devliu1

devliu1

V2EX 第 236784 号会员,加入于 2017-06-22 23:20:53 +08:00
根据 devliu1 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
devliu1 最近回复了
参加互联网+的学生团队即视感...不作评价
可以用 Seafile
“脑洞发明”哈哈哈,可以考虑一下 tensorflow.js
116 天前
回复了 devliu1 创建的主题 Docker Docker 可以对容器进行网络访问控制吗?
@sanxianA 可以对某容器进行控制吗?我目前的方案是用 ipvlan 接入一个内网虚拟网络,或者设置 internal 。


ipvlan 的方式做不到容器粒度,internal 不能内网互通
120 天前
回复了 SingeeKing 创建的主题 分享发现 WeChat(国际版)支持人脸识别了
@MrCurly 有一段时间没有 CallKit ,现在依然有,一直是国内手机号。
借用一下 @momocraft 的回复

> 公开就能被利用的安全漏洞需要保密
> 公开了旁人也无法利用的漏洞也要这样吗?

Sorry ,标题可能有些误导嫌疑,几位说的没有错,但是可能也没完整看完帖子之前讨论的内容 @lance6716 @zouzou0208 @SuperMaxine @hccsoul @wph95

我还是重新说明一下为什么直接发 issue 而不是发邮件联系:

**这里的漏洞不是能被旁人利用的漏洞,而是怀疑有后门**,公开这个漏洞对于公众利大于弊。

我一时间没有找到绕过的方法,想通过 issue 区让更多的使用者来验证是否有安全问题,之前也提到过发贴是因我认为作者**回复没有问题并删 issue**的行为很不合适。

从技术角度,即使已经加了过滤, `source` 仍然是不妥的行为。
@hxse 这个仓库应该国人用的多,也就 v2 发发牢骚了。
@kaedea 搞不好还是登子的阴谋
天呐 我之前也做了个,只是没有 UX 。

@xstmjh123
@leaves615
@2i2Re2PLMaDnghL @liuxu 感谢两位提供的思路和 poc ,我也忽略了 grep -q ,这也是我为什么提出,有“潜在”的安全风险。
@skiy 我宁愿相信作者的本意是统计用途,我也只是指出可能存在的问题,被删除实在难免有此地无银的嫌疑。

所以我选择发帖提醒,并且选择不使用该作者的代码。

再次感谢大家
@liuxu 确实要看利用条件,我也说明了 `我怀疑这段代码可以绕过` ,我目前还没想道利用的方式,但是直觉感觉可以绕,况且,要是记录版本没必要用 source 的方式,完全可以记录一个 text 。

发 issue 的目的是想留在 issue 区给大家提醒,并审计一下
而发贴是吐槽一下作者直接删 issue 的行为
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4271 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 9ms · UTC 02:31 · PVG 10:31 · LAX 19:31 · JFK 22:31
Developed with CodeLauncher
♥ Do have faith in what you're doing.