游戏文化浓度也许很高的微型博客,还有审查观察和浅显的科普杂谈。每日 7:30 准时更新。明明很向往自由,却有着严格约束,和奇怪规则的频道。
由 gledos 创作的内容,如果没有另外声明,均为 CC-BY 4.0 许可协议。
gledos 无法保证内容正确,但会一直尝试追逐正确。
管理员: @gledos_green
由 gledos 创作的内容,如果没有另外声明,均为 CC-BY 4.0 许可协议。
gledos 无法保证内容正确,但会一直尝试追逐正确。
管理员: @gledos_green
对一张图片分析:其二
表格中能看到「%3F」「%2C」,这是 百分号编码,属于为 URL 设计的转义字符,所以判断这些内容是源自搜索引擎是很合理的。
但被暗访的经理还提到用户「哪里浏览、搜索过这个关键词(而来)」这样的细节。
用户从 A 搜索引擎点击 B 网页打开,B 网页竟然能知道 A 搜索引擎的 URL?在以前确实会这样,这是因为 HTTP referer 请求头技术的问题。
比如用户在手机使用搜索引擎搜索「松木桌子」,然后打开上面的一个含有恶意采集电话号码脚本,以及服务器能保存 referer 请求头的内容的网页,那么攻击者就能做出与标题图相同的表格,而这仅靠一个网站就能做到,只是它利用了各种漏洞、机制。
好在 referer 的风险,已经被基本修复,现在浏览器通常不会发送参数,只会发送域名。
附言 1:referer 是防盗链的原理,所以修复防盗链的油猴脚本,只需要修改 referer,比如 Greasy Fork 上的 反图片防盗链。
附言 2:如果认为 referer 发送域名,仍然泄漏了重要信息,也有一些浏览器插件能完全移除 referer,比如 Chameleon(Firefox)插件。但是移除 referer 后,可能会让浏览器指纹更加明显,需要自己权衡。
附言 3:一些网站点击外链后,会先跳转到专用的「跳转页」,这种安全策略有多种优缺点,其中就有应对 referer 泄漏的优点。(OWASP Cheat Sheet Series)
赛博空间生存指南(草稿)
表格中能看到「%3F」「%2C」,这是 百分号编码,属于为 URL 设计的转义字符,所以判断这些内容是源自搜索引擎是很合理的。
但被暗访的经理还提到用户「哪里浏览、搜索过这个关键词(而来)」这样的细节。
用户从 A 搜索引擎点击 B 网页打开,B 网页竟然能知道 A 搜索引擎的 URL?在以前确实会这样,这是因为 HTTP referer 请求头技术的问题。
比如用户在手机使用搜索引擎搜索「松木桌子」,然后打开上面的一个含有恶意采集电话号码脚本,以及服务器能保存 referer 请求头的内容的网页,那么攻击者就能做出与标题图相同的表格,而这仅靠一个网站就能做到,只是它利用了各种漏洞、机制。
好在 referer 的风险,已经被基本修复,现在浏览器通常不会发送参数,只会发送域名。
附言 1:referer 是防盗链的原理,所以修复防盗链的油猴脚本,只需要修改 referer,比如 Greasy Fork 上的 反图片防盗链。
附言 2:如果认为 referer 发送域名,仍然泄漏了重要信息,也有一些浏览器插件能完全移除 referer,比如 Chameleon(Firefox)插件。但是移除 referer 后,可能会让浏览器指纹更加明显,需要自己权衡。
附言 3:一些网站点击外链后,会先跳转到专用的「跳转页」,这种安全策略有多种优缺点,其中就有应对 referer 泄漏的优点。(OWASP Cheat Sheet Series)
赛博空间生存指南(草稿)
在 雨后天晴 频道中看到了一张图片,底部有一些解释,不过感觉还是不太合理,所以尝试深入探索图片背后的信息。
看到手机号被网页偷走,就想起了 2022 年的 3·15 晚会,这期节目模糊的提及了一些网站能获取访客的电话号码,不过没有深究相关技术,只是被暗访的经理提及了 MAC 地址。
显然网页能获取 MAC 地址,从而获取手机号不符合常识。于是从「网站」「泄漏」「手机号」这样的关键词,继续寻找相关内容,果真找到了相关内容.
