获取 Github commit 通知请进入关联群组
@ZGQinc_chat_room
频道主的个人主页
domain.zgqinc.gq
网页版
tg.zgqinc.gq
RSS订阅
https://tg.zgqinc.gq/rss.xml
@ZGQinc_chat_room
频道主的个人主页
domain.zgqinc.gq
网页版
tg.zgqinc.gq
RSS订阅
https://tg.zgqinc.gq/rss.xml
https://www.war.gov/UFO/
五角大楼应Presidential Unsealing and Reporting System for UAP Encounters(PURSUE法案)要求,释出158份UFO/UAP文件,包含大量战机拍摄的红外线追踪照片/影片,阿波罗计划、NASA Gemini计划任务期间拍摄的照片/影片,FBI文件。
原先为162份,经排查后发现只是去重,并没有刻意删除。
看到网上某些新闻又是诱导错误认知又是搞偏见简直无语,我说一下美国政府披露这些文件的真正目的。
事实上近几十年官方一直在公布UAP内幕,比如蓝皮书计划,一些FBI档案,甚至是一些小众纪录片,如果碰到上万人的目击事件,官方都会采用格洛玛式回复,除此之外就是完全否认,能封口就封口。但真正意义上公开披露还是要数2020年开始陆陆续续各种UAP国会听证会,成立专门机构AARO,以及纪录片《披露时代》和电影《揭密日》,这次的内部档案披露可以说是史无前例的,可能官方也知道这事瞒不住了,自此开启了软性披露环节,而且我估计这个进程会持续几十年,直到公众放下戒备,从而不会引起社会动荡。
问题1:什么是“软性披露”(Soft Disclosure)?
回答:在UAP信仰者眼中,认为官方正在采取“温水煮青蛙”的策略,逐步释放资讯,让大众在心理上慢慢适应地外文明的存在,而不是一次性公开引发恐慌或是社会动荡。
但从严谨的科学和军事角度来看,官方承认“有我们无法识别的飞行物”,主要是出于国防预警和航空安全的考量。所谓的UAP,极大机率是未知的自然大气现象、光学错觉,或是他国的先进无人机与高光谱侦察设备。承认“不知道它是什么”,并不等于承认“它是外星人”。
问题2:为什么会引发“社会动荡”?
回答:本体论冲击(Ontological Shock)。这个假说认为,如果突然公布人类一直被高阶文明观察乃至说的夸张一点,被“播种”的,将会瞬间摧毁现有的社会基石,首先是信仰与哲学崩塌,传统宗教的叙事将被颠覆,人类在宇宙中的特殊地位被剥夺,这会引发巨大的存在主义危机,这种探讨自我存在意义与虚无感的议题,其实在很多赛博朋克或科幻作品(如《2001太空漫游》)中都有深刻的展现;然后是权威与经济瓦解,如果外星文明掌握了突破性的技术(例如跨星际航行或无限能源),现有的地球科技产业,能源结构和各国政府的权威可能会瞬间失去意义,进而导致全球市场崩溃和秩序大乱。
问题3:什么是“格洛玛式回复”(Glomar response)?
回答:简单来说就是官方那句著名的:“既不承认,也不否认(neither confirm nor deny)相关信息或文件的存在。”
具体见维基百科,这里解释在处理UFO/UAP目击事件,尤其是那种上万人的大规模目击,比如1997年的“凤凰城光点”时,官方为什么极其喜欢使用这种话术。从情报保密和国防逻辑来看,这是极其精明的,如果官方回答“没有相关记录”,一旦未来被吹哨人爆出内部文件,政府公信力就会彻底破产,或者这等于变相向敌国暴露了美军防空雷达和侦察网的盲区;如果官方回答“有记录,但属于机密不能公开”,这就等同于直接盖章承认了这起异常事件是真实发生的,会立刻引爆舆论,媒体会像闻到血腥味的鲨鱼一样死咬不放,“格洛玛式回复”创造了一个完美的信息黑洞,在法理上没有撒谎,但彻底切断了公众顺藤摸瓜的所有逻辑路径,这也是过去几十年里,美国政府用来冷处理和掩盖UAP事件的最强盾牌,直到近几年“软性披露”开启,官方不得不交出部分底层数据,这种绝对封闭的话术壁垒才终于开始出现裂缝。
问题4:上面提到的“被观察”和“被播种”到底是什么意思?
