admin @[email protected]

@board 附：备份/转发时需提防【追踪链接】（微博、推特、…）和【客户端截图盲水印】（豆瓣、知乎、…），链接追踪参数和水印包含的用户 ID 等信息可被用于追查转发者身份，追踪参数还能收集所有浏览者的信息

作为应对，象友可以关注长毛象上的 URL Bot https://bgme.me/@url 也应学会自己区分【纯净链接】和【带追踪参数的链接】，以网易云音乐为例，https://y.music.163.com/m/song?id=* 是纯净版，https://y.music.163.com/m/song?id=*&userid=000000000 中的 userid/uct2 可转换为用户 ID

通用应对建议：
1 转发前不要使用【客户端】，改用【网页版】
2 不要登录【账号】
3 使用 VPN/代理
4 尽量避免转发【原链】和【截图】，多用 Wayback 等网页备份工具，转发互联网档案馆 web.archive.org 的存档链接

参见：知乎在移动和桌面嵌入盲水印 (2022-09-04)
https://www.solidot.org/story?sid=72670

@PigeonAdultman 尝试一下大白话：
我直接访问谷歌：被墙❌
我↔️ 美国服务器A↔️ 谷歌 ✔️
问题在于，我↔️ 服务器A这一段，要经过墙。如果我的流量明晃晃写着：“在用谷歌搜索”。那指定不行。所以要伪装一下，这就诞生了各类伪装协议。

这里涉及到一点网络知识，就是我们发出去的流量类似于，我有一箱苹果要快递，我的浏览器给出这箱苹果（应用层），电脑打包📦发出去（传输层），他是一层层打包的。到了墙手里，它要反过来一层层去拆开看下里面是什么。就需要知道是怎么打包的，但我对苹果是一种打包方式，对香蕉是另一种，墙要成功拆开，需要从外表判断出打包方式（协议）才能逆向拆包。拆包完就能看出来这包里装了些啥，要发到哪里去。从而决定要不要阻拦。

最早期的Shadowsocks，翻墙原理就是用一种协议把你的数据变成一串看起来完全随机的0101。

在当时，墙看到一串随机的，也不知道这📦咋拆，感觉好像也不重要的样子，就放过了。但后来墙学聪明了，遇到这种随机流量，有了一些检测的办法（比如重放攻击，就是我发现这个数据包可疑，我抓住，然后过一会儿我重新发送这个包，甚至我稍微修改一点数据，看看你的反应，来判断你是不是翻墙用的服务器）

这是最开始的翻墙思路，把自己的存在感降到最低。但后来的trojan就是另外一种思路，采用特征非常明显的tls。来一个大隐隐于市。

tls是不对称加密，可以理解成一把锁一把钥匙。我本地用一把锁把我的流量锁起来了，只有我的翻墙服务器，才有钥匙可以把锁打开。到了墙手里，发现这个📦上锁了，打不开，无从判断。那墙可不可以看到上锁的就拦截呢？当然不可以，全世界https网站都用了tls加密，墙自然分不清哪个是正常的网页浏览哪个是翻墙。

当然其中还是有很多技术细节被略过了。

发展到现在，墙确实不太能单纯从某个📦中分辨是不是翻墙了，但翻墙不可能只发一个📦，我们上YouTube看个视频，就意味着有很多📦不停地来回，正常看个网页，不会这样长时间大流量📦，这算是可疑的一个点吧。

反正总能找到一些特征是可疑的。把这些可疑流量进行截断、丢包之类的，甚至直接对ip进行拦截，就达到了墙的目的。

但缺点也很明显，对墙来说成本高负载大，且非常容易误杀。

对墙内用户有啥区别：
普通用户翻墙都是花钱买服务，本来就不需要知道技术细节，所以区别不大。但对于机场来说，要花时间精力去维护节点，成本变高，不负责的机场就不去维护，用户体验变差。这个成本最终还是会转移到用户。反正我用的一个机场就涨价了。。。
还有一部分人是自建。这部分人里有技术的，由于自用流量小，运气不太差就可以躲过封锁。这部分人里没技术的，被封ip封端口很正常。对这部分人区别很大。

