最新

Marmot 达成了一个重要里程碑。我一直在独自推进（在 AI 的帮助下），以真正完善这个系统。昨天，我达到了第一个里程碑，MySQL API 现在足够稳定，可以顺利安装和运行 WordPress。系统现在已经可以创建一个集群，然后根据需要扩展出多个副本。我想构建一些实际上在 AI 领域比较困难的东西，这一路走来经历了漫长而艰辛的过程，尝试了各种 AI 工具，并进行了大量学习。我会跟进一篇博客文章，但由于我已经准备好了所有脚本，可以帮助大家快速搭建集群和示例，我想把这些分享出来，以便大家可以提出意见，帮助我改进。 源代码可在以下链接获取： [https://github.com/maxpert/marmot/](https://github.com/maxpert/marmot/) 最有趣的部分是运行在集群中的 WordPress：[https://github.com/maxpert/marmot/tree/master/examples/wordpress-cluster](https://github.com/maxpert/marmot/tree/master/examples/wordpress-cluster) 这些 WordPress 实例各自连接到自己的 "MySQL"，但在后台则通过 SQLite 数据库进行复制和存储。

我开发了 dssrf，这是一个为 Node.js 应用程序设计的安全构建 SSRF 防护库。<p>大多数现有的 SSRF 库依赖于黑名单或正则表达式检查，这些方法容易被绕过。dssrf 采用了一种不同的方法，基于规范化、DNS 解析、重定向验证和 IP 分类。<p>主要特点： – 符合 RFC 的 URL 规范化 – DNS 解析 + IP 分类 – 重定向链验证 – IPv4/IPv6 安全 – 重新绑定检测 – 协议限制 – 包含 TypeScript 类型<p>目标是消除整个类别的经典 SSRF 漏洞，而不是修补单个有效载荷。<p>GitHub: https://github.com/HackingRepo/dssrf-js npm: https://www.npmjs.com/package/dssrf<p>我非常欢迎来自社区的反馈、边缘案例和贡献。

几周前，我在这里发布了我的一个副项目（Spikelog，简单的指标跟踪）。你需要注册才能试用它。<p>我不知道有多少人在这个步骤中放弃了，但我知道我个人在还没来得及浏览之前就会关闭标签页，如果某个网站要我提供邮箱。所以我最终添加了一个“无需注册即可试用”的流程。这是原帖中的一位评论者推荐的： https://news.ycombinator.com/item?id=46085379<p>为了让这个流程在你点击“立即试用”时生效，我会创建一个访客用户，并给你一个“刷新”密钥。这个密钥会存储在 localStorage 中。下次你访问时，我们会用一个新的 JWT 来替换它。如果你最终真的注册了，你的数据会转移过来。<p>我为访客和真实用户使用了不同的 JWT 密钥对（与我的身份验证路由器分开）。这样做的想法是，如果有人攻破了后端，他们只能伪造访客令牌，而无法伪造真实令牌。密钥是经过哈希处理的，访客创建受到速率限制（每小时每个 IP 限制 5 个）。只有真实账户才能调用合并端点，因此访客之间无法窃取彼此的数据。<p>这也有一些缺点。如果你清除了 localStorage，你将失去访问权限。它只能在一台设备上使用。而且我最终需要对数据库中闲置的访客账户进行一些清理工作。<p>我对其他人的处理方法很感兴趣。我想做一些能够反映我真实身份验证流程的东西，所有内容都从有效的刷新令牌开始（真实流程使用的是 cookie）。<p>如果你想试试，可以访问 https://spikelog.com。欢迎尝试并看看能否找到漏洞，如果发现问题，请告诉我，或者告诉我如何加强我的安全性。