回答:这其实是为了解释著名的“费米悖论”(Fermi Paradox)衍生出的细分假说。
费米悖论的核心矛盾是:如果宇宙中存在大量比人类早进化几百万年的高级文明,为什么我们至今连个外星飞船的信号都没捕捉到?
为了在逻辑上闭环,科学界和科幻界提出了两种可能性:
动物园假说(被观察): 高级文明早就发现我们了,但他们像人类设立野生动物保护区一样,把地球隔离了起来。高维生命在暗中观察人类的演化,但不加干涉,我们看到的那些违反物理常识的UAP,可能只是隐形技术失效的观测探针。
定向泛种论(被播种): 认为地球原本没有生命,或者是某个极其古老的文明将生命的种子或者促使大脑进化的机制散播到了地球上,人类不过是一场宏大的生物学实验。
这个概念在库布里克的科幻神作《2001太空漫游》中有极其直观的刻画:一块神秘的“黑石碑”(Monolith)降临在远古地球,直接点化了猿猴,促使它们学会使用骨头作为工具,而当人类科技终于发展到能够登上月球时,挖出的第二块黑石碑立刻向木星发送了信号,这就如同一个早已布好的监控报警器,告诉造物主这群试验品终于掌握航天技术了,如果官方解密的最终走向是这种级别的事实,那人类几千年建立的人类中心主义和自尊心,确实会瞬间崩塌。
如果你还有什么问题,欢迎在评论区提问。
五角大楼应Presidential Unsealing and Reporting System for UAP Encounters(PURSUE法案)要求,释出158份UFO/UAP文件,包含大量战机拍摄的红外线追踪照片/影片,阿波罗计划、NASA Gemini计划任务期间拍摄的照片/影片,FBI文件。
原先为162份,经排查后发现只是去重,并没有刻意删除。
看到网上某些新闻又是诱导错误认知又是搞偏见简直无语,我说一下美国政府披露这些文件的真正目的。
事实上近几十年官方一直在公布UAP内幕,比如蓝皮书计划,一些FBI档案,甚至是一些小众纪录片,如果碰到上万人的目击事件,官方都会采用格洛玛式回复,除此之外就是完全否认,能封口就封口。但真正意义上公开披露还是要数2020年开始陆陆续续各种UAP国会听证会,成立专门机构AARO,以及纪录片《披露时代》和电影《揭密日》,这次的内部档案披露可以说是史无前例的,可能官方也知道这事瞒不住了,自此开启了软性披露环节,而且我估计这个进程会持续几十年,直到公众放下戒备,从而不会引起社会动荡。
问题1:什么是“软性披露”(Soft Disclosure)?
回答:在UAP信仰者眼中,认为官方正在采取“温水煮青蛙”的策略,逐步释放资讯,让大众在心理上慢慢适应地外文明的存在,而不是一次性公开引发恐慌或是社会动荡。
但从严谨的科学和军事角度来看,官方承认“有我们无法识别的飞行物”,主要是出于国防预警和航空安全的考量。所谓的UAP,极大机率是未知的自然大气现象、光学错觉,或是他国的先进无人机与高光谱侦察设备。承认“不知道它是什么”,并不等于承认“它是外星人”。
问题2:为什么会引发“社会动荡”?
回答:本体论冲击(Ontological Shock)。这个假说认为,如果突然公布人类一直被高阶文明观察乃至说的夸张一点,被“播种”的,将会瞬间摧毁现有的社会基石,首先是信仰与哲学崩塌,传统宗教的叙事将被颠覆,人类在宇宙中的特殊地位被剥夺,这会引发巨大的存在主义危机,这种探讨自我存在意义与虚无感的议题,其实在很多赛博朋克或科幻作品(如《2001太空漫游》)中都有深刻的展现;然后是权威与经济瓦解,如果外星文明掌握了突破性的技术(例如跨星际航行或无限能源),现有的地球科技产业,能源结构和各国政府的权威可能会瞬间失去意义,进而导致全球市场崩溃和秩序大乱。
问题3:什么是“格洛玛式回复”(Glomar response)?