早在 2015 年,乌云网就有人提交了移动公司存在 接口漏洞,这个接口能直接返回手机用户的手机号,只要给网站添加相关脚本,就能收集移动访客的手机号,而当时已经有网站这么利用漏洞获取访客隐私。
2018 年,又有人发现 联通的接口漏洞,也许三个运营商都有相似且长期的漏洞,所以这大概就是网页获取手机号的手段。
右半部分大概解决了,接下来是左半部分。
光猫可能内置审查工具
深度包检测(DPI)能够读取 HTTPS 连接的 SNI,从而知晓用户在使用什么网站,然后切断连接,所以 DPI 往往被视为审查技术。
2019年10月28日,有人在 Pastebin 公开了一份华为路由器的某个配置文件,其中就有
之后在 2023年4月23日,谷子猫发布了博文,表示此插件是在移动的光猫上的插件,此类插件似乎被称为「软探针」,能够生成给用户观看的「家庭网络使用概览」,其中含有社交、游戏、视频等应用类型的流量占比,并且还有「网络安全防护情况」,能为用户检测安全风险,比如「检测不良内容网站」。当使用桥接,通过路由器上网后,上述功能就会失效。
所以
ggame
深度包检测(DPI)能够读取 HTTPS 连接的 SNI,从而知晓用户在使用什么网站,然后切断连接,所以 DPI 往往被视为审查技术。
2019年10月28日,有人在 Pastebin 公开了一份华为路由器的某个配置文件,其中就有
com.chinamobile.smartgateway.cmccdpi 这个插件。之后在 2023年4月23日,谷子猫发布了博文,表示此插件是在移动的光猫上的插件,此类插件似乎被称为「软探针」,能够生成给用户观看的「家庭网络使用概览」,其中含有社交、游戏、视频等应用类型的流量占比,并且还有「网络安全防护情况」,能为用户检测安全风险,比如「检测不良内容网站」。当使用桥接,通过路由器上网后,上述功能就会失效。
所以
…cmccdpi 插件最后的 dpi,应该就是指深度包检测(DPI),或许还有 DNS 请求记录之类的功能。有这样的功能,才能起到提供信息以及保护用户的作用。但是这些数据除了呈现给用户,是否还分享给第三方,暂不可知。ggame
传染病检测项目
ProMED 的全称是 Program for Monitoring Emerging Diseases,意为新发疾病监测计划,是由 国际传染病学会在 1994 年创建的信息平台。ProMED 团队不断寻找有关全球卫生安全相关的信息,然后在筛选、整理、编辑后发给邮件订阅者,ProMED 对 SARS 和 MERS 的识别都起到了显著作用。
谷歌流感趋势 是谷歌创建的项目,统计搜索流感相关的词语的频率,从而建立模型来预测流感。
HealthMap 是更具自动化的项目,在被 SARS 袭击之后,一些医生开发了某种类似「棱镜计划」的大规模监控项目,能从社交平台寻找有关疫情的内容。虽然 HealthMap 目的是防止 SARS 再次出现,但遗憾的是,如果社交平台本来就不开放,也就难以采集到有用信息了。
#Wikipedia
ProMED 的全称是 Program for Monitoring Emerging Diseases,意为新发疾病监测计划,是由 国际传染病学会在 1994 年创建的信息平台。ProMED 团队不断寻找有关全球卫生安全相关的信息,然后在筛选、整理、编辑后发给邮件订阅者,ProMED 对 SARS 和 MERS 的识别都起到了显著作用。
谷歌流感趋势 是谷歌创建的项目,统计搜索流感相关的词语的频率,从而建立模型来预测流感。
HealthMap 是更具自动化的项目,在被 SARS 袭击之后,一些医生开发了某种类似「棱镜计划」的大规模监控项目,能从社交平台寻找有关疫情的内容。虽然 HealthMap 目的是防止 SARS 再次出现,但遗憾的是,如果社交平台本来就不开放,也就难以采集到有用信息了。
