XZ 的後門事件,以及 OpenJS Foundations 也遇到類似的問題

XZ 的後門事件從暴發出來也已經一個多月了,大多數的證據也都分析的差不多了,是差不多可以回顧一下... 然後發現維基百科上面也已經有條目了:「XZ Utils backdoor」,中文版也有:「XZ实用程序后门」。

這次是 open source community 遇到社交工程 (social engineering) 的攻擊,攻擊者順利透過社交手法取得 maintainer & developer 的身份,接下來是慢慢埋 backdoor 的過程。

目前看起來後門是判斷特定的 SSH key 就放行,所以屬於 RCE 類的漏洞,CVSS 給了 10.0 的最高威脅分數。

另外隔壁棚 OpenJS Foundations 也遇到類似的問題:「Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects」,在「Failed Credible Takeover Attempt」這段有提到因為 OpenJS Foundations 是因為 security working group 擋下這次的 social engineering。

這是 xz 因為是 backdoor,所以在 performance profiling 時異常而被抓出來,如果是 exploitable 的話就難抓了... 這次的 social engineering 之後有看到一些不同的討論,有些是技術上把 security auditing 拆出來一起做,另外一種是要確保參與的 maintainer & developer 的真實身份。

已經可以看到影響了...

LinkedIn 決定要在平台上面弄出遊戲...

也是清連結的消息,三月中的消息,LinkedIn 想要在平台上面弄出遊戲:「LinkedIn plans to add gaming to its platform」。

會是 puzzle 類型的遊戲,而且看起來有東西了:

It will be doing so by tapping into the same wave of puzzle-mania that helped simple games like Wordle find viral success and millions of players. Three early efforts are games called “Queens”, “Inference” and “Crossclimb.”

然後當時跟 LinkedIn 發言人確認也證實了這點:

“We’re playing with adding puzzle-based games within the LinkedIn experience to unlock a bit of fun, deepen relationships, and hopefully spark the opportunity for conversations,” the spokesperson said in a message to TechCrunch. “Stay tuned for more!”

試著走向更一般性的 social network?目前 LinkedIn 上面應該都是雞湯文與 clickbait,這個變化好像有點大...

利用信件裡面的 CSS,讓文字只在轉寄後才出現

在「Kobold letters: HTML emails are a risk (lutrasecurity.com)」這邊看到的 security advisory (算... 是吧?),原文在「Kobold Letters」這邊,如同標題寫的,方法其實意外的簡單...

Thunderbird 是透過 .moz-text-html>div> 指定就可以達到效果:

Outlook on the web (i.e. 雲端版本) 則是有在 id 上面增加隨機的 prefix 避免,但可以用 body>div> 避開,另外有些眉眉角角的地方會稍微複雜一點,但還是可行的:

Gmail 則是直接用個簡單的 css selector 掛上 display: none; 就 OK 了:在 sender 端 (轉寄者) 看不到,在 receiver 端則可以 (效果更好?):

比較慘的是目前大家都沒有想到比較好的解法,就算這次提到的方法被補上了,應該還是很容易被繞過去:

Unfortunately, for the foreseeable future, it is sadly not realistic to expect email clients to implement robust mitigation. This means that it is up to the users to be aware of the dangers of HTML emails and to take the necessary precautions.

另外文章裡面提到了 Can I email 這個網站,看起來如果要自己處理 email 內容的話是個不錯的資源...

Threads 開放更多使用者進入 Fediverse

Meta 宣佈了讓更多 Threads 使用者進入 Fediverse:「Threads has entered the fediverse」。

目前是 beta 功能,然後有些限制條件:

Threads has entered the fediverse! As part of our beta experience, now available in a few countries, Threads users aged 18+ with public profiles can now choose to share their Threads posts to other ActivityPub-compliant servers.

直接丟 Threads 的 url 找 (像是 https://www.threads.net/@zuck 這樣) 在 Mastodon 上沒辦法找到,需要丟 @zuck@threads.net 這樣的 identifier 加。

另外文章裡面有提到支援了一些延伸的標準,像是 FEP-e232: Object Links 以及 _misskey_quote,這些「表態」應該也會對社群有重大影響,畢竟 Threads 就算是新加入 Federvise 的成員,但還是太大...