去年的今天，西安女乘客被保安当众扒了衣服

A quick wrap up of CNN reporting on China Data Leak:
➡️ 2021年4月，LeakIX（一个公开数据库搜索引擎）就侦察到这个数据库。无需密码，只要注册就可以进入下载。直到上周四黑客售卖数据被发酵，这个数据库的入口才被关闭。
➡️ 无法得知在这14个月内有多少人进入并下载过数据。两位西方专家表示，在黑客前他们就知道这个数据库存在。另一位网络专家曾经在寻找公开数据库时，误入过这个数据库，并下载过一份包含970M中国市民的数据。（救命... 就是说黑客卖那么便宜，其实是因为很多数据早就外泄了？）
➡️ 今年6月中，数据库遭受过恶意攻击，黑客拷贝后损坏数据，留下Note要求赎金10 Bitcoin. 7月1日Note消失，猜测赎金问题被解决。
➡️ 本周一阿里云对CNN说他们正在调查并会公布进展，但周三不再接受采访。
➡️ 专家意见是，过错在数据持有者，而非存储平台。

匪夷所思到不敢相信。光CNN这篇报道里就有4个有姓名的外国专家在事发前就知道或者进入过这个数据库，还知道6月中的赎金事件。全世界就中国人不知道自己的数据在裸奔吧。

明天看看还有没有其他外网报道Cross Check一下。

https://edition.cnn.com/2022/07/05/china/china-billion-people-data-leak-intl-hnk/index.html

因为十亿中国人数据泄露，网友很快从样本数据查到了中国真实的出生率。

这份十亿数据在以后人类历史上都会当成重要样本，因为ccp，中国人活着就被当成历史研究了#ccp #中共

十亿数据要20万美元，对cia来说是小意思，网友现在都在研究免费的样本数据，如果样本是随机的，真实的性别比也能查到

https://oapen.org/
https://doabooks.org/
还是推荐一下分别位于荷兰和法国的两个学术类电子书库，开放获取，无需注册，无需翻墙。可在右上角输入搜索内容或按学科/出版社/语言/合集筛选，现在英语库存分别是1.5万和3万本。前者可以整本下载或通过在线阅读器阅读，后者会跳转到books.openedition.org在线阅读。
#长毛象安利大会

长毛象最多就能上传四张图——
你中国男人当众殴打女性的“辉煌事迹”能在短短不到一个月内就火速占全四格还装不下，也是一个本事了。

p1河北当众群殴女性
p2广东当众群殴女性
p3江苏当众殴打女性
p4陕西当众殴打女性

中国男人润去新加坡，在新加坡当众砍妇女；润去澳大利亚，在澳洲当众殴打女性；润去伊朗，在伊朗骚扰偷拍妇女；润去美国，在美国推搡骚扰女性；润去越南，在越南从事妇女贩卖；润去德国，在德嫖鸭不给钱；润去日本，在日本盗刷他人信用卡；润去荷兰，在荷兰偷拍猥亵性工作者……

我知道的还有更多…举例举不过来了，我就说你中国男人是不是男人之耻？你们是不是不分性向、种族、地域、学历、样貌——统统都烂死了？！你它爹都滚出去污染他国了，还憋不住发狗疯？还以为自己活在老中，大家会无节制包容男宝？连人伊朗都受不了你们这帮杂碎，拿着鞭子狠抽中国这帮猪猡好吗？

就这还有脸说中国男人保护中国女人？我们女人只求你少沾边好吗？你们是什么贱货你们心里明白。

Drew DeVault （SourceHut 的创始人）发文称 GitHub Copilot 正在忽略开源项目的协议，并将自由软件的代码「洗白」为非自由软件可用的代码。同时， Copilot 可能会使其用户不小心违反源项目代码的协议。

文中用 mitsuhiko 之前提及的快速平方根倒数算法举例 [1]，表示 Copilot 会一字不差地输出一段 GPL 协议的代码 [2]，却标明错误的作者和协议。

文末又对此问题提及几个建议，包括允许用户将自己的代码 opt-out 出 Copilot 的模型训练素材、通知 Copilot 用户遵守源代码的协议，以及从训练素材中完全移除 Copyleft 代码等。

1. https://twitter.com/mitsuhiko/status/1410886329924194309
2. gh:Id-Software/Quake-III-Arena@dbe4ddb1/code/game/q_math.c (L552)

https://drewdevault.com/2022/06/23/Copilot-GPL-washing.html
seealso: HackerNews:31848433

seealso: /2908

#Copilot #License

Telegram 原文