最新

语音 AI 的韵律转换层 - 联系方式：miguelmeloconsulting@gmail.com

Marmot 迎来重要里程碑！我一直在独自（在 AI 的帮助下）推动这个项目，以真正完善这个系统。昨天，我达到了第一个里程碑，MySQL API 已经足够稳定，可以完美地安装和运行 WordPress。现在，这个系统可以让你启动一个集群，然后根据需要启动多个副本进行横向扩展。我希望构建一些真正具有挑战性的 AI 项目，这是一个漫长而艰辛的旅程，尝试了各种 AI 工具，并学到了很多东西。我稍后会发布一篇博文，但由于我拥有所有可以帮助你们启动集群和提供示例的脚本，我想先分享出来，这样你们就可以进行测试并帮助我改进它。 源代码可在以下位置获取：[https://github.com/maxpert/marmot/](https://github.com/maxpert/marmot/) 最有趣的部分是在集群中运行的 WordPress：[https://github.com/maxpert/marmot/tree/master/examples/wordpress-cluster](https://github.com/maxpert/marmot/tree/master/examples/wordpress-cluster) 每个 WordPress 实例都在与其自己的“MySQL”通信，但底层是通过 SQLite 数据库进行复制和存储的。

我开发了 dssrf，一个为 Node.js 应用构建的、安全可靠的 SSRF 防御库。 大多数现有的 SSRF 库依赖黑名单或正则表达式检查，这些都容易被绕过。dssrf 采用了不同的方法，基于规范化、DNS 解析、重定向验证和 IP 分类。 主要特性： - 兼容 RFC 的 URL 规范化 - DNS 解析 + IP 分类 - 重定向链验证 - IPv4/IPv6 安全性 - 重绑定检测 - 协议限制 - 包含 TypeScript 类型 其目标是消除整个类别的经典 SSRF 漏洞，并通过绕过而非修补单个 payload 来实现。 GitHub: https://github.com/HackingRepo/dssrf-js npm: https://www.npmjs.com/package/dssrf 欢迎社区提供反馈、边缘案例和贡献。

几周前，我在这里发布了我的一个副业项目（Spikelog，简单的指标追踪）。当时需要注册才能试用。<p>我不知道有多少人在注册这一步就放弃了，但我知道，当某些东西要求我提供电子邮件地址才能浏览时，我个人会直接关闭标签页。所以我最终添加了一个“无需注册即可试用”的流程。这是最初帖子中的一位评论者建议的：https://news.ycombinator.com/item?id=46085379<p>为了实现这个功能，当你点击“立即试用”时，我会创建一个访客用户，并给你一个“刷新”密钥。它会被保存在localStorage中。下次你访问时，我们会用一个新的JWT来替换它。如果你最终真正注册了，你的数据就会被转移过去。<p>我为访客和真实用户使用了不同的（与我的身份验证路由器分开的）JWT密钥对。这样做的目的是，如果有人入侵了后端，他们只能伪造访客令牌，而不能伪造真实用户的令牌。密钥经过哈希处理，访客创建受到速率限制（5个/小时/IP）。只有真实账户才能调用合并端点，这样访客就无法窃取彼此的数据。<p>这也有一些缺点。如果你清除了localStorage，你将失去访问权限。它只能在一台设备上使用。而且我最终需要一个清理任务来处理数据库中那些被遗弃的访客账户。<p>我对其他人处理这个问题的方法很感兴趣。我想做一些能反映我真实身份验证流程的东西，在那里一切都从一个有效的刷新令牌开始（真实的流程使用cookie）。<p>https://spikelog.com 如果你想试试。欢迎尝试破坏它，如果你做到了，或者我如何加强我的安全性，请告诉我。