#Wikipedia
电路交换 vs. 分组交换
电路交换是早期通话使用的网络通信技术,过去的接线员职业,以及取代此职业的(自动)电话交换机, 都直观的演示了电路交换的特点,即信息传输会占用同一条线,如果中继节点故障,那么此连接会直接中断,并且难以重新连接。
电路交换也就是将设备直连,优点是延迟稳定,因为不是数据包传输,所以也不会丢包。不过缺点也很明显, 电路交换无法创建现代意义的互联网络,还会有明显的占线问题。
阿帕网(ARPANET)是第一个现代意义的网络,主要是实现了分布式结构。这与动态路由技术相关,也就能避免电路交换的单点故障。 而要配合动态路由技术,就使用了分组交换,也被称作(数据)包交换。
之所以要研发阿帕网,也是为核战争做准备,需要尽可能去中心化,所以这塑造了现在的互联网。如果没有这方面的压力, 也许会有基于电路交换的互联网吧。
赛博空间生存指南(草稿) | #历史
电路交换是早期通话使用的网络通信技术,过去的接线员职业,以及取代此职业的(自动)电话交换机, 都直观的演示了电路交换的特点,即信息传输会占用同一条线,如果中继节点故障,那么此连接会直接中断,并且难以重新连接。
电路交换也就是将设备直连,优点是延迟稳定,因为不是数据包传输,所以也不会丢包。不过缺点也很明显, 电路交换无法创建现代意义的互联网络,还会有明显的占线问题。
阿帕网(ARPANET)是第一个现代意义的网络,主要是实现了分布式结构。这与动态路由技术相关,也就能避免电路交换的单点故障。 而要配合动态路由技术,就使用了分组交换,也被称作(数据)包交换。
之所以要研发阿帕网,也是为核战争做准备,需要尽可能去中心化,所以这塑造了现在的互联网。如果没有这方面的压力, 也许会有基于电路交换的互联网吧。
赛博空间生存指南(草稿) | #历史
网络协议战争
在互联网的根基即将定型前,当时的工程师、组织和国家在选择通信协议上爆发了「协议战争」。
此时,为了防止无法挽回的结果,网络并没有被允许商用,即大规模使用。而是作为学术相关目的,主要在实验室和大学,一边研究一边使用。(一旦开放商用,开始大规模使用。用什么协议,就不是工程师能说了算的,就像 IPv6 的推广非常困难。)
参与方则是代表国际的 ISO,与代表网络工程师的 IETF。ISO 拿出了 OSI 模型,IETF 则将已经实用,但还没有整体规范定义的 TCP、UDP、IP 协议们,定义为了 TCP/IP 协议族。
但问题是这两个标准并不兼容,欧盟倾向 OSI 的标准,美国支持 TCP/IP,久久僵持不下。
可能是因为 TCP/IP 有完善的软件支持,与互联网社区的哲学、文化更接近,技术上更简单,以及最吸引眼球的应用:万维网。最终 TCP/IP 杀死了 OSI,只剩下 OSI 模型最表层的一个金字塔外壳,被作为网络相关的教学使用。
赛博空间生存指南(草稿) | #历史
在互联网的根基即将定型前,当时的工程师、组织和国家在选择通信协议上爆发了「协议战争」。
此时,为了防止无法挽回的结果,网络并没有被允许商用,即大规模使用。而是作为学术相关目的,主要在实验室和大学,一边研究一边使用。(一旦开放商用,开始大规模使用。用什么协议,就不是工程师能说了算的,就像 IPv6 的推广非常困难。)
参与方则是代表国际的 ISO,与代表网络工程师的 IETF。ISO 拿出了 OSI 模型,IETF 则将已经实用,但还没有整体规范定义的 TCP、UDP、IP 协议们,定义为了 TCP/IP 协议族。
但问题是这两个标准并不兼容,欧盟倾向 OSI 的标准,美国支持 TCP/IP,久久僵持不下。
可能是因为 TCP/IP 有完善的软件支持,与互联网社区的哲学、文化更接近,技术上更简单,以及最吸引眼球的应用:万维网。最终 TCP/IP 杀死了 OSI,只剩下 OSI 模型最表层的一个金字塔外壳,被作为网络相关的教学使用。
