⚠️⚠️安全警告⚠️⚠️
安全研究员发现多个 Matrix 通信协议和其客户端开发套件的安全问题和可行的攻击方法。它们允许恶意的 Matrix 服务器(homeserver)在加密的消息会话中插入受控制的用户/用户设备,并窃听未来的所有消息[攻击1、2],破坏用户安全码验证过程[攻击3],伪装为其他未经密码学认证过的设备[攻击4],伪装为已经密码学认证过的设备[攻击5],通过攻击4、5获取使用安全备份(通过SSSS模块)功能备份在服务器上的会话金钥并解密加密消息[攻击6],安全备份功能使用的密码学算法不满足“对选择性密文攻击无差别”安全性要求[攻击7]。
攻击1、2、7为Matrix协议标准设计问题。攻击3-6为客户端实现问题,因此不使用matrix官方sdk的客户端(如FluffyChat)不受攻击3-6的影响。
https://nebuchadnezzar-megolm.github.io/

Matrix及Element修复了攻击3-6,并指责研究者错误地将其他安全问题认定为协议设计问题。
https://matrix.org/blog/2022/09/28/upgrade-now-to-address-encryption-vulns-in-matrix-sdks-and-clients

报道:
https://www.wired.com/story/matrix-patches-vulnerabilities-that-completely-subvert-e2ee-guarantees/
https://arstechnica.com/information-technology/2022/09/matrix-patches-vulnerabilities-that-completely-subvert-e2ee-guarantees/


你可以做的:
尽快升级Element和其他受影响的客户端到最新版本(对于Element,最新版本分别是:
element-web 1.11.8,
element-desktop1.11.8,
element-ios 1.9.7,
element-android 1.5.1)。如果你不慎使用了F-Droid上的版本且暂时没有升级(F-Droid上的应用版本通常需要非常长的时间推出升级),推荐尽快备份并切换至github上的最新版本。
在Element的开启者模式设置中开启“显示隐藏事件”和“在加密会话中显示完整历史”,并定期检查聊天的对象是否突然设置了新设备、群内是否突然增加了新成员。
在Element中设置“只对已验证的设备发送加密消息”。
@[email protected]
#matrix #element #security #vulnerability

4. 一些基础套路

①永远永远不要解释自己!!!!
吵架不是辩论,不要怕跑题!!!!对方说妳就是找不到对象嫁不出去,妳不要费劲和ta解释妳的人生规划和价值观!直接输出即可!
需要警惕的是,有很多冒犯是伪装成沟通交流的,比方对方可能不直接说“我看你就是没人要”,而是变成提问“妳咋不找个男朋友呢?”
很多初学者朋友就大意了!刚想着好好交流,才开了个头就被对方早就准备好的话爹了个气到吐血。
提高警惕!不该问的不问!问了不该问的就是冒犯!不用回答和解释,输出吧!

② 骂人就别怕脏
也不是说一定要脏话,而是挑对方最在意的部分骂。政治正确在吵架领域没有啥用的。妳有的是机会做个好人(不像刘德华),不一定要在此时吵架时。

③ 扣帽子大法永远好用
不要怕冤枉对方,你们这是吵架呀!
帽子就看妳吵架的舆论环境:在家里就指责对方不孝不顾家,在公司就指责对方不专业工作态度不端正不尊重领导/客户,在微博就指责对方不爱国,依此类推,举一反三~

显示全部对话

看到有人发帖问在公司被男同事说“你一个女人懂什么!”气得不知道该怎么怼回去,大家纷纷出各种讥讽羞辱的建议。虽然精彩提议挺多的,但是根据我不多的现实吵架经验和丰富的网路吵架经验,除非是街上遇到闯红灯的傻逼司机这辈子不会再见面可以大喊F word骂回去,其他时候直接指出对方的问题其实要比讥讽回怼效果好。遇到别人冒犯你的情况,首先我自己反应慢,通常除了脏话在冲突面前无法马上想出又高级又狠毒好笑的讽刺,这种情况除非你已经在脑海里演练了五百八十一种被冒犯的情况,不然很难当下就反应过来。其次只是讽刺和羞辱只会激怒对方,让矛盾扩大化,而这种情况下自己本身占理的高地容易被下来变成混战,本身占理的一单永讽刺攻击在外人看来也不一定继续占理了。
我自己最最最常用的指出别人问题的句子就是“你怎么这么没礼貌?我有对你这样没礼貌吗?”一般对方一被这样问都会懵住,遇到过会承认自己刚刚没礼貌而道歉的。当然如果遇到臭不要脸的不承认刚刚自己是没礼貌,那么接下来吵架就更加有根据地了,可以根据“所以你认为的有礼貌就是这样的那我以后也这样对你”或者“如果你认为有礼貌就是这样的那你怎么不这样对领导”等方向顺藤摸瓜地吵下去。这样自己又有理可循又不用现场急着编机灵话,从defense变到offense很容易就把对方逼到墙角。
中国人可能以绕圈子说话打太极为艺术,不喜欢直接正面指出对方问题,虽然确实能绕着圈子羞辱到对方掌握好了是一门艺术吧,但是我感觉首先我掌握不了其次这样骂完对方根本不会有啥改进只会记仇并且变本加厉。