回答:简单来说就是官方那句著名的:“既不承认,也不否认(neither confirm nor deny)相关信息或文件的存在。”
具体见维基百科,这里解释在处理UFO/UAP目击事件,尤其是那种上万人的大规模目击,比如1997年的“凤凰城光点”时,官方为什么极其喜欢使用这种话术。从情报保密和国防逻辑来看,这是极其精明的,如果官方回答“没有相关记录”,一旦未来被吹哨人爆出内部文件,政府公信力就会彻底破产,或者这等于变相向敌国暴露了美军防空雷达和侦察网的盲区;如果官方回答“有记录,但属于机密不能公开”,这就等同于直接盖章承认了这起异常事件是真实发生的,会立刻引爆舆论,媒体会像闻到血腥味的鲨鱼一样死咬不放,“格洛玛式回复”创造了一个完美的信息黑洞,在法理上没有撒谎,但彻底切断了公众顺藤摸瓜的所有逻辑路径,这也是过去几十年里,美国政府用来冷处理和掩盖UAP事件的最强盾牌,直到近几年“软性披露”开启,官方不得不交出部分底层数据,这种绝对封闭的话术壁垒才终于开始出现裂缝。
问题4:上面提到的“被观察”和“被播种”到底是什么意思?
回答:这其实是为了解释著名的“费米悖论”(Fermi Paradox)衍生出的细分假说。
费米悖论的核心矛盾是:如果宇宙中存在大量比人类早进化几百万年的高级文明,为什么我们至今连个外星飞船的信号都没捕捉到?
为了在逻辑上闭环,科学界和科幻界提出了两种可能性:
动物园假说(被观察): 高级文明早就发现我们了,但他们像人类设立野生动物保护区一样,把地球隔离了起来。高维生命在暗中观察人类的演化,但不加干涉,我们看到的那些违反物理常识的UAP,可能只是隐形技术失效的观测探针。
定向泛种论(被播种): 认为地球原本没有生命,或者是某个极其古老的文明将生命的种子或者促使大脑进化的机制散播到了地球上,人类不过是一场宏大的生物学实验。
这个概念在库布里克的科幻神作《2001太空漫游》中有极其直观的刻画:一块神秘的“黑石碑”(Monolith)降临在远古地球,直接点化了猿猴,促使它们学会使用骨头作为工具,而当人类科技终于发展到能够登上月球时,挖出的第二块黑石碑立刻向木星发送了信号,这就如同一个早已布好的监控报警器,告诉造物主这群试验品终于掌握航天技术了,如果官方解密的最终走向是这种级别的事实,那人类几千年建立的人类中心主义和自尊心,确实会瞬间崩塌。
如果你还有什么问题,欢迎在评论区提问。
https://newsroom.spotify.com/spotify20/
Spotify二十周年庆,推出了限定活动Your Party Of The Year(s),不过应该包括我在内的大部分人第一次用Spotify应该都是首页随便选了一首歌,所以感觉没什么意义。
直达活动: spotify.com/20
Spotify二十周年庆,推出了限定活动Your Party Of The Year(s),不过应该包括我在内的大部分人第一次用Spotify应该都是首页随便选了一首歌,所以感觉没什么意义。
直达活动: spotify.com/20
Spotify
Spotify — Spotify 20
From our earliest days to today, Spotify has grown alongside the fans, artists, authors, and podcasters who shaped it, turning discovery into something personal, moments into movements, and listening into community.
DenuvOwO团队发布声明:
团队澄清这不是他们做的补丁,他们做的补丁没有问题,也就不需要fix,显得这个crackfix很可疑,还提供了修补过的steam_api64.dll,触发了防篡改机制,实际上根本不需要修补这个,游戏也能工作,如果有人用了夹带私货的补丁导致游戏发生崩溃,可以替换成官方原始的steam_api64.dll。
viewtopic.php?p=3507952#p3507952 This does not belong to us and has a different steam_settings folder belonging to GameDrive, which you can see from the very different steam_settings folder, and even the configs_main.ini.