赛博空间生存指南(草稿) | #历史
将 YouTube 上的专辑保存为单曲
YouTube 较长的音乐专辑,往往会分章节,方便用户跳转到合适的部分欣赏音乐。但是从 YouTube 下载的高音质的 opus 音乐是一个整体,不利于欣赏,而 CUE 这种描述音轨的布局、信息和索引的章节格式,也不怎么支持 opus,就需要更好的方法了。
现在大多数播放器都能播放 opus 编码,那么直接将高音质的 opus 音乐切片,不进行额外的转码,应该就是最好的方法了。
首先使用 yt-dlp 这款 CLI 工具下载音频:
最后将音乐复制一份,重命名为 test.opus,就能在 shell 中批量执行这些命令了(比如 Windows 里常用的 CMD),单曲就会被切好。
附言:重命名为 test.opus,可以防止名称过长,如果切片时出现错误,就能较容易找到问题,并且复制一份也是保险,防止刚下好的文件被意外覆盖。
#指南
YouTube 较长的音乐专辑,往往会分章节,方便用户跳转到合适的部分欣赏音乐。但是从 YouTube 下载的高音质的 opus 音乐是一个整体,不利于欣赏,而 CUE 这种描述音轨的布局、信息和索引的章节格式,也不怎么支持 opus,就需要更好的方法了。
现在大多数播放器都能播放 opus 编码,那么直接将高音质的 opus 音乐切片,不进行额外的转码,应该就是最好的方法了。
首先使用 yt-dlp 这款 CLI 工具下载音频:
yt-dlp -f "bestaudio/best" --write-description -ciw -o "%(title)s.%(ext)s" -v --extract-audio {% URL %}--write-description 参数能够将章节信息保存为文件,以文本格式打开后,就能看到[章节号][章节名][开始时间]这样的内容,将这部分内容复制到 GPT 编写的 网页工具 中转换,就能得到 ffmpeg 的切片命令。最后将音乐复制一份,重命名为 test.opus,就能在 shell 中批量执行这些命令了(比如 Windows 里常用的 CMD),单曲就会被切好。
附言:重命名为 test.opus,可以防止名称过长,如果切片时出现错误,就能较容易找到问题,并且复制一份也是保险,防止刚下好的文件被意外覆盖。
#指南
引导程序相关资料
电脑启动时,Bootloader 会告诉硬件,如何加载操作系统到内存中,并加载系统。
所以多系统、更换系统,需要修改 Bootloader,因为 Bootloader 掌管运行系统的权能。游戏机、Android 的破解或者安装其他系统,通常也是需要解开 Bootloader 锁(或者使用第三方 Bootloader 替代),因为这些设备并没有提供用户可直接操作 Bootloader 的途径。
---
可能是出于兼容性考虑,系统越来越复杂的时,开发者也没有扩展 Bootloader 的容量,而是设计了双重 Bootloader。启动设备后,第一阶段 Bootloader 会执行,对硬件初始化,然后加载并执行第二阶段的 Bootloader,加载内核等系统软件。
常见系统使用的引导加载程序如标题图所示,可以看出都有两个阶段。
赛博空间生存指南(草稿)
电脑启动时,Bootloader 会告诉硬件,如何加载操作系统到内存中,并加载系统。
所以多系统、更换系统,需要修改 Bootloader,因为 Bootloader 掌管运行系统的权能。游戏机、Android 的破解或者安装其他系统,通常也是需要解开 Bootloader 锁(或者使用第三方 Bootloader 替代),因为这些设备并没有提供用户可直接操作 Bootloader 的途径。
---