在派出所工作的朋友打电话,问说我的微信号不是***吧?我说不是啊!朋友告诉我刚处理了个事儿,让我最好不要在twitter和YouTube上【截图】,绝对不要转发到墙内(微博、微信、朋友圈)。
朋友也不能说得太详细,甚至没直接在微信上说,显然是大会将至管得更严了。

有生活在北欧的象友么,很好奇生活是怎样的……

就是整条北溪一号管道不把气漏完、也没什么可做的了。泄漏的甲烷量占丹麦一年碳排放的32%。丹麦是减排最积极的国家。甲烷对气候变化造成严重影响,在排放初期是二氧化碳的25倍,随着时间推移,排放后的二十年内,会是二氧化碳的86倍。这就是为什么气候变暖极地冻土层融化会进一步加剧气候变暖、因为冻土层里有大量甲烷。

就很想爆粗口。Fuck。这么多人做这么多努力在减排,在试图拯救人类,为权力欲望所夺舍的疯子们一次次把这些耗费了那么多时间与力气的努力瞬时化为乌有。

@mockingbird0016 哈哈哈哈,这个正好有现实的例子。
俄媒假装军方人士,给普京新闻秘书佩斯科夫的儿子尼古拉打电话,说他被征召入伍,让他第二天报到。
结果尼古拉说:你知道我是谁吗?我不会去的,我会去找人解决。

看到有象友想要了解伊朗的总体概况:
个人推荐几本自己觉得写得挺不错的有关伊朗的书籍…感觉可以从不同角度切入了解伊朗。

伊朗为什么会形成如今森严高压的政教合一政治环境:《什叶派乌里玛与伊朗伊斯兰政权的演进》

伊朗从波斯帝国至今一些历史人文介绍:《新月与蔷薇:波斯五千年》(这本真的很不错,伊朗学者自己写的)

伊朗女性近三十年的生活现状侧写:之前那部获奖短片《我在伊朗长大》,相信很多朋友都看过。以短片形式将伊朗女性从生在伊朗,到逃离伊朗,一直到在欧美社会依旧找不到归属感的悲剧人生完美浓缩其中。不多赘述。

这里重点推荐前德黑兰大学教授阿扎尔·纳菲西所著书籍《在德黑兰读<洛丽塔>》《我所缄默的事》《想象共和国》。她曾因拒戴头巾、不穿黑袍被革职。又因带领女学生在家开秘密读书会,阅览各国书籍被判为终生不得在伊朗教课。最终她不得不离开伊朗远赴美国。而上述我提到的三本书则是她将自己和身边伊朗女性真实经历写作而成的书籍。

斗胆献丑,希望能帮到时间线上的朋友们。
@board

@secretgoldfish 「挺讽刺的,在一个穆斯林国家,一个女孩因为没有戴头巾而被警察打死,愤怒的男人们做的是上街殴打警察,而不是去质疑是不是有NGO挑拨性别对立。」

朋友們,走過路過!我剛傳了個應該是相當全的余英時打包!不來下一個嗎
(鏈接7天有效期)
we.tl/t-N3rF3GH4Sf

@daoluan 另一面的信息

高亮:【以下信息均为转述之前看到的一条推特,不代表本人观点】【那条推特找不到了,如果找到我会发链接的】

他边走边直播,现在都知道了这条路,所以这条路已经废了。他这次直播传播范围太广,连带着很多搞偷渡的蛇头也不愿意接中国人的单了,典型的自己走完断人后路了。。。

高亮:【以下一段才是本人个人观点】

当然,我知道上长毛象的人绝大多数都不会是靠偷渡移民,但这件事的另一面我觉得得说一下。

【补充信息】
此人直播偷渡时,是带着具体的坐标和地图的(这个可以在他的推特看到)。

围观的人可以说他飞到南美再偷渡是“一条人人都知道的路”、“看着地图研究政策就能琢磨出来的方法”,但偷渡作为一件非法的事情,中间是有很多灰色地带的,很多事情很多信息应该是保持默契心照不宣的。如果信息都这么公开了,这些灰色地带还能存在吗?下一个去他提供的坐标地点的人做跟他同样的事情还可以达到跟他一样的结果吗?

举个类似的例子吧,在中国办事,很多时候是要找关系的。如果有个人找到了关系办成事的人之后发微博说“大家想办这件事都来找这个人啊,给ta什么什么东西就行”,那么之后想要办事的人还能再找同一个关系吗?

