ZeroNet Blogs

Static ZeroNet blogs mirror


- Posted in 真姬的博客 by with comments

QQ__20170325180256.jpg (0x0)

Bland Blog Update

- Posted in Kaffie's Blog by with comments

tsuruya_rawr.jpg (484x627)

I'm trying something new today. Since the tags weren't really working out for me, and I've been kinda eager to update the blog with the newest ZeroBlog code, I went ahead and gave it a shot. Hopefully everything should be updated properly, but there still might be some things I missed. Let me know if there's any issues. The real reason was I wanted to try the fancy image uploader :3. Maybe my blog here will get a bit more colorful.

I apologize for the lack of updates on pretty much everything. I've been lazy af, and mostly just chatting with people. My latest interest has been in ZeroNet Central which is pretty cool. I think something like that if it used the merger site feature could be a killer app for ZeroNet. Along with that I've been thinking of logins and bans. For logins, I'm still wondering if there's a way to accept all services easily, rather than just having a list. For bans, I'm wondering if there's an easy way to share ban-lists. I think I'll start uploading mine on nullpaste. Here is my mutes.json which has 2 users on it so far. And here is my permissions list for my banlist, this goes in /data/users/content.json. The users in the banlist are mostly spammers, and other undesirables. People in the mutelist are legit users who are simply awful and that I do not wish to listen to.

The banlist goes for both this blog and kaffiehub. Along with any future sites I publish that have user interaction.

That's all for now, thanks for reading! <3 Kaffie

Favorite Comments of the Day

- Posted in ZeroBlog Lab by with comments

Border0464fred · border0464fred@zeroid.bit ― 4 hours ago @nofish damn you scared the shit out of us, don't ever leave the internet again :p


- Posted in DIY@Balancer by with comments

«У нас было 2 мешка травы, 75 таблеток мескалина...» 

Помню, у меня был один транс на 6В 2А. Нужно было сделать для Радио 86РК б/п с 5В 2А и по мелочи +12В и -5В :) Ни о каких импульсинках тогда я и не слышал. И, таки, сделал :D Прямо с обмотки КРЕН5А на +5В. С удвоением на кондесаторах — на +12В. С них же гальванической развязкой конденсаторами ещё и на -5В. Работало, блин! Позже как-то в студенческие годы пытался повторить — конденсаторы взорвались нафиг! Хотя запас был большой. Больше не повторял, потому что появились доступные импульсные БП :)

Tips to check if a zite links to clearnet:

  1. Right click the page and select inspect Element, then under inspector, search page content with http. These are almost some static links, if you don't click them, they shouldn't cause problem, except that they are used in the javascripts. But my knowledge is limited, there may be some types of link that I miss.
  2. Also with inspect Element tools, choose Debugger, click every js file and search page content with #http. Javascripts can contain lots of traps to security and privacy, besides malware, it can use to record every interaction you do with the browser, including scrolling, clicking, typing, etc. I don't have enough study to give cases and details, but I recommend two add-ons: Noscript and Librejs. Unfortunately we need to allow the whole domain to make ZeroNet work, and when using Librejs, one script (pasted below) can't mark as whitelist and zites are totally unfunctional, but you can still add the domain to whitelist and learn what kinds of javascript it is blocking.

  3. Do it again under Stylesheet Editor tag. Stylesheet sometimes uses outside sources like images, loading buffers. These are quite harmless, but still can use to track your Internet activities (when do you surf the website).

Anything lacking? (hmm, like maybe someone also links its zite to ftp server )

And a perfect workaround: use Tor browser but disable Torbutton and TorLauncher add-on, then your browser will never connect to clearnet X)

PS: But still... Website owner can use javascript to send your activities to clearnet website.

Also, everytime starting Icecat (another Firefox fork) it will connect to, I guess Torbrowser is same, if you care, maybe you can install foxyproxy addon and setup a fake proxy for it.

PS2: Relative Info & link

# Script that can't mark as whitelist

NONTRIVIAL: innerHTML identifier

document.getElementById("inner-iframe").src = "about:blank"
document.getElementById("inner-iframe").src = "\/1EiMAqhd6sMjPG2tznkkGXxhdwFBDdeqT9\/\?wrapper_nonce\=4c208d3bd54159651e6e38f1f0fe7fbb128e4d81a39551d4319a826dadc66dd3"
address = "1EiMAqhd6sMjPG2tznkkGXxhdwFBDdeqT9"
wrapper_nonce = "4c208d3bd54159651e6e38f1f0fe7fbb128e4d81a39551d4319a826dadc66dd3"
wrapper_key = "ae3b0071b41099815adf03de668d274981f59c9d45d2abdca38b8126916e0f75"
postmessage_nonce_security = true
file_inner_path = "index.html"
permissions = []
show_loadingscreen = false
server_url = ''

if (typeof WebSocket === "undefined")
document.body.innerHTML += "

