5作者: GRVYDEV3 个月前原帖
嘿,HN, 在这个代理编码的时代,我发现自己花了很多时间在审阅Markdown文件上。无论是我让代理生成的计划还是文档,似乎我花在阅读Markdown上的时间比阅读代码还要多。 我尝试过一些不同的解决方案来使阅读更容易,比如Obsidian,但我发现它们的Vault系统在这个用例上相当有限,而TUI解决方案又没有我想要的那么友好,因此我制作了Marky。 Marky是一个轻量级的桌面应用程序,使阅读和跟踪Markdown文件变得非常简单。它还提供了一个实用的命令行界面,你只需运行`marky FILENAME`,应用程序就会打开你指定的md文件。在过去的一周里,我每天都在使用它,我非常喜欢,所以我决定分享一下。 如果你想查看演示,这里有一个视频链接:[https://www.youtube.com/watch?v=nGBxt8uOVjc](https://www.youtube.com/watch?v=nGBxt8uOVjc)。 我计划添加更多功能,比如将代理工具(如Claude Code和Codex)整合到用户界面中,以及开发一个本地Git差异审查器,以便在推送到Git之前进行本地代码审查。 我很想听听你们的想法以及任何功能建议 :)
1作者: HiveSecurity3 个月前原帖
我在Python的标准库中发现了一些令人意外的不安全之处。<p>如果你在不可信的ZIP文件上使用zipfile.extractall(),实际上你是在信任以下几点:<p>文件路径不会逃逸到目标目录之外<br>压缩文件不是巨大的ZIP炸弹<br>没有奇怪的边缘情况,比如符号链接或嵌套技巧<p>结果是……这些都没有得到保证。<p>因此,我最终构建了一个小型的“安全提取”包装器,能够:<p>阻止路径遍历(Zip Slip)<br>强制限制总解压缩大小<br>限制文件数量<br>避免在意图之外的目录中提取<p>这并不复杂,只是一些防御性默认设置,实际上应该是开箱即用的。<p>我在这里写了一篇简短的分析和代码:<br>https://hivesecurity.gitlab.io/blog/zipguard-safe-zip-extraction-python/<p>我很好奇其他人是如何处理这个问题的——你是自己实现检查,还是依赖其他方法?