ZeroNet Blogs

Static ZeroNet blogs mirror

女装子赛高哒~!

- Posted in 真姬的博客 by with comments

QQ__20170325180256.jpg (0x0)

Bland Blog Update

- Posted in Kaffie's Blog by with comments

tsuruya_rawr.jpg (484x627)

I'm trying something new today. Since the tags weren't really working out for me, and I've been kinda eager to update the blog with the newest ZeroBlog code, I went ahead and gave it a shot. Hopefully everything should be updated properly, but there still might be some things I missed. Let me know if there's any issues. The real reason was I wanted to try the fancy image uploader :3. Maybe my blog here will get a bit more colorful.

I apologize for the lack of updates on pretty much everything. I've been lazy af, and mostly just chatting with people. My latest interest has been in ZeroNet Central which is pretty cool. I think something like that if it used the merger site feature could be a killer app for ZeroNet. Along with that I've been thinking of logins and bans. For logins, I'm still wondering if there's a way to accept all services easily, rather than just having a list. For bans, I'm wondering if there's an easy way to share ban-lists. I think I'll start uploading mine on nullpaste. Here is my mutes.json which has 2 users on it so far. And here is my permissions list for my banlist, this goes in /data/users/content.json. The users in the banlist are mostly spammers, and other undesirables. People in the mutelist are legit users who are simply awful and that I do not wish to listen to.

The banlist goes for both this blog and kaffiehub. Along with any future sites I publish that have user interaction.

That's all for now, thanks for reading! <3 Kaffie

Favorite Comments of the Day

- Posted in ZeroBlog Lab by with comments

Border0464fred · border0464fred@zeroid.bit ― 4 hours ago @nofish damn you scared the shit out of us, don't ever leave the internet again :p

Вспомнилось...

- Posted in DIY@Balancer by with comments

«У нас было 2 мешка травы, 75 таблеток мескалина...» 

Помню, у меня был один транс на 6В 2А. Нужно было сделать для Радио 86РК б/п с 5В 2А и по мелочи +12В и -5В :) Ни о каких импульсинках тогда я и не слышал. И, таки, сделал :D Прямо с обмотки КРЕН5А на +5В. С удвоением на кондесаторах — на +12В. С них же гальванической развязкой конденсаторами ещё и на -5В. Работало, блин! Позже как-то в студенческие годы пытался повторить — конденсаторы взорвались нафиг! Хотя запас был большой. Больше не повторял, потому что появились доступные импульсные БП :)

Tips to check if a zite links to clearnet:

  1. Right click the page and select inspect Element, then under inspector, search page content with http. These are almost some static links, if you don't click them, they shouldn't cause problem, except that they are used in the javascripts. But my knowledge is limited, there may be some types of link that I miss.
  2. Also with inspect Element tools, choose Debugger, click every js file and search page content with #http. Javascripts can contain lots of traps to security and privacy, besides malware, it can use to record every interaction you do with the browser, including scrolling, clicking, typing, etc. I don't have enough study to give cases and details, but I recommend two add-ons: Noscript and Librejs. Unfortunately we need to allow the whole domain 127.0.0.1:43110 to make ZeroNet work, and when using Librejs, one script (pasted below) can't mark as whitelist and zites are totally unfunctional, but you can still add the domain to whitelist and learn what kinds of javascript it is blocking.

  3. Do it again under Stylesheet Editor tag. Stylesheet sometimes uses outside sources like images, loading buffers. These are quite harmless, but still can use to track your Internet activities (when do you surf the website).

Anything lacking? (hmm, like maybe someone also links its zite to ftp server )

And a perfect workaround: use Tor browser but disable Torbutton and TorLauncher add-on, then your browser will never connect to clearnet X)

PS: But still... Website owner can use javascript to send your activities to clearnet website.

Also, everytime starting Icecat (another Firefox fork) it will connect to https://check.torproject.org/, I guess Torbrowser is same, if you care, maybe you can install foxyproxy addon and setup a fake proxy for it.