<div class="unsupported">Your browser is not supported please use [Chrome or Firefox](</div>


Maybe for a concept like: "the more you can do things offline, the more you can protect your privacy." If sth I can do offline, I won't do it online. Also in this manner I appreciate ZeroNet a lot :)

Once online someone said that it's impossible to use local image file for creating userstyle, and it's not secure to do that. I prefer to use image hosted from my own server, but ZeroNet provides a solution for me, as I did it to Zeronet Central for my dark theme .votes .vote-arrow { background: url(;}

So I can just create a local zite and use the images hosted locally for my userstyles \o/ though I still wonder if it's secure to do such thing.

Bonus: Kiwix (Offline Wikipedia reader, Wiktionary, Wikivoyage, book library, etc) -

Вконтакте в очередной раз решил порадовать всех своих пользователей, приоткрыв завесу секретности: каждый из пользователей получил возможность увидеть вк глазами админов. Баг пофиксили в течение достаточно быстрого времени, но у многих остались вопросы. Особенно по поводу возможности посмотреть скрытые фото пользователей.

Какой-то хороший человек успел записать видео с возможностями, которые есть у модераторов (система не давала читать сообщения или просматривать скрытые фото из-за ошибки доступа, но у реальных модераторов такой доступ, судя по всему есть).

Подробнее под катом

Не уверен связана ли обновленная авка на странице Павла Дурова с этими событиями, скорее всего Паша решил протроллить своих приемликов, которые как всегда налажали:

Примерно в это же время появилась запись от официального сообщества Команды Вконтакте:

Из того, что известно наверняка:

Расширенный доступ к профилю пользователя:

Возможности наказания непослушных сообществ:

Бан по шаблону:

Доступ к багрепортам:

Некоторые пользователи утверждают, что существует возможность посмотреть историю запросов каждого пользователя (достоверность скрина не подтверждена):

Также видел скрины, показывающие механизм распознования порнокартинок на аватарках, но не успел сохранить, а администрация сообщества почему-то его удалила. Настоящий он или нет — подтвердить не могу.

В любом случае, ближайшие пару дней мы увидим еще не одну байку о том, что же видят на самом деле представители админстрации вконтакте. Но интереснее всего то, кто все-таки имеет доступ к приватным фотографиям пользователей, и действительно ли доступны видны запросы, которые вы отправляете в ВК, любому зеваке, попавшему в команду модераторов ВК?

Стоит отметить, что ВК любит радовать своих пользователей. Я уже несколько раз описывал некоторые уязвимости в Вконтакте, которые помогают настраивать мне более эффективную рекламу здесь и здесь. А мой коллега, даже решил выложить подробное руководство о том, как получать бесплатные клики из ВК . Совсем недавно администрация ВК забыла продлить домен, хранящий большинство фотографий пользователей, в связи с чем эти самые фотографии оказались недоступными на несколько дней, в то время как администрация судорожно переподключало новый домен. Или вот однажды Вк добавили на счет каждому пользователю рекламного кабинета сумму, равную его затратам за всю историю работы с ВК.

Но такого веселого и масштабного факапа я еще не видел.

UPDATE! Если отправить в личные сообщения скрин с некоторыми фото этого факапа — картинка удалится в течение нескольких секунд. Пруф:


Хакерская группа CC Buddies начала продажи устройства, позволяющего на расстоянии 15 см моментально «клонировать» кредитные карты, оснащенные RFID-чипами. Устройство легко спрятать под одеждой и очень трудно обнаружить. Свое изделие злоумышленники продают в открытую: сайт доступен всем желающим. Ранее для подобных «сервисов» использовался даркнет.

Большой апгрейд

Группа хакеров под названием CC Buddies начала открытую продажу вредоносного устройства для бесконтактного считывания и клонирования кредитных карт, оборудованных RFID-чипами. Новое устройство способно копировать 21 кредитную карту в секунду.

В 2016 г. те же злоумышленники продавали похожее устройство, но с более скромными характеристиками: их Infusion X5 позволял клонировать до 15 карт в секунду. Для успешного клонирования необходимо было, чтобы устройство располагалось очень близко от карты - не более 8 см. Новый вариант, получивший название X6, работает с расстояния 15 см.

Близкий недружественный контакт

Для считывания карт требуется тесный контакт с потенциальной жертвой; однако в общественном транспорте в час пик, когда люди вынужденно прижимаются друг к другу, у злоумышленников, вооруженных подобными устройствами, появляется шанс на богатый улов. Шанс этот уже был неплох, когда устройства работали с расстояния 8 см, и тем более хорош он оказывается, когда рабочее расстояние возрастает вдвое.

