的敏感信息的东西就应该这样单独存储其余的放在文件夹做备份? 4 个帖子 - 3 位参与者 阅读完整话题
API Endpoint 连 https 都没有的草台班子啊,用户的 API Key 直接明文裸奔在互联网上。 要是计费系统搞出点事情来,那可是牵连话费的。反正我领成功了一看 http 就关了。 题外话: 江苏移动以扎实的内部AI实践为token经营筑牢根基,同时也将这些经验赋能千行百业,3月江苏移动正式推出AI Token套餐,不到一个月时间,外部token日销量及使用量突破8亿Token,热度持续走高。这个数字背后,藏着一套值得拆解的经营逻辑。 这使用量不如泥潭随便一个公益站吧 11 个帖子 - 10 位参与者 阅读完整话题