ZeroNet Blogs

Static ZeroNet blogs mirror

女装子赛高哒~!

- Posted in 真姬的博客 by with comments

QQ__20170325180256.jpg (0x0)

Bland Blog Update

- Posted in Kaffie's Blog by with comments

tsuruya_rawr.jpg (484x627)

I'm trying something new today. Since the tags weren't really working out for me, and I've been kinda eager to update the blog with the newest ZeroBlog code, I went ahead and gave it a shot. Hopefully everything should be updated properly, but there still might be some things I missed. Let me know if there's any issues. The real reason was I wanted to try the fancy image uploader :3. Maybe my blog here will get a bit more colorful.

I apologize for the lack of updates on pretty much everything. I've been lazy af, and mostly just chatting with people. My latest interest has been in ZeroNet Central which is pretty cool. I think something like that if it used the merger site feature could be a killer app for ZeroNet. Along with that I've been thinking of logins and bans. For logins, I'm still wondering if there's a way to accept all services easily, rather than just having a list. For bans, I'm wondering if there's an easy way to share ban-lists. I think I'll start uploading mine on nullpaste. Here is my mutes.json which has 2 users on it so far. And here is my permissions list for my banlist, this goes in /data/users/content.json. The users in the banlist are mostly spammers, and other undesirables. People in the mutelist are legit users who are simply awful and that I do not wish to listen to.

The banlist goes for both this blog and kaffiehub. Along with any future sites I publish that have user interaction.

That's all for now, thanks for reading! <3 Kaffie

Favorite Comments of the Day

- Posted in ZeroBlog Lab by with comments

Border0464fred · border0464fred@zeroid.bit ― 4 hours ago @nofish damn you scared the shit out of us, don't ever leave the internet again :p

Вспомнилось...

- Posted in DIY@Balancer by with comments

«У нас было 2 мешка травы, 75 таблеток мескалина...» 

Помню, у меня был один транс на 6В 2А. Нужно было сделать для Радио 86РК б/п с 5В 2А и по мелочи +12В и -5В :) Ни о каких импульсинках тогда я и не слышал. И, таки, сделал :D Прямо с обмотки КРЕН5А на +5В. С удвоением на кондесаторах — на +12В. С них же гальванической развязкой конденсаторами ещё и на -5В. Работало, блин! Позже как-то в студенческие годы пытался повторить — конденсаторы взорвались нафиг! Хотя запас был большой. Больше не повторял, потому что появились доступные импульсные БП :)

Едок

- Posted in Русланово детство by with comments

Руслан вчера поднимает крышку кастрюли, смотрит туда и говорит: «Ам-ам! Де ты? Ау!» («Еда! Где ты! Ау!»)

Tips to check if a zite links to clearnet:

  1. Right click the page and select inspect Element, then under inspector, search page content with http. These are almost some static links, if you don't click them, they shouldn't cause problem, except that they are used in the javascripts. But my knowledge is limited, there may be some types of link that I miss.
  2. Also with inspect Element tools, choose Debugger, click every js file and search page content with #http. Javascripts can contain lots of traps to security and privacy, besides malware, it can use to record every interaction you do with the browser, including scrolling, clicking, typing, etc. I don't have enough study to give cases and details, but I recommend two add-ons: Noscript and Librejs. Unfortunately we need to allow the whole domain 127.0.0.1:43110 to make ZeroNet work, and when using Librejs, one script (pasted below) can't mark as whitelist and zites are totally unfunctional, but you can still add the domain to whitelist and learn what kinds of javascript it is blocking.

  3. Do it again under Stylesheet Editor tag. Stylesheet sometimes uses outside sources like images, loading buffers. These are quite harmless, but still can use to track your Internet activities (when do you surf the website).

Anything lacking? (hmm, like maybe someone also links its zite to ftp server )

And a perfect workaround: use Tor browser but disable Torbutton and TorLauncher add-on, then your browser will never connect to clearnet X)

PS: But still... Website owner can use javascript to send your activities to clearnet website.

Also, everytime starting Icecat (another Firefox fork) it will connect to https://check.torproject.org/, I guess Torbrowser is same, if you care, maybe you can install foxyproxy addon and setup a fake proxy for it.