这是我会一定程度上赞同“他把信息公开是在过河拆桥”这个观点的原因。

作为一个读过很多脱北者故事的人,我对偷渡这件事本身不judge,说实话,但凡能有其他路可走的话,谁又会选择这样一条路呢?

最后,希望大家都可以逃出中国,也希望大家也都足够幸运可以不需要用这种高风险的方式。

在武汉博主的评论区看到一位网友说疫情不会过去的,和他关系很好在生物科技城上班的朋友告诉他——核酸棉签排产已经到2025年了。。。

金冬雁教授这一期讲得挺好的。这种科学逻辑串讲大礼包,真的是久违的正常世界的味道。

推特上有人详细记录了自己从中国偷渡到美国的过程。这哥们从杭州出境,先经卡塔尔、西班牙转机到厄瓜多尔,随后一路坐长途车、乘独木舟、穿雨林,北上到墨西哥,在墨西哥境内买了辆摩托车骑行2900公里到美墨边境,再翻山越岭进入加州。入境后马上拨打911,请移民局把自己收监同时以中国抗疫政策侵犯人权为由申请政庇。到移民局走完初始程序大约24小时后被放出,现在在加州逍遥快活。除了从国内到厄瓜多尔的机票,后续入境美国一共花费6100刀。twitter.com/Junyang314

想起之前被警察抓去审问,因为一些微博的问题。结束后他问我:“今天对警察的印象有改观了吧?不像你以为的那么讨厌吧?”我当时因为不想再被他继续教育了,只能说:“恩,你和其他警察不一样,我有改观了。”
其实我心里想的是,你之前对我的那些没有任何理由的指控还有威胁我可能不能回家,转眼间就忘了?他在给我“教育”的过程中,说了很多看起来没上过学的话,像是“你说你发那些文学家写的作品,他们还活着吗?他们知道我们现在的生活怎么样嘛了”“鲁迅就正确吗?鲁迅写的东西现在看还有意义吗?”“你看网上那些关注徐州的人,没有一个在徐州,这还不能说明问题吗?”等等。
我刚开始还一条条反驳他们,后来他们似乎觉得这招对我没用便开始了强硬的态度。我也感受到了这个变化,开始装可怜,开始降低说话的频率只是装着发呆和凝重。气氛瞬间就安静下来,他们似乎也感觉这样没办法继续对话了,便开始聊起了lgbt,说一些问题想要谈谈,说自己并不是歧视,只是对你们好奇,想了解你们这个群体。我也就说了些没用的话回应了他们,糊弄过去了。
这段时间网上一直有警察违规执法,我一直都想把那些视频发给那个警察(是的他加了我微信),我想让听他一条条和我解释警察为什么会这样,不过我还是不敢的,毕竟他能从一条微博就确定我家的位置,何必去用鸡蛋碰他。想着等我出去了,我会对他的微信疯狂输出,最后来句,你他妈抓不到我。

想起上学期的时候刚开学学校组织了一次新生普法讲座,请了上海市的一名法官过来给大家做讲解,结束后有自由提问环节,一个男的站起来绘声绘色地讲述了一个他自己称作全虚构的并且在宿舍里和同学讨论过很多次的问题,大概就是如果一个人在网上约嫖然后线下支付并且聊天记录中不留下任何直白的足够当作约嫖证据的语言,那么即使他嫖完不给钱是不是对方也没有任何办法,这男的嘴皮子很好讲得很幽默,以至于最后讲完现场所有人都在笑,有男有女,此起彼伏的海浪般的笑声,留我一个人坐在一个普通得不能再普通的位置上在这一片笑声的浪涛里感到恐惧,即使法官的答复是法律存在的意义是遵守;更戏剧性的是,在这个人的提问过后接下来提问的是一名女生,她向法官提问的是关于上海小红楼的事情,我当时仔细地听了她讲话的语气,和先前那个巧言令色的男生不同,她羞怯又谨慎,近乎是克制着语气里的害怕和泣意进行着提问。现场组织活动的老师跟她说让她私下再和法官交流,最后活动就这样结束散场了
这件事几乎是上学期里除了上海封控以外留给我印象最深的事情,这样巧合又戏剧性一般先后提出两个截然不同但实际上又同根同源的问题的一男一女,这样一所姑且高考分数算高、学生大多家境良好的学校,这样一所包容的夜夜笙歌的几乎是我梦寐以求的城市,这样一片又一片笑声的惊涛骇浪。这样的一个国家。

显示更早内容
长毛象中文站

长毛象中文站是一个开放,友好,有爱的社区。长毛象中文站主题为喵,汪,各种动物,社交,科技,编程及生活。发言内容只要没有明显违法内容均不禁止。无论你的兴趣点是什么,我们欢迎友好、热情、乐于分享的朋友。

Donate using Liberapay

Buy Me a Coffee at ko-fi.com