运维
Iroh - 通过密钥拨号替代IP地址实现安全高效去中心化的设备直连
本文宣布Iroh 1.0正式发布,这是一个以“拨号键而非IP”为核心思想的网络库。它解决了IP地址不可靠、易受防火墙限制的问题,让设备通过用户控制的密钥(Key)实现安全、直接且稳定的连接。Iroh基于开放标准(如IETF草案),实现了QUIC多路径和NAT穿透,支持本地优先配置、WASM编译、自定义传输(如BLE、LoRa)。官方提供Python、Node.js、Kotlin、Swift等语言的FFI支持,并保证1.0版本的协议和API稳定。目前已有超过2亿个端点在公共中继上创建,广泛应用于视频流、AI训练、安全聊天等场景。同时公布了版本支持策略和中继服务结束日期,鼓励开发者现在开始构建。
number zero基于 WiFi 灯泡搭建本地离线图书阅览装置
Richard Osgood打造了名为Banned Book Library的改造项目,将搭载ESP32C3芯片的4MB闪存智能WiFi灯泡改造成隐蔽离线数字信息投放点,灯泡通电后开放无网WiFi热点并通过强制门户跳转自建网页,存放各类遭封禁书籍;作者因硬件限制无法加装SD卡,借助ESP-IDF修改闪存分区表扩容文件存储区,还定制安全启动固件解决WiFi明文存储的安全隐患,搭建带阅览页与密码管理后台的离线网站;受4MB容量限制单设备仅能存放少量书籍,作者认为这让每个投放点各具特色,后续还计划实现灯光精细调节、多灯泡Mesh组网共享藏书,项目完整源码.
Rick Osgood1万个GitHub仓库分发木马恶意软件
该文章详细描述了一位开发者发现GitHub上存在大规模木马分发活动。作者通过偶然发现自己的仓库被克隆并在README中被添加了恶意zip链接开始,进一步分析出这些恶意仓库具有共同模式:定期删除旧提交并推送新提交、只更新README文件、添加zip链接、且克隆自其他合法仓库而非fork。作者利用GitHub事件存档(gharchive)和API编写脚本,最终识别出约1万个符合模式、包含特洛伊木马的仓库。这些仓库存在数月甚至超过一年,GitHub不会自动检测删除,只有在被举报后才手动处理,导致该活动持续多年。文章还讨论了黑客可能的目的(绕过安全算法、传播病毒、提升可信度)以及GitHub的响应不足。
orchidfiles.com
夜雨聆风