⚠️大家好,我做了一个简单的长毛象身份替换漏洞测试工具👇 :
请在您的实例搜索框内粘贴 https://mastodonatkpoc.bsql.me/post.jsonld (如果链接显示不全则右键复制链接) 然后回车,如果出现如图所示的信息,那么您的实例已不再安全。这条信息会污染一个空白用户 https://c7.io/@hello 在您的实例的时间轴。
安全的实例会提示没有搜索到任何内容。
虽然说这需要您手动搜索一下这个奇怪链接,但是任何一个用户只要操作一次就会永久污染整个实例。而且这个测试只是使用了这个漏洞最初级的形式,也就是伪造跨站嘟文。更高级的用法包括不限于:更改跨站用户的简介、更改跨站用户的密钥,后者可以使用户真身的消息再也无法被发过来,并且攻击者可以自由注入嘟文而不需要再利用搜索框了。
目前这个漏洞的使用方式已于2月15日全网公开,所以如果您的实例仍然有此漏洞,很有可能已经被假数据污染了。这种时候即便是站长也没有什么办法可以补救,只有更换一个实例了。
我虽然多次提及本漏洞的严重性,甚至私信很多站长提醒,但是仍然有很多实例没有修复这个bug。我希望这个测试能够更有效的展示漏洞的致命性,希望大家重视和传播这个信息。
漏洞详情和已知不安全大站:https://c7.io/@snullp/111927754458108930
ps. 我对某些站长很失望。魔改了长毛象之后公布了程序使得很多别的站点也在使用。但对于这样的安全漏洞这么久过去了仍不修复,这导致别的使用了同样程序的实例一起遭殃。俗话说能力越大责任越大,获得了技术力强的声誉就不能这样忽视用户(包括站点用户和采用程序的站长)对你的信任。
https://www.theguardian.com/books/2024/feb/15/authors-excluded-from-hugo-awards-over-china-concerns
雨果奖的后续报道:泄露的电子邮件显示,组织者为了迎合中国审查标记了具有“敏感政治性质”的作品。
感觉沾上红钱就不要谈任何公正了。
对抗焦虑症躯体化的小tip:
善用各种“提神”精油。核心概念是闻了之后让自己“重回人间”,grouding的作用。之前看一个therapist的影片,她建议还可以用味觉来“还魂”——比如含很酸的柠檬糖。或者去抓一块冰。相当于用新的刺激来覆盖掉“发作”时的那些不真实感。给身体一个信号,hey, you, I am here.it's ok.
这些小瓶子散落在我生活里的各个角落。出门散步兜里肯定装着,随身包里肯定备着,书桌上肯定有它,床头也要有。实例:有一次出门散步戴着耳机,听入神了,突然在很窄的人行道上被一个jogger“超车”,我直接被吓到大叫【🧎🏻 呼吸开始急促,心跳血压噌噌上窜,我扶着树,翻出携带的鼻通,猛吸【?两三下,调整呼吸,recenter一下感官。终于平静下来,可以继续走回家。
以前也试过装着一块水晶或者刮痧板之类的东西,拿出来抓着,冰冰凉的。也有点用。但还是嗅觉对我的作用更大。
《南開大學講師因支持「白紙運動」學生,遭校方強送精神病院》
https://www.rfa.org/cantonese/news/cn-teacher-1214-22-12142022094326.html
天吶我才知道這件事!
南開大學哲學院研究儒家思想的學者吳亞楠。看學校網站介紹,她主要介紹朱子和張南軒。
还没看贾玲的电影但想起一些事情。
我本科实习的时候在一家以影视广告为主的小公司。拍摄现场有条规定,女性不可以坐器材箱,只能坐苹果箱。因为女性阴气重不干净,让女性坐器材箱不吉利,有些老一辈的影视广告人甚至不允许女性触摸摄影器材。如果有女孩累了在器材箱上坐一会儿,是要被导演摄像道具等一堆人指责并赶走的,这堆人当然90%都是男性。
我当时很抗拒去坐苹果箱,于是在拍摄现场基本是站着,从早上七点站到晚上十二点,站累了就蹲一会儿。
我那时的老板是五十多岁的男导演,擅长拍烟酒广告,钟爱「一品黄山天高云淡」和「迎宾酒迎天下」。
老板带过一个挺得意的徒弟,女孩子,我叫她小凡姐。当时小凡姐三十出头,经常被老板叫来帮忙当副导或执行导演,老板身体状况不好的时候就直接由小凡姐担任总导演。
小凡姐坐导演椅看监视器,坐器材箱跟演员讲戏,剧组的男人们叫她「凡导」,没人会让她去坐苹果箱。
能在实习期认识小凡姐对我来说是一件很幸运的事。见过了坐器材箱和导演椅的小凡姐,我就更抗拒坐苹果箱了。
后来我和不同的执行组又拍过几条片子,从别人嘴里的「那个小妹」到「XX老师」,开拍后拿上对讲机直奔大监,没人管我坐的是哪把椅子哪个箱子。
我合作过女导演女摄像女制片,也没人管她们坐的是哪把椅子哪个箱子。
所以特别喜欢女人拍电影。
以前学语言学理论有个概念说,人其实是边说边想的,“说”完成了“想(thought)”,组织语言的过程就像编织想法的毛衣,表达是这细细密密针脚的一部分。
所以人不是先有了完整的想法才表达,而是表达本身帮助大脑(到这个阶段才真正)完成了这个想法。
用更好理解的slash类比可能就像你有了个模模糊糊的同人点子💡,但实际上你把它吃力地写出来以后它才算真正出现,通常我们会发现它和你那时候的感觉有点相似又不一样。因为“写它”才使得这个点子“出现了”。
我今天突然觉得这个和佛教的“显化”有点像,当还很模糊的悲伤出现,我不再去看它,不去观摩它的形状,不再那么用力地“格”它,它就停在那个状态,不会完成了。
说不定是人的注视孕育了悲伤。
听起来像那种被光一照就会蠕动的恐怖游戏npc,寂静岭护士。
但没有那么吓人,有时候也静静地看它,让它生长,像在养一株小盆栽的植物一样。在它长成角落里盘根纠结会缠死自己的蔓藤之前,转开视线就好了吧
分享一个视频:
有人用11500件儿童的衣服相互连接,沿着海滩一路铺过去,铺了5千米,这就是加沙冲突以来所有逝世的儿童,如果尸体都摆在一起会有的长度。
再有什么理由,也不值得付出那么多年幼的生命的…
我走向你像走向一条河流