We've put out no such crackfix. Our crack works perfectly.
If the game is crashing for anyone, that's because they're using the files on top of GameDrive's release, which replaced the original steam_api64.dll with a patched one, triggering the anti-tamper leading to crashes.
Our only release at the moment is the one in the message. They can get the original steam_api.64.dll from this link: https://buzzheavier.com/2hjqv5q3amgn [FIRST CLICK OPENS MALWARE POPUP!]
You can verify its authenticity by checking the digital signature for the file.
团队澄清这不是他们做的补丁,他们做的补丁没有问题,也就不需要fix,显得这个crackfix很可疑,还提供了修补过的steam_api64.dll,触发了防篡改机制,实际上根本不需要修补这个,游戏也能工作,如果有人用了夹带私货的补丁导致游戏发生崩溃,可以替换成官方原始的steam_api64.dll。
众所周知Voices38最近破解了黑猴子、生化危机安魂曲、剑星,然后我不知道为什么到现在还有这么多人觉得这些所谓的破解是把Denuvo彻底干掉或者字节级别的移除了,包括当年吹得神乎其神的女皇EMPRESS方案,以为是把那几百万行混淆过的加密代码给一行行删了,甚至刚刚有人在顾虑还会不会影响性能。
我在这里说清楚,无论是Hypervisor硬件级劫持,还是女皇、Voksi(在2018年因为被警方突击搜查并逮捕。)、Voices38他们搞的二进制端点截断,本质全都是运行时绕过和中间人拦截。
原理简单来说是Denuvo和补丁会一起被加载进内存,当验证流程走到一半,刚准备开始大量吃CPU算力去搞复杂解密的时候,Proxy DLL和逆向exe打的补丁直接半路劫道,强行Hook一个验证成功的假结果,相当于Denuvo马上要射了,给来了个寸止,后续那些真正狂吃CPU算力,拖慢游戏帧数的加密校验代码,就根本不会被执行了,降低了九成的性能损耗。所以游戏确实会有性能提升,但这并不是因为加密代码被删了,谁会闲着没事干去徒手反编译,做字节级别的代码删除?
想要真正意义上把Denuvo从游戏文件完全移除,靠一个字节一个字节删除是根本不现实的。Denuvo不是个简单的验证弹窗,本质上是一个编译器级别的指令混淆器和虚拟机,在游戏打包的时候,就已经把游戏原始的核心汇编代码抽出来,搅碎成了只有它自己认识的虚拟指令Opcode,不过只会加密EXE主程序和相关的DLL库文件,如果真有一天可以完全移除,唯一的前提就是Denuvo的构建器源码被完整泄露,只有拿到了源码这套说明书,逆向工程师才有可能写出精准的反虚拟化工具,把内存里乱七八糟的Denuvo指令逆向翻译回原本的x64汇编,最后重新编译出一个干干净净的纯净版执行文件,在此之前所谓的破解只不过是绕过。
顺带一提我不喜欢女皇的极端反性少数观点,屡次发表问候全家这种极端言论导致自己多个账号被封,以及其它的一些恶行,感兴趣可以在评论区了解。
以及简单科普一下NFO是什么,你经常能看到破解者在社交媒体发了一张NFO,其实就是一张防伪证书,破解圈炫技用的,证明谁最先破解,同时也起到了规避风险,校验文件是否安全的作用,比如Hypervisor这东西多危险懂的都懂,至于文件本体在哪里找,我之前教过方法了,点到为止。不过也有一种情况是一些Scene小组会将带有NFO的完整压缩包上传到极端隐蔽加密的FTP服务器作为Topsites,公开网络上的盗版资源,是由P2P小组从这些Topsites泄漏出来,然后制作成BT资源或网盘链接发布到公开网络的,破解团队本身与公众是完全隔离的。
我在这里说清楚,无论是Hypervisor硬件级劫持,还是女皇、Voksi(在2018年因为被警方突击搜查并逮捕。)、Voices38他们搞的二进制端点截断,本质全都是运行时绕过和中间人拦截。
原理简单来说是Denuvo和补丁会一起被加载进内存,当验证流程走到一半,刚准备开始大量吃CPU算力去搞复杂解密的时候,Proxy DLL和逆向exe打的补丁直接半路劫道,强行Hook一个验证成功的假结果,相当于Denuvo马上要射了,给来了个寸止,后续那些真正狂吃CPU算力,拖慢游戏帧数的加密校验代码,就根本不会被执行了,降低了九成的性能损耗。所以游戏确实会有性能提升,但这并不是因为加密代码被删了,谁会闲着没事干去徒手反编译,做字节级别的代码删除?