PS2: Relative Info & link

# Script that can't mark as whitelist

NONTRIVIAL: innerHTML identifier

document.getElementById("inner-iframe").src = "about:blank"
document.getElementById("inner-iframe").src = "\/1EiMAqhd6sMjPG2tznkkGXxhdwFBDdeqT9\/\?wrapper_nonce\=4c208d3bd54159651e6e38f1f0fe7fbb128e4d81a39551d4319a826dadc66dd3"
address = "1EiMAqhd6sMjPG2tznkkGXxhdwFBDdeqT9"
wrapper_nonce = "4c208d3bd54159651e6e38f1f0fe7fbb128e4d81a39551d4319a826dadc66dd3"
wrapper_key = "ae3b0071b41099815adf03de668d274981f59c9d45d2abdca38b8126916e0f75"
postmessage_nonce_security = true
file_inner_path = "index.html"
permissions = []
show_loadingscreen = false
server_url = ''

if (typeof WebSocket === "undefined")
document.body.innerHTML += "

<div class="unsupported">Your browser is not supported please use [Chrome or Firefox](http://outdatedbrowser.com).</div>

";

Maybe for a concept like: "the more you can do things offline, the more you can protect your privacy." If sth I can do offline, I won't do it online. Also in this manner I appreciate ZeroNet a lot :)

Once online someone said that it's impossible to use local image file for creating userstyle, and it's not secure to do that. I prefer to use image hosted from my own server, but ZeroNet provides a solution for me, as I did it to Zeronet Central for my dark theme .votes .vote-arrow { background: url(http://192.168.1.110:43110/1J1c7eML6uMwDU4uiKbKRxoqxGP6WMFMvb/data/users/1AWwhg4EiWAVttfQboJZ4wJfX3WawfJT3h/sprite-sheet-png.png);}

So I can just create a local zite and use the images hosted locally for my userstyles \o/ though I still wonder if it's secure to do such thing.

Bonus: Kiwix (Offline Wikipedia reader, Wiktionary, Wikivoyage, Gutenberg.org book library, etc) - https://kiwix.org/ https://f-droid.org/app/org.kiwix.kiwixmobile http://download.kiwix.org/zim/

Вконтакте в очередной раз решил порадовать всех своих пользователей, приоткрыв завесу секретности: каждый из пользователей получил возможность увидеть вк глазами админов. Баг пофиксили в течение достаточно быстрого времени, но у многих остались вопросы. Особенно по поводу возможности посмотреть скрытые фото пользователей.

Какой-то хороший человек успел записать видео с возможностями, которые есть у модераторов (система не давала читать сообщения или просматривать скрытые фото из-за ошибки доступа, но у реальных модераторов такой доступ, судя по всему есть).

Подробнее под катом

Не уверен связана ли обновленная авка на странице Павла Дурова с этими событиями, скорее всего Паша решил протроллить своих приемликов, которые как всегда налажали:

Примерно в это же время появилась запись от официального сообщества Команды Вконтакте:

Из того, что известно наверняка:

Расширенный доступ к профилю пользователя:

Возможности наказания непослушных сообществ:

Бан по шаблону:

Доступ к багрепортам:

Некоторые пользователи утверждают, что существует возможность посмотреть историю запросов каждого пользователя (достоверность скрина не подтверждена):

Также видел скрины, показывающие механизм распознования порнокартинок на аватарках, но не успел сохранить, а администрация сообщества почему-то его удалила. Настоящий он или нет — подтвердить не могу.

В любом случае, ближайшие пару дней мы увидим еще не одну байку о том, что же видят на самом деле представители админстрации вконтакте. Но интереснее всего то, кто все-таки имеет доступ к приватным фотографиям пользователей, и действительно ли доступны видны запросы, которые вы отправляете в ВК, любому зеваке, попавшему в команду модераторов ВК?

Стоит отметить, что ВК любит радовать своих пользователей. Я уже несколько раз описывал некоторые уязвимости в Вконтакте, которые помогают настраивать мне более эффективную рекламу здесь и здесь. А мой коллега, даже решил выложить подробное руководство о том, как получать бесплатные клики из ВК . Совсем недавно администрация ВК забыла продлить домен, хранящий большинство фотографий пользователей, в связи с чем эти самые фотографии оказались недоступными на несколько дней, в то время как администрация судорожно переподключало новый домен. Или вот однажды Вк добавили на счет каждому пользователю рекламного кабинета сумму, равную его затратам за всю историю работы с ВК.

