1 分•作者: todsacerdoti•6 个月前
返回首页
最新
3 分•作者: sandhyavinjam•6 个月前
TL;DR:许多安全机制并非在遭受攻击时失效,而是在部分故障期间失效。本文档记录了为分布式系统设计的故障感知安全框架的早期设计笔记。
问题所在
在生产环境中的分布式系统中,安全问题常常发生在系统半正常工作时:
身份验证服务降级 → 重试次数激增
备用路径扩大了访问权限
恢复逻辑成为攻击面
虽然没有被“利用”,但系统变得不安全。
大多数安全模型都假定组件稳定且故障是干净的。
而真实系统并非如此。
设计假设
我们假设:
故障是相关的
重试是具有对抗性的
超时是不安全默认设置
恢复路径与稳定状态逻辑同等重要
我们不假设:
全局一致性
完美的身份验证
可靠的时钟
集中式强制执行
框架理念(高层次)
这项工作探索了四个想法:
1. 故障感知信任
信任在故障期间会降低,而不仅仅是在被攻破时
部分中断期间,访问权限会自动收紧
2. 运行时安全不变性
持续强制执行不变性
违规行为会触发遏制措施,而不是警报
3. 重试安全的原语
幂等、单调、有界副作用
重试不能提升权限
4. 将安全视为可观察状态
信任级别、降级和遏制是可见的
如果无法观察,就无法保护
这不是什么
不是零信任营销
不是合规性
不是一个完成的系统
这是一种将故障视为常态,而非例外的尝试。
为什么尽早发布?
因为许多真实的故障:
不适合干净的研究论文
发生在事件期间,而不是攻击期间
在生产系统之外是不可见的
我们分享设计笔记是为了在进一步形式化或评估之前获得反馈。
欢迎反馈
如果您在中断期间看到安全回归,或者重试导致不安全行为,我很乐意听取您的意见。
这是一项正在进行的工作。不声称具有新颖性或完整性。
12 分•作者: xpe•6 个月前
1 分•作者: doener•6 个月前
2 分•作者: ChadNauseam•6 个月前
2 分•作者: jamesgill•6 个月前
2 分•作者: nateb2022•6 个月前
3 分•作者: nomilk•6 个月前
2 分•作者: ilamont•6 个月前
2 分•作者: doener•6 个月前
1 分•作者: j_mao•6 个月前
您好,
我们正在构建FountainData,旨在解答大多数团队仍在猜测的一个问题:哪些用户问题、竞争对手的举措或GTM信号会真正影响收入?
FountainData会摄取用户和竞争对手的对话(评论、支持工单、Slack对话、论坛、社交媒体、GTM活动),并将其转化为针对产品和增长团队的、经过排序的、可操作的情报。
与众不同之处:
1. 产品情报
我们将原始反馈聚类成具体的、问题陈述,按影响程度进行排序,并生成工程就绪的工单,而不是情绪图表。
2. 财务情报
问题会根据预估的收入风险或机会进行评分,因此优先级排序就变成了一个经济决策,而不是受欢迎程度的竞赛。
3. GTM情报(最近新增)
我们追踪竞争对手的发布、活动、事件和市场动态,然后提供战略性的要点和团队可以采取的建议。
4. 智能助手,而非仪表盘
我们正在添加产品和财务智能助手,可以回答诸如以下问题:
“目前什么正在损害用户留存率?”
“我们应该攻击竞争对手的哪些弱点?”
“我们接下来应该发布什么来推动收入增长?”
从技术上讲,它是一个异步摄取和处理系统(服务器、工作者、嵌入、LLM管道),旨在保持原始数据的可审计性,并使工程、产品和领导层能够使用输出结果。
我们还处于早期阶段,但已经看到团队用这个系统取代了手动VOC审查和临时竞争研究。
非常欢迎构建过产品、领导过产品、运营过GTM或投资于开发工具/B2B SaaS的人提供反馈。
[https://fountaindata.com/demo](https://fountaindata.com/demo)
3 分•作者: doener•6 个月前
2 分•作者: buggery•6 个月前
3 分•作者: ccheshirecat•6 个月前
大家好,新年快乐!
