谷歌身份验证器现在可以将 2FA 代码同步到云端

谷歌身份验证器现在可以将 2FA 代码同步到云端 Google Authenticator刚刚获得更新，对于经常使用该服务登录应用程序和网站的人来说应该会更有用。 从今天开始，Google Authenticator 现在会将其生成的任何一次性双因素身份验证 (2FA) 代码同步到用户的 Google 帐户。以前，一次性身份验证器代码存储在本地的单个设备上，这意味着丢失该设备通常意味着无法登录使用身份验证器的 2FA 设置的任何服务。 要利用新的同步功能，只需更新 Authenticator 应用程序即可。如果您在 Google 身份验证器中登录了 Google 帐户，您的代码将自动备份并在您使用的任何新设备上恢复。即使您没有登录 Google 帐户，您也可以按照此支持页面上的步骤手动将代码传输到另一台设备。 警告：由于此前谷歌身份验证器更新会造成验证代码无法被正确验证，此次更新是否解决了这个问题编辑未进行确认，请谨慎更新。

密码管理器 1Password 宣布引入恢复代码

密码管理器 1Password 宣布引入恢复代码 密码管理工具 1Password 今日宣布推出恢复代码，即使忘记账户密码或丢失密钥，通过使用新引入的恢复代码，也可以恢复对账户的访问。恢复代码是由应用或网站生成的唯一且安全的代码，作为重新获得帐户访问权限的备份。恢复代码需要提前生成，可以通过 1Password 应用的账户管理来生成恢复代码。

GoDaddy 源代码失窃服务器被安装恶意程序

GoDaddy 源代码失窃服务器被安装恶意程序 Web 托管巨头 GoDaddy 证实它遭到了持续多年的入侵，源代码失窃服务器也被安装恶意程序。GoDaddy 是在去年 12 月初收到客户报告其网站被重定向到随机域名后发现未知攻击者入侵了它的 cPanel 共享托管环境。它的调查显示攻击者在它的服务器上活跃了多年，近几年披露的多起安全事故都与此相关。黑客在它的服务器上安装了恶意程序，还窃取到部分服务相关的源代码。它在 2021 年 11 月和 2020 年 3 月披露的安全事件都与此相关。其中 2021 年 11 月的事件影响到了它管理的 120 万 WordPress 客户，攻击者利用一个窃取的密码入侵了它的 WordPress 托管环境，窃取到了客户的邮件地址、管理员密码、sFTP 和数据库凭证，以及部分 SSL 私钥。 来源 ， 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

用gpt自建网站（零基础小白实操版）

用gpt自建网站（零基础小白实操版） 最近待业在家，没事可干。 之前看到@哥飞 大大写的「养网站防老」系列文章。于是想尝试下自建站。 本人编程半小白：不会写代码，只知道html、css、javascript分别是什么用的、代码结构，但不知道字段和代码的具体意思。 但在gpt的帮助下，用一个下午就完成了一个自建网站的设计、部署、上线。 网站大概长这样，不复杂，但基本用到了所有前端必备知识，很适合零基础建站。 我把建站详细过程分享出来，纯小白也能够根据步骤实现自己的网站。 一、我是怎么做的/自建站的步骤 主要根据@哥飞 大大提供的教程，针对性做了简化，更适合小白人群。教程地址： 1. 确定想要做什么样的网站【必要】 网站的主题、满足了什么样的用户需求、希望放置什么样的内容。 2. 分析需求可行性【可选】 利用similarweb、aizhan、semrush等网站分析「类似主题站点的关键词+自然流量（搜索导流的日访问量）+SEO难度（即搜索量增长难度）」，验证这个网站ROI是正的，值得做，会有人用。 3. 网站设计和写代码【必要】 - 1）画出网站页面的原型草图【可选】 - 2）使用gpt生成代码，用代码实现草图，在本地浏览器上展示网站【必要】。简单版只需要3个步骤（prompt已在图里给出） ①描述你的原型草图，让gpt生成html代码 ②在本地新建一个txt文件，将html代码复制进去，另存为html后缀 ③用浏览器（如chrome等）打开html，查看你的网站实际的样子。到这一步，恭喜你，你的网站就已经设计好了 复杂版就再加上css、javascript代码，优化样式功能，这里就不展开了，详见飞书文档： 4. 联网，让其他用户可以根据url访问你的网站【必要】 直接参考@哥飞的养网站防老教程第7步。联网比网站设计复杂，因为共使用了4家的产品，可以根据教程一步步搞。 - 1）注册域名，即网站url（我用的阿里云，需付费，￥100内/年） - 2）域名解析，用cloudflare解析DNS服务器地址（支持域名访问网站）