Но такого веселого и масштабного факапа я еще не видел.

UPDATE! Если отправить в личные сообщения скрин с некоторыми фото этого факапа — картинка удалится в течение нескольких секунд. Пруф:

отсюда

Хакерская группа CC Buddies начала продажи устройства, позволяющего на расстоянии 15 см моментально «клонировать» кредитные карты, оснащенные RFID-чипами. Устройство легко спрятать под одеждой и очень трудно обнаружить. Свое изделие злоумышленники продают в открытую: сайт доступен всем желающим. Ранее для подобных «сервисов» использовался даркнет.

Большой апгрейд

Группа хакеров под названием CC Buddies начала открытую продажу вредоносного устройства для бесконтактного считывания и клонирования кредитных карт, оборудованных RFID-чипами. Новое устройство способно копировать 21 кредитную карту в секунду.

В 2016 г. те же злоумышленники продавали похожее устройство, но с более скромными характеристиками: их Infusion X5 позволял клонировать до 15 карт в секунду. Для успешного клонирования необходимо было, чтобы устройство располагалось очень близко от карты - не более 8 см. Новый вариант, получивший название X6, работает с расстояния 15 см.

Близкий недружественный контакт

Для считывания карт требуется тесный контакт с потенциальной жертвой; однако в общественном транспорте в час пик, когда люди вынужденно прижимаются друг к другу, у злоумышленников, вооруженных подобными устройствами, появляется шанс на богатый улов. Шанс этот уже был неплох, когда устройства работали с расстояния 8 см, и тем более хорош он оказывается, когда рабочее расстояние возрастает вдвое.

Само устройство невелико и снабжено крепежом на руку, так что его без труда можно спрятать под длинным рукавом. Это делает его вдвойне опасным: вероятность его обнаружения стремится к нулю.

Но даже при поимке злоумышленника, доказать факт преступления будет непросто, поскольку X6 оборудовано средствами шифрования хранящихся данных.

Недешевая «игрушка»

Собранные данные карт хранятся прямо в памяти устройства, на компьютер их можно передать с помощью USB-кабеля.

Данные клонированных карт - ходовой товар на киберкриминальном рынке. С их помощью преступники делают фальшивые дебетовые карты, чем активно занимаются и сами CC Buddies.

X6 предлагается за 1,5 биткоина, что примерно соответствует $1700 на нынешний момент. За дополнительные карты предлагается заплатить еще 0,1 биткоина.

Интересно, что CC Buddies развернули сайт для своего сервиса в «обычном» интернете, а не в даркнете, как это было раньше. Несколько других групп, занимающихся сходным промыслом, продолжают работать в даркнете.

Как защититься?

«Говоря о защите от подобных устройств, стоит вспомнить теорию волн из физики. Судя по техническим описаниям предшественника данного устройства оно работает на частоте 13,5 МГц, что является короткой волной. Короткие волны характеризуются небольшой длинной волны, но при этом высокой частой колебаний, что сказывается на их проникающую способность через препятствия, - говорит Георгий Лагода, технический директор компании "Монитор Безопасности". - Однако, стоит понимать, что заявленное расстояние копирования в 15 см, скорее всего имеет место в однородной воздушной среде без препятствий (в том числе, одежда, кошелек, другие карточки и т.д.), посему наибольшая вероятность успешного копирования чужой карточки злоумышленником появляется при непосредственном контакте данного устройства с картой жертвы».

По словам Лагоды, зачастую рядом с пластиковыми картами могут находиться строение излучатели - электронные пропуска и другие карты, что может создавать дополнительные помехи потенциальным злоумышленникам. В любом случае, считает Лагода, необходимо минимизировать вероятность «прямого контакта» карты с RFID-чипом с другими людьми.

Также стоит отметить, что безопасность таких карт напрямую зависит от стандартов безопасности их производителей, - отметил Георгий Лагода.