基本上,上面的链接是 chromiumoxide crate 的一个分支,但它参考 rebrowser 实现了隐身补丁。它屏蔽了 runtime.enable 和常见的自动化标志,通过配置文件强制执行一些硬件一致性,并具有一些便利功能。虽然还处于早期阶段,但初步来看,它可以通过大多数常见的检测测试。
我更喜欢用编译型语言编写应用程序,但最近越来越需要进行浏览器自动化,并且一直觉得 Rust 在这方面的选择不如 Node/Python 那么丰富,所以这是我尝试为它注入一些活力的尝试,至少是为了解决我的需求,但我希望其他人也能觉得它有用!
我需要一个用 Rust 编写的隐身浏览器,因为我的需求主要集中在验证码求解上,所以这里也有一个 turnstile 求解器。是的,我知道有很多这样的求解器,但用 Rust 编写可以让我更好地将其集成到我的应用程序中,并避免使用那么多外部服务的麻烦。
而且,我的用例不仅需要 Cloudflare,还需要 Geetest,所以我还把 xkiann 的 Python 求解器移植到了 Rust,并进行了一些修改,使其能够自动解混淆,并增加了对多轮验证和需要 user_info 参数的网站的支持。
这两个求解器都有 C FFI 绑定,可以与其他语言集成!
[https://github.com/ccheshirecat/chaser-oxide](https://github.com/ccheshirecat/chaser-oxide) - chromiumoxide 隐身分支
[https://github.com/ccheshirecat/chaser-cf](https://github.com/ccheshirecat/chaser-cf) - cloudflare 求解器
[https://github.com/ccheshirecat/chaser-gt](https://github.com/ccheshirecat/chaser-gt) - geetest 求解器
更多详情请参阅 GitHub 仓库,我要睡着了,所以晚安 HN,再次祝大家新年快乐,爱你们!
1 分•作者: mortsnort•6 个月前
Hi HN,
你是否也像我一样,每天接收大量信息,却希望能够记住更多内容?我也是。假期期间,我开发了 MasterFlasher,一个 Android 应用,可以将内容转化为 AnkiDroid 闪卡,而且不会打断你的阅读。
核心想法是:当你突然想到“我应该记住这个”的时候,很少会想停下来制作闪卡。MasterFlasher 让你能够从任何应用中静默分享内容到收件箱,然后稍后批量处理成卡片。
工作原理:
从任何应用分享 → 内容静默保存到本地收件箱(无界面中断)
URL:应用内浏览器通过 Readability.js 提取文章文本
PDF:根据需要通过 pdf.js 提取文本
闪卡生成使用多步骤 Gemini 流程:事实提取 → 评分 → 卡片生成
复习/编辑卡片,然后直接推送到 AnkiDroid
设计选择:
Capacitor + Ionic + React,使用 Java 插件实现应用内浏览器和 Room 存储
自带密钥:你提供自己的 Gemini API 密钥(无服务器或代理)
API 密钥使用 Android KeyStore 存储在设备上
提示语可由用户编辑,如果你想调整输出
除了 Gemini 调用,所有操作都在本地进行
背景介绍:我不是软件工程师。这是一个解决我自身问题的业余项目。后来我了解到,使用 LLM 生成闪卡并非原创想法,但我想要一个符合我工作流程的应用:离线、静默分享、稍后处理、直接推送到 AnkiDroid。而且,构建它本身也很有趣。
免费开源。APK 和源代码在 GitHub 上:
[https://github.com/mortsnort/MasterFlasher](https://github.com/mortsnort/MasterFlasher)
我没有计划通过它盈利或进一步开发,但欢迎大家提出建议,让它对我的闪卡学习更有用。感谢您的关注!