想要真正意义上把Denuvo从游戏文件完全移除,靠一个字节一个字节删除是根本不现实的。Denuvo不是个简单的验证弹窗,本质上是一个编译器级别的指令混淆器和虚拟机,在游戏打包的时候,就已经把游戏原始的核心汇编代码抽出来,搅碎成了只有它自己认识的虚拟指令Opcode,不过只会加密EXE主程序和相关的DLL库文件,如果真有一天可以完全移除,唯一的前提就是Denuvo的构建器源码被完整泄露,只有拿到了源码这套说明书,逆向工程师才有可能写出精准的反虚拟化工具,把内存里乱七八糟的Denuvo指令逆向翻译回原本的x64汇编,最后重新编译出一个干干净净的纯净版执行文件,在此之前所谓的破解只不过是绕过。
顺带一提我不喜欢女皇的极端反性少数观点,屡次发表问候全家这种极端言论导致自己多个账号被封,以及其它的一些恶行,感兴趣可以在评论区了解。
以及简单科普一下NFO是什么,你经常能看到破解者在社交媒体发了一张NFO,其实就是一张防伪证书,破解圈炫技用的,证明谁最先破解,同时也起到了规避风险,校验文件是否安全的作用,比如Hypervisor这东西多危险懂的都懂,至于文件本体在哪里找,我之前教过方法了,点到为止。不过也有一种情况是一些Scene小组会将带有NFO的完整压缩包上传到极端隐蔽加密的FTP服务器作为Topsites,公开网络上的盗版资源,是由P2P小组从这些Topsites泄漏出来,然后制作成BT资源或网盘链接发布到公开网络的,破解团队本身与公众是完全隔离的。
https://t.me/RikkaTiNew/1598
只能开新群了。
没有套出有用的信息,事实上我们怀疑炸群和解封的是一帮人,这是一场有组织有预谋的团伙作案,甚至被封当天就有人找群组所有者提出几百美金的价格以解封,就目前的情况来看,对方可能确实有歪门邪道可以解封,也有可能只是想把用户名转移走,或者其他什么意图,无论哪种情况都是中了他们的圈套,所以商议过后还是决定开新群。
这种炸群行为是可以防范的,目前 @nmnmfunbot 已经在尝试支持把群成员编辑消息作为匹配项,从而通告、警告或者删除,因为bot API可以探测编辑消息,相当于“新消息”。
只能开新群了。
没有套出有用的信息,事实上我们怀疑炸群和解封的是一帮人,这是一场有组织有预谋的团伙作案,甚至被封当天就有人找群组所有者提出几百美金的价格以解封,就目前的情况来看,对方可能确实有歪门邪道可以解封,也有可能只是想把用户名转移走,或者其他什么意图,无论哪种情况都是中了他们的圈套,所以商议过后还是决定开新群。
这种炸群行为是可以防范的,目前 @nmnmfunbot 已经在尝试支持把群成员编辑消息作为匹配项,从而通告、警告或者删除,因为bot API可以探测编辑消息,相当于“新消息”。
正点原子S40P电动螺丝刀,4月24日当天我就下单了,一起买的还有TB1无线电烙铁和阿威兹H2点焊机,叠加券206+206+158=570都是顶配,用了将近半个月了,很好用很喜欢。
电动螺丝刀之前看到过这种扭矩可调支持体感的电动螺丝刀,不过那种要600,所以很明显也是溢价,正点原子的价格感觉非常合理,这款产品其实去年11月就卖过一次,当时出现了一些问题比如批头公差冗余不足,第三方批头太紧,塞进去很难拔,一拔直接把内部拔出来了,这次hw ver 1.1修了这个问题,杜克E3的批头都完美匹配,说起杜克E3我不知道正点原子是不是有意为之,插个常用批头后竟然和盒子严丝合缝,当时选杜克E3是看中批头和配件很多,没想到螺丝刀本体非常拉胯,杜克这把我就送朋友了,上演一出太子换狸猫。
无线电烙铁之前我用的并夕夕杂牌,后来也有人做视频 https://www.bilibili.com/video/BV1wEoYBzENS ,只能说能用吧,这个价格也不好评价什么,现在当电热刀挺不错的,不过正点原子这款是真的好用,网上也是好评如潮 https://www.bilibili.com/video/BV1nzdUBjEoM ,直接抽走了T90B七成的戏份,毕竟我玩的弱电,不是经常焊那种大面积焊点,无线比有线容易驾驭。
