1 分•作者: EvgeniyZh•16 天前
返回首页
最新
3 分•作者: ledoge•16 天前
1 分•作者: Bender•16 天前
2 分•作者: PaulHoule•16 天前
35 分•作者: abelanger•16 天前
4 分•作者: maxpert•16 天前
Marmot 迎来重要里程碑!我一直在独自(在 AI 的帮助下)推动这个项目,以真正完善这个系统。昨天,我达到了第一个里程碑,MySQL API 已经足够稳定,可以完美地安装和运行 WordPress。现在,这个系统可以让你启动一个集群,然后根据需要启动多个副本进行横向扩展。我希望构建一些真正具有挑战性的 AI 项目,这是一个漫长而艰辛的旅程,尝试了各种 AI 工具,并学到了很多东西。我稍后会发布一篇博文,但由于我拥有所有可以帮助你们启动集群和提供示例的脚本,我想先分享出来,这样你们就可以进行测试并帮助我改进它。
源代码可在以下位置获取:[https://github.com/maxpert/marmot/](https://github.com/maxpert/marmot/)
最有趣的部分是在集群中运行的 WordPress:[https://github.com/maxpert/marmot/tree/master/examples/wordpress-cluster](https://github.com/maxpert/marmot/tree/master/examples/wordpress-cluster)
每个 WordPress 实例都在与其自己的“MySQL”通信,但底层是通过 SQLite 数据库进行复制和存储的。
31 分•作者: speckx•16 天前
2 分•作者: relunsec•16 天前
我开发了 dssrf,一个为 Node.js 应用构建的、安全可靠的 SSRF 防御库。
大多数现有的 SSRF 库依赖黑名单或正则表达式检查,这些都容易被绕过。dssrf 采用了不同的方法,基于规范化、DNS 解析、重定向验证和 IP 分类。
主要特性:
- 兼容 RFC 的 URL 规范化
- DNS 解析 + IP 分类
- 重定向链验证
- IPv4/IPv6 安全性
- 重绑定检测
- 协议限制
- 包含 TypeScript 类型
其目标是消除整个类别的经典 SSRF 漏洞,并通过绕过而非修补单个 payload 来实现。
GitHub: https://github.com/HackingRepo/dssrf-js
npm: https://www.npmjs.com/package/dssrf
欢迎社区提供反馈、边缘案例和贡献。
1 分•作者: frozenseven•16 天前
1 分•作者: dsmurrell•16 天前
几周前,我在这里发布了我的一个副业项目(Spikelog,简单的指标追踪)。当时需要注册才能试用。<p>我不知道有多少人在注册这一步就放弃了,但我知道,当某些东西要求我提供电子邮件地址才能浏览时,我个人会直接关闭标签页。所以我最终添加了一个“无需注册即可试用”的流程。这是最初帖子中的一位评论者建议的:https://news.ycombinator.com/item?id=46085379<p>为了实现这个功能,当你点击“立即试用”时,我会创建一个访客用户,并给你一个“刷新”密钥。它会被保存在localStorage中。下次你访问时,我们会用一个新的JWT来替换它。如果你最终真正注册了,你的数据就会被转移过去。<p>我为访客和真实用户使用了不同的(与我的身份验证路由器分开的)JWT密钥对。这样做的目的是,如果有人入侵了后端,他们只能伪造访客令牌,而不能伪造真实用户的令牌。密钥经过哈希处理,访客创建受到速率限制(5个/小时/IP)。只有真实账户才能调用合并端点,这样访客就无法窃取彼此的数据。<p>这也有一些缺点。如果你清除了localStorage,你将失去访问权限。它只能在一台设备上使用。而且我最终需要一个清理任务来处理数据库中那些被遗弃的访客账户。<p>我对其他人处理这个问题的方法很感兴趣。我想做一些能反映我真实身份验证流程的东西,在那里一切都从一个有效的刷新令牌开始(真实的流程使用cookie)。<p>https://spikelog.com 如果你想试试。欢迎尝试破坏它,如果你做到了,或者我如何加强我的安全性,请告诉我。
1 分•作者: birdculture•16 天前
1 分•作者: flakm•16 天前
1 分•作者: mattyboomboom•16 天前
2 分•作者: hannob•16 天前
2 分•作者: ryangibb•16 天前
1 分•作者: speckx•16 天前
1 分•作者: PaulHoule•16 天前
1 分•作者: auv1107•16 天前
8 分•作者: Boulderchaim•16 天前
大家好,
我正在经历 Stripe 的一次“震荡”,感觉有必要提醒其他人注意一下。
我们租赁车辆,并在 2017 年开始使用 Stripe。我们处理的交易量巨大,到目前为止在 Stripe 上花费了超过 10 亿美元。
我们喜欢 Stripe,喜欢他们的工具、软件等等。但最近,他们更像黑帮老大,而不是供应商,因为他们知道他们的客户已经被深度锁定。
随着时间的推移,我们的合作协议演变成了多年最低年度费用承诺,并享受“企业”定价。每次续约时,模式都是这样的:
Stripe 提高最低年度费用。
如果我们自然无法达到最低消费额,他们就希望我们通过购买附加产品和“锦上添花”的功能来弥补差额,以满足承诺。
我们被警告说,如果我们找不到达到最低消费额的方法,他们可以直接从我们的收入中扣除全额。
在选择 Stripe 之前,我想到的几点建议:
1. 让你的集成具有可移植性。不要使用供应商提供的表单/卡片逻辑。
2. 使用一个可以轻松切换卡片提供商的发票平台。
3. 对每年小幅度的最低消费额提出异议,因为他们下次只会提高它,而不是专注于让你赚更多的钱,Stripe 专注于自身利益。
致所有在 Stripe 工作的人,你们打造了一个很棒的产品,只是希望你们能够保持让你们走到今天的文化。
祝好运
4 分•作者: voxadam•16 天前