Само устройство невелико и снабжено крепежом на руку, так что его без труда можно спрятать под длинным рукавом. Это делает его вдвойне опасным: вероятность его обнаружения стремится к нулю.

Но даже при поимке злоумышленника, доказать факт преступления будет непросто, поскольку X6 оборудовано средствами шифрования хранящихся данных.

Недешевая «игрушка»

Собранные данные карт хранятся прямо в памяти устройства, на компьютер их можно передать с помощью USB-кабеля.

Данные клонированных карт - ходовой товар на киберкриминальном рынке. С их помощью преступники делают фальшивые дебетовые карты, чем активно занимаются и сами CC Buddies.

X6 предлагается за 1,5 биткоина, что примерно соответствует $1700 на нынешний момент. За дополнительные карты предлагается заплатить еще 0,1 биткоина.

Интересно, что CC Buddies развернули сайт для своего сервиса в «обычном» интернете, а не в даркнете, как это было раньше. Несколько других групп, занимающихся сходным промыслом, продолжают работать в даркнете.

Как защититься?

«Говоря о защите от подобных устройств, стоит вспомнить теорию волн из физики. Судя по техническим описаниям предшественника данного устройства оно работает на частоте 13,5 МГц, что является короткой волной. Короткие волны характеризуются небольшой длинной волны, но при этом высокой частой колебаний, что сказывается на их проникающую способность через препятствия, - говорит Георгий Лагода, технический директор компании "Монитор Безопасности". - Однако, стоит понимать, что заявленное расстояние копирования в 15 см, скорее всего имеет место в однородной воздушной среде без препятствий (в том числе, одежда, кошелек, другие карточки и т.д.), посему наибольшая вероятность успешного копирования чужой карточки злоумышленником появляется при непосредственном контакте данного устройства с картой жертвы».

По словам Лагоды, зачастую рядом с пластиковыми картами могут находиться строение излучатели - электронные пропуска и другие карты, что может создавать дополнительные помехи потенциальным злоумышленникам. В любом случае, считает Лагода, необходимо минимизировать вероятность «прямого контакта» карты с RFID-чипом с другими людьми.

Также стоит отметить, что безопасность таких карт напрямую зависит от стандартов безопасности их производителей, - отметил Георгий Лагода.

Адрес новости:

Мошенники атакуют их бесконтактно

В России появился новый вирус, атакующий банкоматы. Особенность в том, что проникает он в банкомат без какого-либо физического контакта, а выявить и устранить проблему сложно. Как выяснил "Ъ", цель вируса — не средства клиентов, а деньги в банкомате, который настраивается на выдачу всех самых крупных купюр любому, набравшему определенный код. Пока простой механизм борьбы не найден, банкам остается лишь повышать общий уровень безопасности своих сетей. Однако большинству игроков проще и дешевле застраховать банкоматы, что только подстегнет к распространению мошенничества.

В пятницу замначальника ГУБЗИ ЦБ Артем Сычев сообщил о новом бесконтактном способе хищения денежных средств из банкоматов. "Мы всегда, когда говорили о скимминге, отмечали, что злоумышленник должен поставить что-то на банкомат, теперь новая технология появилась",— уточнил он, не раскрыв деталей, но сообщив, что информация о проблеме и возможности противодействия ей доведена до участников рынка (в рассылках FinCert).

По словам собеседников "Ъ", получивших рассылку, новый способ атак на банкоматы FinCert описал 15 марта. В ней сообщалось о так называемом бестелесном или бесфайловом вирусе, который "живет" в оперативной памяти банкомата. В рассылке отмечается, что в России в банкоматах он замечен впервые. Так как вирус не имеет файлового тела, его не видят антивирусы и он может жить в зараженном банкомате сколь угодно долго, поясняет один из собеседников "Ъ".

Вирус направлен на хищение средств непосредственно из банкомата, который при введении заданного кода выдает всю наличность из первой кассеты диспенсера, где хранятся самые крупные купюры (номиналом 1 тыс. или 5 тыс. руб.) — 40 штук. Получить средства может любой, кто введет код, но обычному человеку его подобрать сложно, слишком длительные попытки могут вызвать подозрение у служб безопасности банка, поясняют собеседники "Ъ".

Если в России данную схему мошенники применили впервые, то в мире подобные случаи уже были. "Хищение средств с помощью бесфайлового вируса под силу лишь профессиональным преступникам, поскольку тут необходимы достаточно серьезные технологии,— отмечает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.— Злоумышленники взламывают внешний контур сети банка, далее проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур банкоматной сети".