https://eh.zgqinc.gq/
我算是阅本无数,喜欢的本子都会下载,之前老是有朋友让我给他推荐一些本子,我一直是ls命令直接甩个文件夹列表给他,就很不直观,所以做了个个人收藏集浏览器,不是每个人都喜欢这种哈,不喜欢可以绕道。
那个数据库图标是数据库工具脚本,支持SXJ版本的EhViewer数据库导出并抓取元数据,先在 侧边栏,设置,高级,导出数据,和脚本放在一个目录,运行脚本可以把db里面的下载列表格式化到json,然后通过官方API抓取元数据和略缩图。
支持读取URL参数,方便展示。
https://eh.zgqinc.gq/?sort=rating_desc&cat=Doujinshi&lang=chinese&f=tag%3A%3A%3Amale%3Ayaoi%3Aor%7Ctag%3A%3A%3Amale%3Amales+only%3Aor
另外里面如果你有喜欢的本子,没有中文翻译的可以在评论区请求翻译。
我算是阅本无数,喜欢的本子都会下载,之前老是有朋友让我给他推荐一些本子,我一直是ls命令直接甩个文件夹列表给他,就很不直观,所以做了个个人收藏集浏览器,不是每个人都喜欢这种哈,不喜欢可以绕道。
那个数据库图标是数据库工具脚本,支持SXJ版本的EhViewer数据库导出并抓取元数据,先在 侧边栏,设置,高级,导出数据,和脚本放在一个目录,运行脚本可以把db里面的下载列表格式化到json,然后通过官方API抓取元数据和略缩图。
支持读取URL参数,方便展示。
https://eh.zgqinc.gq/?sort=rating_desc&cat=Doujinshi&lang=chinese&f=tag%3A%3A%3Amale%3Ayaoi%3Aor%7Ctag%3A%3A%3Amale%3Amales+only%3Aor
另外里面如果你有喜欢的本子,没有中文翻译的可以在评论区请求翻译。
https://t.me/SamMobileNews/23714
Galaxy Connect已经支持非三星电脑,不需要任何伪装,而且解决了伪装出现的一些问题。包括电脑与电脑之间的剪贴板同步,现在可以在电脑、手机、平板之间剪贴板同步;存储分享无法连接的问题也得到了解决,甚至支持电脑与电脑之间同步文件目录(手机或平板开着VPN照样会无法连接)。
现在非三星电脑可以使用:
🔵 跨设备继续使用(剪贴板同步、流转应用程序、Wi-Fi密码同步、照片同步)
🔵 附近设备
🔵 多重控制
🔵 第二个屏幕
🔵 相机分享
🔵 存储分享
Galaxy Connect已经支持非三星电脑,不需要任何伪装,而且解决了伪装出现的一些问题。包括电脑与电脑之间的剪贴板同步,现在可以在电脑、手机、平板之间剪贴板同步;存储分享无法连接的问题也得到了解决,甚至支持电脑与电脑之间同步文件目录(手机或平板开着VPN照样会无法连接)。
现在非三星电脑可以使用:
Telegram
SamMobile.com - Samsung News! #TeamSAMSUNG #TeamGALAXY
Galaxy Connect now supports continuity for non-Samsung Windows 11 PCs: https://www.sammobile.com/news/galaxy-connect-now-supports-continuity-for-non-samsung-windows-11-pcs/?utm_source=telegram
路由器参数查询网 mao.fan 疑似爆了个P0级别的漏洞。
前天在访问时在完全未登录的情况下,被系统强行塞了另一个陌生人的账号,当然我一开始没意识到这一点,以为是自己的账号,甚至顺手给人家改了个名字,然后一想,不对啊,我哪有账号,这什么永久VIP,我什么时候充了几十块给这个网站。