PS2: Relative Info & link

# Script that can't mark as whitelist

NONTRIVIAL: innerHTML identifier

document.getElementById("inner-iframe").src = "about:blank"
document.getElementById("inner-iframe").src = "\/1EiMAqhd6sMjPG2tznkkGXxhdwFBDdeqT9\/\?wrapper_nonce\=4c208d3bd54159651e6e38f1f0fe7fbb128e4d81a39551d4319a826dadc66dd3"
address = "1EiMAqhd6sMjPG2tznkkGXxhdwFBDdeqT9"
wrapper_nonce = "4c208d3bd54159651e6e38f1f0fe7fbb128e4d81a39551d4319a826dadc66dd3"
wrapper_key = "ae3b0071b41099815adf03de668d274981f59c9d45d2abdca38b8126916e0f75"
postmessage_nonce_security = true
file_inner_path = "index.html"
permissions = []
show_loadingscreen = false
server_url = ''

if (typeof WebSocket === "undefined")
document.body.innerHTML += "

<div class="unsupported">Your browser is not supported please use [Chrome or Firefox](http://outdatedbrowser.com).</div>

";

Maybe for a concept like: "the more you can do things offline, the more you can protect your privacy." If sth I can do offline, I won't do it online. Also in this manner I appreciate ZeroNet a lot :)

Once online someone said that it's impossible to use local image file for creating userstyle, and it's not secure to do that. I prefer to use image hosted from my own server, but ZeroNet provides a solution for me, as I did it to Zeronet Central for my dark theme .votes .vote-arrow { background: url(http://192.168.1.110:43110/1J1c7eML6uMwDU4uiKbKRxoqxGP6WMFMvb/data/users/1AWwhg4EiWAVttfQboJZ4wJfX3WawfJT3h/sprite-sheet-png.png);}

So I can just create a local zite and use the images hosted locally for my userstyles \o/ though I still wonder if it's secure to do such thing.

Bonus: Kiwix (Offline Wikipedia reader, Wiktionary, Wikivoyage, Gutenberg.org book library, etc) - https://kiwix.org/ https://f-droid.org/app/org.kiwix.kiwixmobile http://download.kiwix.org/zim/

Вконтакте в очередной раз решил порадовать всех своих пользователей, приоткрыв завесу секретности: каждый из пользователей получил возможность увидеть вк глазами админов. Баг пофиксили в течение достаточно быстрого времени, но у многих остались вопросы. Особенно по поводу возможности посмотреть скрытые фото пользователей.

Какой-то хороший человек успел записать видео с возможностями, которые есть у модераторов (система не давала читать сообщения или просматривать скрытые фото из-за ошибки доступа, но у реальных модераторов такой доступ, судя по всему есть).

Подробнее под катом

Не уверен связана ли обновленная авка на странице Павла Дурова с этими событиями, скорее всего Паша решил протроллить своих приемликов, которые как всегда налажали:

Примерно в это же время появилась запись от официального сообщества Команды Вконтакте:

Из того, что известно наверняка:

Расширенный доступ к профилю пользователя:

Возможности наказания непослушных сообществ:

Бан по шаблону:

Доступ к багрепортам:

Некоторые пользователи утверждают, что существует возможность посмотреть историю запросов каждого пользователя (достоверность скрина не подтверждена):

Также видел скрины, показывающие механизм распознования порнокартинок на аватарках, но не успел сохранить, а администрация сообщества почему-то его удалила. Настоящий он или нет — подтвердить не могу.

В любом случае, ближайшие пару дней мы увидим еще не одну байку о том, что же видят на самом деле представители админстрации вконтакте. Но интереснее всего то, кто все-таки имеет доступ к приватным фотографиям пользователей, и действительно ли доступны видны запросы, которые вы отправляете в ВК, любому зеваке, попавшему в команду модераторов ВК?

Стоит отметить, что ВК любит радовать своих пользователей. Я уже несколько раз описывал некоторые уязвимости в Вконтакте, которые помогают настраивать мне более эффективную рекламу здесь и здесь. А мой коллега, даже решил выложить подробное руководство о том, как получать бесплатные клики из ВК . Совсем недавно администрация ВК забыла продлить домен, хранящий большинство фотографий пользователей, в связи с чем эти самые фотографии оказались недоступными на несколько дней, в то время как администрация судорожно переподключало новый домен. Или вот однажды Вк добавили на счет каждому пользователю рекламного кабинета сумму, равную его затратам за всю историю работы с ВК.