可能是出于兼容性考虑,系统越来越复杂的时,开发者也没有扩展 Bootloader 的容量,而是设计了双重 Bootloader。启动设备后,第一阶段 Bootloader 会执行,对硬件初始化,然后加载并执行第二阶段的 Bootloader,加载内核等系统软件。
常见系统使用的引导加载程序如标题图所示,可以看出都有两个阶段。
赛博空间生存指南(草稿)
电视节目放送的临时变动
电视剧《抗美援朝》,原定于 2002 年元旦于 CCTV 1 首播,但是因为美国发生了 911,有人考虑到中美关系,所以封禁了此电视剧超过 10 年。
2018年12月1日,法国的黄背心运动进行到了第三轮,情况越来越严重,然后 CCTV 6 在 3 日临时变更了电影《简爱》为《悲惨世界》。
2019年5月16日,CCTV 6 发布消息,表示推迟亚洲影视周红毯典礼,转而播出经典战争片《英雄儿女》,次日表示播出《上甘岭》。这些改播行为均是临时的,因为此前央视网的节目单,并没有相关节目的播出计划。原因可能是期间的「中美贸易战」情况变得麻烦,华为也在此期间(2019年5月17日),被美国限制进口零部件及技术。
2021年8月16日,美军撤离阿富汗期间,喀布尔国际机场的撤离行动中,多人抓住即将离去的飞机,但数人从飞机上摔下死亡。当日下午,CCTV 6 播放了《一条狗的回家路》,而在前一天,播放的是《敦刻尔克》。
2023年11月8日,有爆料消息称,CCTV 1 即将于 13 日首播新版《上甘岭》电视剧,不过未能播出。原因可能是在此期间,举办了 APEC 会议。之后出现了一些预言:CCTV 6 可能会重播「亲美」电影,比如《黄河绝恋》。不过并没有实现。
ggame
电视剧《抗美援朝》,原定于 2002 年元旦于 CCTV 1 首播,但是因为美国发生了 911,有人考虑到中美关系,所以封禁了此电视剧超过 10 年。
2018年12月1日,法国的黄背心运动进行到了第三轮,情况越来越严重,然后 CCTV 6 在 3 日临时变更了电影《简爱》为《悲惨世界》。
2019年5月16日,CCTV 6 发布消息,表示推迟亚洲影视周红毯典礼,转而播出经典战争片《英雄儿女》,次日表示播出《上甘岭》。这些改播行为均是临时的,因为此前央视网的节目单,并没有相关节目的播出计划。原因可能是期间的「中美贸易战」情况变得麻烦,华为也在此期间(2019年5月17日),被美国限制进口零部件及技术。
2021年8月16日,美军撤离阿富汗期间,喀布尔国际机场的撤离行动中,多人抓住即将离去的飞机,但数人从飞机上摔下死亡。当日下午,CCTV 6 播放了《一条狗的回家路》,而在前一天,播放的是《敦刻尔克》。
2023年11月8日,有爆料消息称,CCTV 1 即将于 13 日首播新版《上甘岭》电视剧,不过未能播出。原因可能是在此期间,举办了 APEC 会议。之后出现了一些预言:CCTV 6 可能会重播「亲美」电影,比如《黄河绝恋》。不过并没有实现。
ggame
加油站使用手机
一些加油站要求禁止使用手机,部分地区还有法律要求,原因是有人认为手机会产生火花(电弧)。
《名侦探柯南》第 576 集,讲述了一起利用电弧杀人的故事。受害者身穿毛衣,开着老式轿车,所以使用钥匙时,就产生了电弧,引燃了空气中挥发的汽油。
这么看来,加油站应该拒绝为身穿毛衣的驾驶员,提供加油服务(笑),不过加油站还是靠「静电释放器」,缓解了这一隐患。这是一个金属板,应该是接地的。
《流言终结者》S1E2 直接在开播的第二集,就测试了这一流言,结果发现手机无法引爆加油站,而罪魁祸首应该还是服装、座椅摩擦产生的静电。
相关微型博客:医院内的通讯
#原理 #名侦探柯南
一些加油站要求禁止使用手机,部分地区还有法律要求,原因是有人认为手机会产生火花(电弧)。
《名侦探柯南》第 576 集,讲述了一起利用电弧杀人的故事。受害者身穿毛衣,开着老式轿车,所以使用钥匙时,就产生了电弧,引燃了空气中挥发的汽油。