Bluesky 開放一般註冊了

Bluesky 宣佈開放一般註冊了,不再需要邀請碼:「Join Bluesky Today (Bye, Invites!)」。

想玩的先前應該都拿到邀請註冊過了,現在不知道會有什麼新的玩意出來。

對玩技術的人來說,就只是另外一個 protocol,而且目前沒什麼分散性;對一般人來說,就只是另外一個社群... 重點還是在怎麼經營吸引人。

在桌機上擋 Facebook 各種廣告與演算法推薦文章的 userscript

發現好像沒提過這個 userscript,由於 uBlock Origin 的條件式不足以擋 Facebook 的各種廣告機制,目前需要靠 userscript 擋:「FB - Clean my feeds」。

預設會擋掉 sponsored,像是這樣:

不過在點開左下角的 icon 後,可以看到更多選項可以擋,我是把所有列出來的都勾起來了,另外多增加一個 「Interested」(我這邊用的是英文版介面的 Facebook,看到的是 Interested 這個詞):

然後經過幾次 Facebook 反制的「改版」,作者也都蠻快就更新...

佛州眾議院通過禁止 16 歲以下的未成年人使用社群媒體

多個媒體都有報導,這邊挑一篇:「Florida’s GOP-controlled House passes strict social media restrictions for minors」。

之前猶他州通過的法律是要求要有父母明確的同意才能使用,這次則是更嚴格,父母同意也不開放使用:

Florida’s legislation appears to be stronger than laws that passed in other states recently such as Utah, where a new policy requires social media companies to receive parental consent before minors under 18 can open or maintain an account.

“If we just let parents decide on this one, parents are going to be harangued so much because it makes a kid ostracized not to be on social media,” Renner told reporters earlier last week.

是個當作「電子毒品」的概念:

“These dopamine hits [from social media] are so addictive, it’s like a digital fentanyl,” said state Rep. Fiona McFarland.

目前眾議院先通過了 (106 對 13),會送往佛州的參議院:

Legislators passed the social media legislation 106-13, with a few Democrats voting against; the adult websites bill was approved unanimously.

從通過的議案可以看到目標是今年七月生效:

This act shall take effect July 1, 2024.

猶他州那邊幾家 social media 還在跟政府打各種官司,佛州這邊看起來會有新的戰線。

Bluesky 支援 RSS 2.0

在「Bluesky has launched RSS feeds (openrss.org)」這邊看到 Bluesky 支援 RSS 2.0 的消息:「Bluesky has launched RSS feeds」。

以作者提到的例子來說,Jay Graber 的頁面上 (在「@jay.bsky.team on Bluesky」這邊) 有 auto-discovery link:

<link rel="alternate" type="application/rss+xml" href="https://bsky.app/profile/did:plc:oky5czdrnfjpqslsw2a5iclo/rss">

選擇 RSS 2.0 而不是 Atom,不知道是什麼原因...

有了 feed 以後現有的 RSS reader 都可以直接訂起來了,像是在 Slack 上可以用 /feed add [url] 訂閱。

Tumblr 的 ActivityPub 進度

先前在「Threads 要放 ActivityPub 了?」這篇提到 Threads 要放行 ActivityPub,剛剛想到 Tumblr 這邊不知道在 re-org 後有什麼新消息,然後翻到 Matt Mullenweg 在 Tumblr 寫了 這篇

主要是交代有指派人做這件事情,但也先舖了一些理由... 所以看看 2024Q1 有沒有機會看到些東西?

Automattic 重整 Tumblr 團隊的內部消息

waxpancake這邊看到的,是一個從內部洩漏的 screenshot,後來 Automattic 的 CEO,Matt Mullenweg,在 Tumblr 上面把完整的內容都放出來,並且加上他的一些說明 (包括了一些內部的 team name 以及他的想法):「Translation of Internalspeak to Externalspeak」。

官方的說法主要就是不賺錢,所以除了客服團隊 (下面提到的 Happiness) 與 Trust & Safety 團隊 (下面提到的 T&S) 外,其他的成員將會被轉移到內部其他的計畫上:

This plan is happening now: the majority of the 139 people in Bumblr will switch to other divisions. No plans for any switches in Happiness or T&S.

"Happiness" is our term for customer support, and "T&S" means trust and safety, which is the team that works on fighting bots, spam, dealing with illegal stuff, etc.

接著有大致提到轉移的過程會是怎麼樣,另外後面提到時間表:

The switchovers will happen on December 31, so we start 2024 completely fresh.

另外在 The Verge 上面的「What is going on with Tumblr?」有另外的說法,不是所有人都有換團隊的權利,很多就直接 layoff 了:

"The majority of the 139 people in Bumblr will switch to other divisions"

This is not what is happening. Many people have been let go (under the guise of performance) and in the past week the pace picked up from individuals to entire teams. Automattic seems adamant these are not layoffs, but people dissapear instantly without being offered alternative teams.

先回到 Tumblr 的情況來看,之後應該就是維護模式了。