看了一下Cookies和curl抓了网络链路研究了一下,应该是站长在后端犯了个低级配置错误。站长在EdgeOne或者源站Nginx开启了页面强缓,但不知道是怎么回事忘记了过滤Set-Cookie响应头以及Cache-Control: no-store兜底,导致P0级别的会话劫持漏洞,CDN或反向代理全局缓存了包含真实用户Flask Session的Set-Cookie响应头,并将其错误的下发给了其他多个访客。
虽然陌生人是广州移动,我是上海电信,按理说CDN边缘节点有物理隔离,但我挂着Fake-IP走代理出海,极其凑巧地和这位广州老哥撞上了同一个海外落地机,老哥走了这条路拿自己账号登录了网站,Cookies错误的传递给了CDN缓存,在那个带有Flask Session的TTL缓存还没过期的几分钟内,我发起了请求,CDN节点看成了同一个人,直接把本应该是广州老哥的私密凭证复制了一份给我,强行让我白嫖了VIP账号,我真想去买张彩票了。
昨天已经联系了站长,但是到刚刚我撞了几次还是成功复现了,有点难绷,所以我打算曝光。
如果你知道这个网站并访问过,你的账号可能正在裸奔,最好近期不要访问此网站。
前天在访问时在完全未登录的情况下,被系统强行塞了另一个陌生人的账号,当然我一开始没意识到这一点,以为是自己的账号,甚至顺手给人家改了个名字,然后一想,不对啊,我哪有账号,这什么永久VIP,我什么时候充了几十块给这个网站。
看了一下Cookies和curl抓了网络链路研究了一下,应该是站长在后端犯了个低级配置错误。站长在EdgeOne或者源站Nginx开启了页面强缓,但不知道是怎么回事忘记了过滤Set-Cookie响应头以及Cache-Control: no-store兜底,导致P0级别的会话劫持漏洞,CDN或反向代理全局缓存了包含真实用户Flask Session的Set-Cookie响应头,并将其错误的下发给了其他多个访客。
虽然陌生人是广州移动,我是上海电信,按理说CDN边缘节点有物理隔离,但我挂着Fake-IP走代理出海,极其凑巧地和这位广州老哥撞上了同一个海外落地机,老哥走了这条路拿自己账号登录了网站,Cookies错误的传递给了CDN缓存,在那个带有Flask Session的TTL缓存还没过期的几分钟内,我发起了请求,CDN节点看成了同一个人,直接把本应该是广州老哥的私密凭证复制了一份给我,强行让我白嫖了VIP账号,我真想去买张彩票了。
昨天已经联系了站长,但是到刚刚我撞了几次还是成功复现了,有点难绷,所以我打算曝光。
如果你知道这个网站并访问过,你的账号可能正在裸奔,最好近期不要访问此网站。
(Kemoket 12) [Namachi] 连结攻势 (コネクトリンクぜめ) [Chinese]
https://e-hentai.org/g/3901677/c9978136bf/
图源:https://e-hentai.org/g/3898770/5b619e861b/
由 @grayselfbio 出资购买。
喜欢请支持原作者:https://namachiiiiiiiiii.booth.pm/items/7906870
https://e-hentai.org/g/3901677/c9978136bf/
图源:https://e-hentai.org/g/3898770/5b619e861b/
由 @grayselfbio 出资购买。
喜欢请支持原作者:https://namachiiiiiiiiii.booth.pm/items/7906870
namachiiiiiiiiii.booth.pm
コネクトリンクぜめ - なまちー - BOOTH
2026年1月18日 新春けもケット12にて頒布した漫画です。 R-18/B5/全26P でびるんとオリジナル召喚士で新たなエンドに辿り着く本です。 ※トゥルーエンドまでのネタバレが含まれています。ご注意ください。