这么看来,加油站应该拒绝为身穿毛衣的驾驶员,提供加油服务(笑),不过加油站还是靠「静电释放器」,缓解了这一隐患。这是一个金属板,应该是接地的。
《流言终结者》S1E2 直接在开播的第二集,就测试了这一流言,结果发现手机无法引爆加油站,而罪魁祸首应该还是服装、座椅摩擦产生的静电。
相关微型博客:医院内的通讯
#原理 #名侦探柯南
处理废弃食用油
油炸、炒菜或者盘子中残留的食用油,这是比较头疼的废物(垃圾),直接冲进下水道是最便捷的处理方式,但这样会对基础设施产生影响,比如堵塞下水道,以及给污水处理厂增加负担。
湿纸巾 + 油脂沉积物 + 表面粗糙的下水道,就可能形成 Fatberg(脂肪山),是强度可能达到混凝土的物质,也就会堵塞下水道。(一下雨就涝,原来是这样)
食用油算是可燃物,所以在清洗锅碗上的油污之前,使用废布或旧报纸等进行擦拭,然后作为垃圾扔掉是好主意。如果是油炸后,剩下大量油脂,那么需要将其存入封闭容器中,部分区域,比如日本部分地区,还会有回收食用油的站点。
还有一些转为废弃油而诞生的工具,能帮助处理,比如日本流行使用油凝固剂,能让油固化,就容易当作可燃垃圾丢弃。餐馆会使用油脂拦截器,防止油污随着水流走,分离并搜集油脂。
附言:曾经餐馆的废弃食用油,流行的处理方式,是提炼后食用,这也就是「地沟油」。
🔗 参考资料 | #原理 #环境保护
油炸、炒菜或者盘子中残留的食用油,这是比较头疼的废物(垃圾),直接冲进下水道是最便捷的处理方式,但这样会对基础设施产生影响,比如堵塞下水道,以及给污水处理厂增加负担。
湿纸巾 + 油脂沉积物 + 表面粗糙的下水道,就可能形成 Fatberg(脂肪山),是强度可能达到混凝土的物质,也就会堵塞下水道。(一下雨就涝,原来是这样)
食用油算是可燃物,所以在清洗锅碗上的油污之前,使用废布或旧报纸等进行擦拭,然后作为垃圾扔掉是好主意。如果是油炸后,剩下大量油脂,那么需要将其存入封闭容器中,部分区域,比如日本部分地区,还会有回收食用油的站点。
还有一些转为废弃油而诞生的工具,能帮助处理,比如日本流行使用油凝固剂,能让油固化,就容易当作可燃垃圾丢弃。餐馆会使用油脂拦截器,防止油污随着水流走,分离并搜集油脂。
附言:曾经餐馆的废弃食用油,流行的处理方式,是提炼后食用,这也就是「地沟油」。
🔗 参考资料 | #原理 #环境保护
任天堂 Switch 的手柄是分体式的 Joy-Con,而 Joy-Con 的背面密密麻麻排列了多个标志,数量可能跟版本有关。
王国之泪版本含有 9 个标志,从左到右分别是:
1. Nintendo:任天堂。
2. NOM:Normas Oficiales Mexicanas,符合墨西哥官方标准。
3. NYCE:Normalización y Certificación,颁发 NOM 认证的机构。
4. 「三角形内,圆圈内,勾」:Regulatory Compliance Mark,符合澳大利亚与新西兰标准。
5. VCCI:Voluntary Control Council for Interference,符合 VCCI 协会的要求,有达到防止无线电干扰的效果。
6. CE:Conformité Européenne,符合欧盟健康、安全和环保标准。
7. UKCA:UK Conformity Assessed,符合在英国境内销售的产品的适用要求。
8. EAC:Eurasian Conformity,符合欧亚关税同盟的标准。(俄罗斯、白俄罗斯、亚美尼亚、哈萨克斯坦)
9. 「禁止垃圾桶」:Waste Electrical and Electronic Equipment,这是「废弃电气和电子设备指令」的标志,意为制造商或分销商有责任处理废弃电子设备。
#清单 #原理 #环境保护