Но такого веселого и масштабного факапа я еще не видел.

UPDATE! Если отправить в личные сообщения скрин с некоторыми фото этого факапа — картинка удалится в течение нескольких секунд. Пруф:

отсюда

Хакерская группа CC Buddies начала продажи устройства, позволяющего на расстоянии 15 см моментально «клонировать» кредитные карты, оснащенные RFID-чипами. Устройство легко спрятать под одеждой и очень трудно обнаружить. Свое изделие злоумышленники продают в открытую: сайт доступен всем желающим. Ранее для подобных «сервисов» использовался даркнет.

Большой апгрейд

Группа хакеров под названием CC Buddies начала открытую продажу вредоносного устройства для бесконтактного считывания и клонирования кредитных карт, оборудованных RFID-чипами. Новое устройство способно копировать 21 кредитную карту в секунду.

В 2016 г. те же злоумышленники продавали похожее устройство, но с более скромными характеристиками: их Infusion X5 позволял клонировать до 15 карт в секунду. Для успешного клонирования необходимо было, чтобы устройство располагалось очень близко от карты - не более 8 см. Новый вариант, получивший название X6, работает с расстояния 15 см.

Близкий недружественный контакт

Для считывания карт требуется тесный контакт с потенциальной жертвой; однако в общественном транспорте в час пик, когда люди вынужденно прижимаются друг к другу, у злоумышленников, вооруженных подобными устройствами, появляется шанс на богатый улов. Шанс этот уже был неплох, когда устройства работали с расстояния 8 см, и тем более хорош он оказывается, когда рабочее расстояние возрастает вдвое.

Само устройство невелико и снабжено крепежом на руку, так что его без труда можно спрятать под длинным рукавом. Это делает его вдвойне опасным: вероятность его обнаружения стремится к нулю.

Но даже при поимке злоумышленника, доказать факт преступления будет непросто, поскольку X6 оборудовано средствами шифрования хранящихся данных.

Недешевая «игрушка»

Собранные данные карт хранятся прямо в памяти устройства, на компьютер их можно передать с помощью USB-кабеля.

Данные клонированных карт - ходовой товар на киберкриминальном рынке. С их помощью преступники делают фальшивые дебетовые карты, чем активно занимаются и сами CC Buddies.

X6 предлагается за 1,5 биткоина, что примерно соответствует $1700 на нынешний момент. За дополнительные карты предлагается заплатить еще 0,1 биткоина.

Интересно, что CC Buddies развернули сайт для своего сервиса в «обычном» интернете, а не в даркнете, как это было раньше. Несколько других групп, занимающихся сходным промыслом, продолжают работать в даркнете.

Как защититься?

«Говоря о защите от подобных устройств, стоит вспомнить теорию волн из физики. Судя по техническим описаниям предшественника данного устройства оно работает на частоте 13,5 МГц, что является короткой волной. Короткие волны характеризуются небольшой длинной волны, но при этом высокой частой колебаний, что сказывается на их проникающую способность через препятствия, - говорит Георгий Лагода, технический директор компании "Монитор Безопасности". - Однако, стоит понимать, что заявленное расстояние копирования в 15 см, скорее всего имеет место в однородной воздушной среде без препятствий (в том числе, одежда, кошелек, другие карточки и т.д.), посему наибольшая вероятность успешного копирования чужой карточки злоумышленником появляется при непосредственном контакте данного устройства с картой жертвы».

По словам Лагоды, зачастую рядом с пластиковыми картами могут находиться строение излучатели - электронные пропуска и другие карты, что может создавать дополнительные помехи потенциальным злоумышленникам. В любом случае, считает Лагода, необходимо минимизировать вероятность «прямого контакта» карты с RFID-чипом с другими людьми.

Также стоит отметить, что безопасность таких карт напрямую зависит от стандартов безопасности их производителей, - отметил Георгий Лагода.

Адрес новости: http://safe.cnews.ru/news/top/2017-03-20_nachalis_prodazhi_ustrojstva_dlya_klonirovaniya