3作者: sandhyavinjam大约 1 个月前原帖
简要概述:许多安全机制并不是在攻击时失效,而是在部分故障时失效。本文记录了针对分布式系统的故障感知安全框架的早期设计笔记。 问题 在生产环境中的分布式系统中,安全性往往在部分故障时崩溃: - 认证服务降级 → 重试激增 - 备用路径扩大了访问权限 - 恢复逻辑成为攻击面 没有任何东西被“利用”,但系统变得不安全。 大多数安全模型假设组件稳定且故障干净。 但真实系统并非如此。 设计假设 我们假设: - 相关故障 - 重试是对抗性的 - 超时是不安全的默认设置 - 恢复路径和稳态逻辑同样重要 我们不假设: - 全球一致性 - 完美身份 - 可靠时钟 - 集中式执行 框架理念(高层次) 本工作探索了四个理念: 1. 故障感知信任 - 信任在故障下降级,而不仅仅是在被攻破时 - 在部分故障期间,访问权限会自动缩小 2. 运行时安全不变量 - 不变量持续被强制执行 - 违规行为触发隔离,而不是警报 3. 重试安全的安全原语 - 幂等、单调、有限副作用 - 重试不能提升权限 4. 安全作为可观察状态 - 信任级别、降级和隔离是可见的 - 如果你无法观察它,就无法保护它 这不是 - 不是零信任营销 - 不是合规性 - 不是一个完成的系统 这是一次尝试,将故障视为正常情况,而不是例外。 为什么要提前发布? 因为许多真实的故障: - 不符合干净的研究论文 - 发生在事件期间,而不是攻击时 - 在生产系统之外是不可见的 我们分享设计笔记,以便在进一步正式化或评估之前获得反馈。 欢迎反馈 如果您在故障或重试期间看到安全回归导致不安全行为,我希望听到您的意见。 这项工作仍在进行中,不做新颖性或完整性的声明。
1作者: j_mao大约 1 个月前原帖
嗨,大家好, 我们正在构建FountainData,以回答大多数团队仍在猜测的问题:哪些用户问题、竞争对手的举动或市场推广信号实际上会影响收入? FountainData会收集用户和竞争对手的对话(评论、支持票据、Slack对话、论坛、社交媒体、市场推广活动),并将其转化为经过排名的、可操作的情报,供产品和增长团队使用。 我们的不同之处在于: 1. 产品情报 我们将原始反馈聚类为具体的问题陈述,按影响力进行排名,并生成可供工程团队使用的工单,而不是情感图表。 2. 财务情报 问题根据预估的收入风险或机会进行评分,因此优先级的确定变成了一种经济决策,而不是人气竞赛。 3. 市场推广情报(最近添加) 我们跟踪竞争对手的发布、活动、事件和市场动态,然后提炼出战略性见解和建议,供团队采取行动。 4. 智能代理,而非仪表盘 我们正在添加产品和财务智能代理,可以回答如下问题: “现在是什么影响了用户留存?” “我们应该攻击哪些竞争对手的弱点?” “接下来我们应该推出什么以推动收入?” 从技术上讲,这是一个异步的数据摄取和处理系统(服务器、工作者、嵌入、LLM管道),旨在保持原始数据的可审计性,并使输出可供工程、产品和领导层使用。 我们虽然处于早期阶段,但已经看到团队用这个系统替代了手动的用户反馈评审和临时的竞争研究。 我们非常希望听到那些曾经构建产品、领导产品、进行市场推广或投资于开发工具/B2B SaaS的朋友们的反馈。 <a href="https://fountaindata.com/demo" rel="nofollow">https://fountaindata.com/demo</a>
3作者: ccheshirecat大约 1 个月前原帖
大家好,祝大家新年快乐!<p>上面的链接是一个基于chromiumoxide库的分支,采用了使用rebrowser作为参考的隐身补丁。它插入了runtime.enable和常见的自动化标志,通过配置文件强制执行一些硬件一致性,并且具有一些便利功能。虽然还处于早期阶段,但至少它可以通过大多数常见的检测测试。<p>我更喜欢用编译语言编写应用程序,但最近越来越需要进行浏览器自动化,并且总觉得Rust在这方面的多样性不如Node/Python的对应库丰富。因此,这是我试图为这个领域注入一些活力的尝试,至少是为了满足我的需求,但我希望其他人也能觉得它有用!<p>我需要一个Rust编写的隐身浏览器,因为我的需求主要集中在验证码解决上,所以这里也有一个旋转门解算器。我知道市面上有很多这样的工具,但用Rust实现让我可以更好地将其集成到我的应用中,避免了许多外部服务带来的麻烦。<p>而且,我的使用案例不仅需要支持Cloudflare,还需要支持Geetest,因此我也将xkiann的Python解算器移植到了Rust,并进行了修改,使其能够自动去混淆,并添加了对多轮验证和需要的user_info参数的支持。<p>这两个解算器都有C FFI绑定,方便与其他语言集成!<p><a href="https://github.com/ccheshirecat/chaser-oxide" rel="nofollow">https://github.com/ccheshirecat/chaser-oxide</a> - chromiumoxide隐身分支 <a href="https://github.com/ccheshirecat/chaser-cf" rel="nofollow">https://github.com/ccheshirecat/chaser-cf</a> - cloudflare解算器 <a href="https://github.com/ccheshirecat/chaser-gt" rel="nofollow">https://github.com/ccheshirecat/chaser-gt</a> - geetest解算器<p>更多细节请查看GitHub仓库,我快要睡着了,祝HN晚安,再次祝大家新年快乐,爱你们!
1作者: mortsnort大约 1 个月前原帖
嗨,HN, 你是否获取了大量信息,但希望能记住更多?我也是。在假期期间,我开发了MasterFlasher,这是一款Android应用程序,可以将内容转换为AnkiDroid闪卡,而不会打断你正在做的事情。 核心理念是:你想到“我应该记住这个”的那一刻,通常并不是你想停下来制作闪卡的时刻。MasterFlasher允许你在任何应用中静默分享内容到一个收件箱,然后稍后批量处理成卡片。 它的工作原理如下: - 从任何应用分享 → 内容静默保存到本地收件箱(无界面干扰) - URLs:应用内浏览器通过Readability.js提取文章文本 - PDFs:通过pdf.js按需提取文本 - 闪卡生成使用多步骤的Gemini管道:事实提取 → 评分 → 卡片生成 - 审核/编辑卡片,然后直接推送到AnkiDroid 设计选择: - 使用Capacitor + Ionic + React,并为应用内浏览器和Room存储提供Java插件 - BYOK:你提供自己的Gemini API密钥(无服务器或代理) - API密钥存储在设备上,使用Android KeyStore - 如果你想调整输出,提示可以由用户编辑 - 除了Gemini调用,所有内容都是本地的 背景说明:我不是软件工程师。这是一个解决我自己问题的业余项目。我后来了解到,LLM生成的闪卡并不是一个原创想法,但我想要一个适合我工作流程的工具:离线、静默分享、稍后处理、直接推送到AnkiDroid。构建这个应用也让我觉得很有趣。 免费且开源。APK和源代码在GitHub上: [https://github.com/mortsnort/MasterFlasher](https://github.com/mortsnort/MasterFlasher) 我没有计划将其商业化或进一步发展,但我欢迎任何能让它对我的闪卡学习更有用的想法。感谢你的关注!