1 分•作者: barishnamazov•6 个月前
1 分•作者: albert_roca•6 个月前
问题
计算仅使用以下输入和离散几何密钥,推导出 7 个基本物理常数,且精度小于 10ppm 的综合概率。
约束:不允许使用零个连续可调参数(所有系数必须是整数或固定的几何根)。
1. 定义
```
[A] 输入 (CODATA 2022)
alpha = 7.2973525643e-3 // 精细结构常数
c = 299792458 // 光速
hbar = 1.054571817e-34 // 约化普朗克常数
mp = 1.67262192369e-27 // 质子质量
[B] 离散密钥 (固定几何/拓扑)
k_vol = 2 // 体积尺度 (3D)
k_dyn = sqrt(5) // 动态尺度 (sqrt(2D-1))
k_bit = 64 // 二进制视界种子
k_tet = 4 // 四面体顶点
k_cub = 8 // 立方体顶点
k_ico = 12 // 二十面体顶点
k_fac = 20 // 二十面体面
k_spi = 24 // 旋量环因子
[C] 全局导出尺度 (从输入 + 密钥计算一次)
H_g = 2^(2*k_bit) // 引力视界 (2^128)
H_m = 2^k_bit // 度量视界 (2^64)
Lu = (hbar/(mp*c)) * H_m * sqrt(2) / (1 + alpha/3) // 基本晶格单元
```
2. 推导
```
[A] 引力常数 (G)
公式:G = (hbar * c * k_vol * (1 + alpha/3)^2) / (mp^2 * H_g)
> 结果:6.6742439e-11
> CODATA:6.67430(15)e-11
> 误差:8 ppm
[B] 电子质量 (me)
// 由 Lu 定义的二十面体壳的全息逆
公式:me = (2 * alpha * hbar) / (c * (Lu * pi^2 * (1 + alpha - alpha/k_spi) * sin(72)))
> 结果:9.1093836e-31 kg
> CODATA:9.1093837e-31 kg
> 误差:0.01 ppm
[C] 精细结构常数 (alpha) - 几何校验
公式:1/x = (k_tet*pi^3 + pi^2 + pi) - (alpha/k_spi)
> 结果:137.0359996
> CODATA:137.0359990
> 误差:0.005 ppm
[D] 质子半径 (rp)
公式:rp = k_tet * (hbar/(mp*c)) * (1 - (alpha / (k_tet * pi)))
> 结果:8.40747e-16 m
> CODATA:8.40750(64)e-16 m
> 误差:3 ppm
[E] 缪子反常磁矩 (a_mu)
公式:a_mu = (alpha/2pi) + (alpha^2/k_ico) + (alpha^3/k_dyn^2)
> 结果:0.00116592506
> CODATA:0.00116592059
> 误差:4 ppm
[F] 质子磁矩 (mu_p)
公式:mu_p = (k_dyn^3 / k_vol) - (alpha / ((1+k_dyn)/2))
> 结果:5.5856599
> CODATA:5.5856947
> 误差:6 ppm
[G] 中子-质子质量差 (dm)
// 压缩:二十面体面 (20) 到立方体顶点 (8)
公式:dm = me * ((k_fac/k_cub) + k_tet*alpha + alpha/k_tet)
> 结果:1.293345 MeV
> CODATA:1.293332 MeV
> 误差:10 ppm
```
3. 问题
鉴于零个可调参数的约束,通过随机机会推导出这 7 个物理常数,且精度小于 10ppm 的综合 p 值是多少?
来源:https://doi.org/10.5281/zenodo.17847770
1 分•作者: Apfelfrosch•6 个月前
Duck (<a href="https://duck-lang.dev" rel="nofollow">https://duck-lang.dev</a>) 是一种静态类型、编译型编程语言,它结合了 Rust、TypeScript 和 Go 的优点,旨在为全栈开发提供一种替代方案,并尽可能保持熟悉度。
相对于 Rust 的改进:
- 垃圾回收简化了网络应用程序的开发
- 无需生命周期管理
- 内置并发运行时和用于 Web 开发的 API
相对于 bun/node/typescript 的改进:
- 由于 Go 对并行执行和原生代码生成的支持,带来了巨大的性能提升
- 更容易部署,因为 Duck 编译成静态链接的原生可执行文件,不需要依赖项
- 降低了复杂性和成本,因为单个 Duck 部署的扩展能力远超任何 JavaScript 运行环境
- 使用 duckup(编译器版本管理器)和 dargo(构建工具)简化了工具链管理
相对于 Go 的改进:
- 更具表现力的类型系统,支持联合类型、鸭子类型以及对可变性的更严格控制
- 使用类似 JSX 的语法进行服务器端渲染,以及用于前端开发的 preact 组件
- 基于联合类型的更好错误处理
- 基于 Rust 的 Tailwind 重实现,与语言直接集成(但可选使用)
- 类型安全的 JSON API
1 分•作者: a1371•6 个月前
大约一年前,一个科幻小说的构思突然出现在我的脑海里。尽管没有任何写作经验(而且工作也很忙),但我立刻就决定要把它写出来。在整个2025年,我参加了写作小组,提高了写作水平,并构建了故事的结构。这是第一章。希望你们喜欢 :)
1 分•作者: zerocool86•6 个月前