大家好， 我正在经历一次关于Stripe的重大问题，觉得有必要提醒其他人。 我们租赁车辆，自2017年起开始使用Stripe。我们处理的交易量巨大，到目前为止在Stripe上的支出超过了10亿美元。 我们喜欢Stripe的工具和软件等。但最近，他们的态度更像是黑帮老大，而不是一个供应商，因为他们知道客户已经深陷其中。 随着时间的推移，我们的协议演变为一项多年的最低年费承诺，并采用“企业”定价。在每次续约时，模式都是： Stripe不断提高最低年费。 如果我们没有自然达到这个最低要求，他们期望我们通过附加产品和“可有可无”的功能来弥补差额，以满足承诺。 我们被警告，如果找不到办法达到最低要求，他们可以直接从收入中扣除全额。 在选择Stripe之前，我会考虑以下几点： 1. 让你的集成具有可移植性。不要使用供应商的表单/卡片逻辑。 2. 使用一个可以轻松更换卡片提供商的发票平台。 3. 对于小的年度最低要求要有所抵制，因为他们下次只会提高这个要求，而不是专注于帮助你赚更多的钱，Stripe更关注自身利益。 对任何在Stripe工作的人来说，你们打造了一个很棒的产品，只希望你们能保持让你们走到今天的文化。 祝好运！

大家好！<p>我们刚刚在 Buildstash 上推出了开放注册。这是一个用于管理和共享软件二进制文件的平台。<p>我曾在游戏开发、移动应用和代理机构工作，发现每个团队都没有真正的系统来管理他们构建的二进制文件。通常这些文件只是被随意放在共享文件夹中（如果有人记得的话！）没有版本控制，也没有跟踪谁在什么时候批准了什么，或者哪个具体的构建版本已经交付给客户等。<p>目前市场上用于管理构建工件的工具主要集中在包管理上，但忽略了其他类型的软件，这些软件并不是以这种方式进行部署。<p>这就是我们为 Buildstash 看到的市场空白。它旨在组织和分发针对任何平台的软件二进制文件，无论它们是如何部署的。<p>我们非常注重用户体验，确保设置过程非常简单——可以与 CI/CD 集成或捕获本地构建，使得即使是最小的团队也能轻松上手。<p>对于移动应用，它将处理集成的 beta 分发。对于游戏，它能够处理针对 PC、主机或 XR 的大型二进制文件。嵌入式团队在固件、应用和工具之间跟踪二进制文件的管理非常适合使用这个平台。<p>我们在周一推出了产品，并在本周每天推出一个新功能——今天我们宣布了 Portals——一个可以在您的网站上托管的自定义品牌空间，您可以向用户发布版本或整个构建流。想象一下 GitHub Releases，但功能更强大。或者想想您在开发者网站上看到的自定义界面，用于按平台查找过去的构建、查看夜间构建、过去的版本等——Buildstash Portals 可以为您轻松实现这一切，并且可以在几分钟内进行自定义。<p>这是一个演示视频 - <a href="https://youtu.be/t4Fr6M_vIIc" rel="nofollow">https://youtu.be/t4Fr6M_vIIc</a>，还有我们的启动周页面 - <a href="https://buildstash.com/launch-week" rel="nofollow">https://buildstash.com/launch-week</a>。

我创建了DomainOptic，因为差点把我的Stripe密钥放进生产包中。 它在几秒钟内运行6项检查： * SSL证书 - 有效性、过期时间、协议 * DNS健康 - SPF、DKIM、DMARC（电子邮件伪造保护） * 安全头部 - CSP、HSTS、X-Frame-Options * 黑名单状态 - 垃圾邮件/恶意软件列表检查 * 秘密扫描器 - 在公共JS包中查找泄露的API密钥（如AWS、Stripe、Firebase等） * 幽灵API猎手 - 暴露的Swagger文档、GraphQL端点、调试路由 每次扫描都会给出A+到F的评分，并用通俗易懂的语言解释为什么这对你很重要。 最后两个功能是我们的独特之处，大多数SSL检查工具都存在，但很少有工具能够被动扫描你的前端以查找泄露的秘密或被遗忘的/api端点。 我们希望获得关于误报率的反馈，以及其他可能有用的检查项。