Собеседники "Ъ" в банках, получивших рассылку FinCert, рассказали, что в данном случае поражены были устройства крупнейшего производителя банкоматов — NCR. Но отказываться от этой марки банкиры не собираются, поскольку поражен таким образом может быть любой банкомат. "Выявленная уязвимость нехарактерна для конкретного производителя, так как все банкоматы работают под Windows",— говорит один из собеседников "Ъ".

Специалисты пока не нашли простого и эффективного способа борьбы с новым вирусом. "При перезагрузке банкомата вирус, по идее, должен без следа удаляться из оперативной памяти,— отмечает начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский.— Однако он может прописывать себя в специальный раздел автозагрузки операционной системы и при каждом перезапуске компьютера "возрождаться" вновь". Постоянно перезагружать банкоматы — не выход из ситуации, отмечают банкиры. По их словам, перезагрузка банкомата занимает порядка пяти минут, то есть подобную процедуру невозможно провести незаметно для клиентов, к тому же банкомату, как и любому компьютеру, частые перезагрузки вредны.

Пока противоядие не найдено, банкирам остается не допускать заражения банкоматов. "Чтобы уберечься от подобных проникновений, банки должны усилить защиту внешнего контура и банкоматной сети,— отмечает начальник управления по развитию систем самообслуживания Альфа-банка Максим Дарешин.— Однако особенность в том, что стоимость защиты хоста не зависит от количества банкоматов, подключенных к сети, сто или несколько тысяч". "В подобной ситуации банки с небольшими банкоматными сетями, сопоставив объем затрат и рисков, вряд ли охотно будут вкладывать средства в безопасность, предпочитая застраховать банкоматы от хищений",— указывает собеседник "Ъ" в крупном банке, признавая, что такой подход, будет стимулировать мошенников и далее распространять новый вирус.








1、奴隶主对奴隶的生命具有生杀予夺大权,或者奴隶主杀死奴隶与奴隶杀死奴隶主,有着完全不同且差异显着的刑罚标准; 2、奴隶主对奴隶的产出具有无偿占有的权利,但不承担任何义务; 3、有一整套制度和礼仪保证奴隶社会的阶级差别; 4、有完整的户籍和工籍制度,并且一般不可以转籍,奴隶主与奴隶等级固化,没有改籍空间; 5、除了赋税之外,奴隶必须无偿承担徭役; 6、奴隶不能逃跑,不能擅自离开所在地域,有户籍限制; 7、奴隶没有属于自己的生产资料和不动资产; 8、奴隶不得反抗奴隶主,不得表现出对奴隶主的不尊重乃至嘲讽,更不能批评; 9、奴隶不具有自主的婚育繁衍权,奴隶会承受肉刑; 10:奴隶没有包括决定其自身权利的参政议政权。

从上述十个标准来进行比较,中华民族传统社会的确具备了奴隶制社会的绝大多数特征,唯一差别只在于程度的深浅有所不同。造成这种深浅差异的,则在于朱熹《论差役利害状》中所言的“祖宗成法”。这种“祖宗成法”不存在于法典之中,而是一种社会基本认可的“潜规则”。这种“潜规则”规定了官吏驭民的主要职责在于“优抚”而不是强迫、派遣徭役应当支付一定的费用、决讼还应当照顾社会舆论和情感、土地所有权虽在官方(皇帝)但仍允许有限的民间买卖,但必须取得官家承认等等。 纵观中国历史的各个时期,凡是“祖宗成法”执行的比较好的时期,基本上都是“暂时坐稳了奴隶”的时代,而“祖宗成法”被破坏甚至被抛弃的时期,则人民大多处于一种“连奴隶都坐不稳”的时代(鲁迅语)。




从所谓的文革结束以后,一向具有忧国忧民传统的中国知识分子,一直在选择通过第一条道路,也就是重新回到“暂时坐稳了奴隶”的时代这条道路进行社会改造。选择这条道路的优点是显而易见的,那就是不会导致社会动荡,不需要革命,只通过规劝奴隶主改革,重新拾起被抛弃掉的 “祖宗成法”。这条道路看上去比较平坦,似乎成本也很低。于是,从七九至今历次社会运动,主流的声音都是改革。但是,同样从历史上看,选择这条道路的结果基本上都是失败的。可以说,面对奴隶主和其治下的高等级奴隶的无限欲望的时候,任何劝诫其“少吃点”或者“吃相好看点”的努力,都是徒劳的。这也是中国五千年历史上近百个朝廷更迭的根本原因。中国历史上还从来没有出现过主动让渡权利的奴隶主,我相信未来也不会有。因为没有人知道做奴隶主所能享受到的巨大精神和物质的满足,包括奴隶主也不知道,因为他总是认为还可以获得更多。