Адрес новости: http://safe.cnews.ru/news/top/2017-03-20_nachalis_prodazhi_ustrojstva_dlya_klonirovaniya

Мошенники атакуют их бесконтактно

В России появился новый вирус, атакующий банкоматы. Особенность в том, что проникает он в банкомат без какого-либо физического контакта, а выявить и устранить проблему сложно. Как выяснил "Ъ", цель вируса — не средства клиентов, а деньги в банкомате, который настраивается на выдачу всех самых крупных купюр любому, набравшему определенный код. Пока простой механизм борьбы не найден, банкам остается лишь повышать общий уровень безопасности своих сетей. Однако большинству игроков проще и дешевле застраховать банкоматы, что только подстегнет к распространению мошенничества.

В пятницу замначальника ГУБЗИ ЦБ Артем Сычев сообщил о новом бесконтактном способе хищения денежных средств из банкоматов. "Мы всегда, когда говорили о скимминге, отмечали, что злоумышленник должен поставить что-то на банкомат, теперь новая технология появилась",— уточнил он, не раскрыв деталей, но сообщив, что информация о проблеме и возможности противодействия ей доведена до участников рынка (в рассылках FinCert).

По словам собеседников "Ъ", получивших рассылку, новый способ атак на банкоматы FinCert описал 15 марта. В ней сообщалось о так называемом бестелесном или бесфайловом вирусе, который "живет" в оперативной памяти банкомата. В рассылке отмечается, что в России в банкоматах он замечен впервые. Так как вирус не имеет файлового тела, его не видят антивирусы и он может жить в зараженном банкомате сколь угодно долго, поясняет один из собеседников "Ъ".

Вирус направлен на хищение средств непосредственно из банкомата, который при введении заданного кода выдает всю наличность из первой кассеты диспенсера, где хранятся самые крупные купюры (номиналом 1 тыс. или 5 тыс. руб.) — 40 штук. Получить средства может любой, кто введет код, но обычному человеку его подобрать сложно, слишком длительные попытки могут вызвать подозрение у служб безопасности банка, поясняют собеседники "Ъ".

Если в России данную схему мошенники применили впервые, то в мире подобные случаи уже были. "Хищение средств с помощью бесфайлового вируса под силу лишь профессиональным преступникам, поскольку тут необходимы достаточно серьезные технологии,— отмечает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.— Злоумышленники взламывают внешний контур сети банка, далее проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур банкоматной сети".

Собеседники "Ъ" в банках, получивших рассылку FinCert, рассказали, что в данном случае поражены были устройства крупнейшего производителя банкоматов — NCR. Но отказываться от этой марки банкиры не собираются, поскольку поражен таким образом может быть любой банкомат. "Выявленная уязвимость нехарактерна для конкретного производителя, так как все банкоматы работают под Windows",— говорит один из собеседников "Ъ".

Специалисты пока не нашли простого и эффективного способа борьбы с новым вирусом. "При перезагрузке банкомата вирус, по идее, должен без следа удаляться из оперативной памяти,— отмечает начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский.— Однако он может прописывать себя в специальный раздел автозагрузки операционной системы и при каждом перезапуске компьютера "возрождаться" вновь". Постоянно перезагружать банкоматы — не выход из ситуации, отмечают банкиры. По их словам, перезагрузка банкомата занимает порядка пяти минут, то есть подобную процедуру невозможно провести незаметно для клиентов, к тому же банкомату, как и любому компьютеру, частые перезагрузки вредны.

Пока противоядие не найдено, банкирам остается не допускать заражения банкоматов. "Чтобы уберечься от подобных проникновений, банки должны усилить защиту внешнего контура и банкоматной сети,— отмечает начальник управления по развитию систем самообслуживания Альфа-банка Максим Дарешин.— Однако особенность в том, что стоимость защиты хоста не зависит от количества банкоматов, подключенных к сети, сто или несколько тысяч". "В подобной ситуации банки с небольшими банкоматными сетями, сопоставив объем затрат и рисков, вряд ли охотно будут вкладывать средства в безопасность, предпочитая застраховать банкоматы от хищений",— указывает собеседник "Ъ" в крупном банке, признавая, что такой подход, будет стимулировать мошенников и далее распространять новый вирус.

коммерсант.ru

>很多中国的历史学者都认为早在汉朝中国便消灭了奴隶制,这一提法的确立,主要来源于费正清主编的《剑桥中国史》。但我对此一向保持疑议,因为费先生即没有给奴隶社会制定出完整有效的定义,同时也没有将奴隶制向中央集权制转型的过程进行有说服力的描述。

首先,从诗经上看,“溥天之下,莫非王土;率土之滨,莫非王臣”,这句诗词从人身归属权和生产资料归属权两个方面,准确地描述了中国五千年奴隶制历史的实质。

汉代儒博士孙叔通为刘邦制定朝臣觐见跪拜之礼,本质上也是依据人身与经济归属权这一核心价值观念所制定的,并且将这一官礼推广到民间,形成层级递进的拜官制度,到清帝逊位方绝。如果说中国是一个自由民的社会,那么这种显然带有奴隶制特征的,象征人身与经济归属权仪式的跪拜礼,必然不应该存在。而存在这种跪拜礼的社会,必然应该属于奴隶社会。

中华民族的奴隶社会与其它民族历史上的奴隶社会有一些不同,比如在中央集权制度之下,奴隶主只能有一个,那就是皇帝。而在世界范围内其它民族中,奴隶主却可以很多,奴隶主之间形成隐形的竞争和议价机制,促进了奴隶制向资本主义制度的转化。在世界上绝大多数民族历史文化中,奴隶制不过是一种以经济为主体的制度(马克思也将奴隶制认定为一种基础的经济制度),而只有在中国,奴隶制发展为一套以政治制度为主体的、以层级结构为特征的、覆盖整个社会的制度,我们可以将其称之为“层级结构金字塔型奴隶制”。

这种层级结构的奴隶制,奴隶主只有一个,奴隶基数足够庞大,每一个奴隶相对所承担的奴隶义务较少,因此这种奴隶制度可以长时间的延续。而世界其他大多数民族,因为没有形成这种层级化结构,而是一种“多中心分封式奴隶制”,奴隶主之间为了经济效益的竞争,战争不断,造成每一个奴隶所承担的义务过于繁重,因此奴隶主之间的战争和奴隶反抗断送了这种奴隶制,最终进入了资本主义时代。基本上,只有中国成功的将经济学意义上的奴隶社会进化成为了政治学意义上的奴隶社会,而世界上的其他民族,都没有完成这一转化。中国将原本分封的奴隶主,同样纳入了奴隶等级管理架构之中,通过剥夺其自卫权,进而剥夺了他们的议价权,成为单一奴隶主(皇帝)治下的高等级奴隶。

综合人类史上有关奴隶社会的史料挖掘,我们基本上可以指出,奴隶社会具备如下十个基本特征:

1、奴隶主对奴隶的生命具有生杀予夺大权,或者奴隶主杀死奴隶与奴隶杀死奴隶主,有着完全不同且差异显着的刑罚标准; 2、奴隶主对奴隶的产出具有无偿占有的权利,但不承担任何义务; 3、有一整套制度和礼仪保证奴隶社会的阶级差别; 4、有完整的户籍和工籍制度,并且一般不可以转籍,奴隶主与奴隶等级固化,没有改籍空间; 5、除了赋税之外,奴隶必须无偿承担徭役; 6、奴隶不能逃跑,不能擅自离开所在地域,有户籍限制; 7、奴隶没有属于自己的生产资料和不动资产; 8、奴隶不得反抗奴隶主,不得表现出对奴隶主的不尊重乃至嘲讽,更不能批评; 9、奴隶不具有自主的婚育繁衍权,奴隶会承受肉刑; 10:奴隶没有包括决定其自身权利的参政议政权。

从上述十个标准来进行比较,中华民族传统社会的确具备了奴隶制社会的绝大多数特征,唯一差别只在于程度的深浅有所不同。造成这种深浅差异的,则在于朱熹《论差役利害状》中所言的“祖宗成法”。这种“祖宗成法”不存在于法典之中,而是一种社会基本认可的“潜规则”。这种“潜规则”规定了官吏驭民的主要职责在于“优抚”而不是强迫、派遣徭役应当支付一定的费用、决讼还应当照顾社会舆论和情感、土地所有权虽在官方(皇帝)但仍允许有限的民间买卖,但必须取得官家承认等等。 纵观中国历史的各个时期,凡是“祖宗成法”执行的比较好的时期,基本上都是“暂时坐稳了奴隶”的时代,而“祖宗成法”被破坏甚至被抛弃的时期,则人民大多处于一种“连奴隶都坐不稳”的时代(鲁迅语)。

而如今的社会,正恰恰又一次进入了鲁迅所说的“连奴隶都坐不稳”的时代,而历史上但凡这样的时代,也都预示着进入了一个朝代更替的动乱时期。

无论从掠夺式的征地拆迁、长达十数年的计划生育政策、复杂而严格的官场礼仪、繁重的赋税以及寡薄的社会福利、不断被践踏的法制等现今越来越让人跌破眼镜的现状来看,中国当前的社会形态,无疑仍旧是符合奴隶制十项标准的,并且随着雷y案、7零9案等对法制社会的进一步破坏,这种稳定的奴隶制社会结构正在破碎,中国再度进入朝代更替循环的时期。

事实上,中国历史进程中,当面对这种转型时代的时候(唐德刚先生称之为“历史的三峡”),一向都不是只有“华山一条路”。其中,最令人难以选择的,也是最主要的道路只有两条。一条是重新回到“暂时坐稳了奴隶”的时代,一条是彻底推翻奴隶主和奴隶制度,走向遵从人道主义的,以宪政为基础的,三权分立的现代民主政治。

从所谓的文革结束以后,一向具有忧国忧民传统的中国知识分子,一直在选择通过第一条道路,也就是重新回到“暂时坐稳了奴隶”的时代这条道路进行社会改造。选择这条道路的优点是显而易见的,那就是不会导致社会动荡,不需要革命,只通过规劝奴隶主改革,重新拾起被抛弃掉的 “祖宗成法”。这条道路看上去比较平坦,似乎成本也很低。于是,从七九至今历次社会运动,主流的声音都是改革。但是,同样从历史上看,选择这条道路的结果基本上都是失败的。可以说,面对奴隶主和其治下的高等级奴隶的无限欲望的时候,任何劝诫其“少吃点”或者“吃相好看点”的努力,都是徒劳的。这也是中国五千年历史上近百个朝廷更迭的根本原因。中国历史上还从来没有出现过主动让渡权利的奴隶主,我相信未来也不会有。因为没有人知道做奴隶主所能享受到的巨大精神和物质的满足,包括奴隶主也不知道,因为他总是认为还可以获得更多。

所以纵观改革派,他们谋求在现有皇权不做根本性变更的情况下,尽量回到尊重”祖宗成法”的轨道上去,重新回到人民”暂时坐稳了奴隶”的时代的这种思想,首先会得到奴隶主最大的反感,如商末的比干,南宋岳飞,元末的脱脱等,他们基本上在社会革命思想尚未成型的时候,便被奴隶主杀死了。而基于不堪”连奴隶都坐不稳”的底层民众的革命力量,谋求的是推翻前朝统治,更换天地新颜。他们大多以造反者的姿态出现,令人恐惧的流寇特征杀伐征服。总体来说,社会中高级知识分子和士绅寄希望于改革,而历史一般都选择了革命。中国历史上近百次皇权变更,无不证明了这种历史的选择结果。

尽管所有人的出发点都是好的,但最终的结果却是惊人的一致:社会必然走到第二条道路,也就是推翻奴隶主和奴隶制度上。但是,由于长期以来新的社会制度没有被探索出来(现代资本主义制度是十八世纪才逐渐成形,而此时的清国正处于较长期的暂时坐稳了奴隶的时代),投身反抗的奴隶们对于其他的社会制度没有概念,历史在转了个弯儿之后,又重新回到第一条路径上。他们推翻了旧的奴隶主,却没有能力推翻奴隶制度,于是他们只好又重新选择了一个能够暂时遵守“祖宗成法”的新奴隶主。

尽管推翻奴隶主并不等于能够一并推翻奴隶制度,但是,奴隶主与奴隶制度这一对伴生体,必须同时击溃,才有可能创造出一个全新的、具有人道主义精神的、符合现代民主政治的新政体来。二者存其一,都不能成就孕育民主与自由的土壤。中华民族五千年来的奴隶制惯性尽管仍旧存在,但今天的转型期后有殷鉴不远,前有成熟的民主社会路径可以遵循,只要我辈出于公心,诉诸公论,应该还是可以彻底推翻这奴隶制度和其根源,孕育出符合人道主义的民主制度来的。