任天堂闪击GitHub 一夜删光8000多个模拟器代码仓库

任天堂闪击GitHub 一夜删光8000多个模拟器代码仓库 访问：Saily - 使用eSIM实现手机全球数据漫游 安全可靠 源自NordVPN GitHub这边也作出了回应。开发者有时间可对侵权内容进行删除或更改。此外，GitHub还为开发者提供关于如何提交DMCA（美国的一部版权法）反通知的法律资源和指导。此事一出，网友们也是炸开了锅，支持任天堂、支持Yuzu的声音都有。有网友提议，都别吵：我们用钱包投票吧！还有网友起猛了以为是删除所有任天堂模拟器：幸好只是和Yuzu相关的。“举报内容必须删除”目前，再次打开Yuzu相关仓库，已是仓库被禁用的大状态。下面还注明了：如果你是该仓库的所有者，并且认为该仓库是因错误或误认而被禁用的，你有权提交反通知以恢复仓库。以下是任天堂负责该事件的代理人与GitHub方的部分交谈内容。Q：请提供涉嫌被侵权的原始版权作品的详细说明。如果可能，请提供在线发布位置的URL。A：任天堂Switch游戏机和电子游戏包含技术保护措施（TPMs），使任天堂Switch游戏机只能与正版任天堂电子游戏文件互动。此过程可以保护任天堂享有版权的电子游戏，包括但不限于美国版权注册号PA0002213509（超级马里奥制造2）、PA0002233840（集合啦！动物森友会）、PA0002213908（路易吉洋馆3）和PA0002028142（塞尔达传说：荒野之息）。这些措施可以防止用户在任天堂Switch游戏机上玩盗版的任天堂游戏，并阻止用户在未经授权的设备上非法复制和游玩任天堂的游戏。Q：您是否声称对您的受版权保护的内容设置了任何技术措施来控制访问？如果不确定，请查看我们的《反规避技术投诉》。A：是的。Q：您采取了哪些技术措施，它们是如何有效地控制对您的版权材料的访问的？A：任天堂在Switch游戏机和游戏文件中嵌入了技术保护措施（TPM），包括对游戏文件的加密，需要特定的加密密钥（如 prod.keys）来验证、访问和运行在Switch上的每款游戏。Switch 游戏机支持实体卡带和从任天堂服务器下载的数字游戏，这两种格式都受到任天堂的TPM保护，包括对游戏的加密。在Switch上启动游戏时，游戏会使用任天堂的加密密钥解密和验证，以便玩家可以进行游戏。任天堂拥有或独家控制大量软件和游戏版权，TPM的运行可以防止非法访问和复制。在正常操作过程中，TPM需要根据相关信息和流程在任天堂的授权下访问其版权作品，以有效控制其版权作品的访问和复制。Q：被指控的项目是如何设计来规避您的技术保护措施的？A：报告中的仓库提供了Yuzu模拟器或其代码。Yuzu模拟器主要用于运行任天堂Switch游戏。具体而言，Yuzu非法绕过了任天堂的技术保护措施，运行盗版的任天堂Switch游戏。任天堂Switch游戏使用专有的加密密钥（prod.keys）进行加密，以防止未经授权的访问和复制。在操作中，Yuzu使用这些加密密钥的未经授权副本，在运行时或之前对盗版的Switch游戏或ROM进行解密。Yuzu构成了非法“贩卖主要用于规避技术措施的技术”的行为，违反了DMCA第1201条规定。Q：您是否搜索过涉嫌侵权文件或仓库的任何派生版本？每个派生版本都是独立的仓库，如果您认为它存在侵权行为并希望将其删除，则必须单独标识。A：是的。根据我审查的派生仓库的代表数量，我认为所有或大多数派生仓库的侵权程度与父仓库相同。Q：对于所指称的侵权行为，最佳解决方案是什么？A：举报内容必须删除。Yuzu开发商不久前也被起诉简单介绍下Yuzu。Yuzu于2018年推出，是适用于Windows、Linux和Android的免费开源软件。它可以运行大量受版权保护的Switch游戏，包括热门游戏《塞尔达传说：旷野之息》、《王国之泪》、《超级马里奥：奥德赛》、《超级马里奥：奇观》等。Yuzu虽然在不同游戏中可能会有一些bug，但通常能以比Switch更高的分辨率运行游戏，并提供更好的帧率，只要你的硬件足够强。Reddit上，网友们一度认为Yuzu的性能优于其它Switch模拟器。自然而然，这也引起了任天堂的注意。其实两个月前任天堂刚刚起诉了Yuzu Switch模拟器开发商的Tropic Haze。据engadget消息，短短一周，双方和解。条件是：Tropic Haze赔偿240万美元，且必须永久停止与提供、营销、分发或贩卖Yuzu模拟器或任何类似规避任天堂技术保护措施的软件相关的活动；还需删除模拟器中所有规避装置、工具和任天堂的加密密钥，并交出所有规避装置和修改后的任天堂硬件；甚至必须将模拟器的网络域名交给任天堂。不过，当时大伙儿还讨论Yuzu不太可能完全消失，毕竟在GitHub上整个代码库都能找到。然鹅……没想到对GitHub的出击会来的这么快。参考链接：[1] ... PC版： 手机版：

警告：新型恶意Magisk格机模块开始通过云服务器远程下发代码

警告：新型恶意Magisk格机模块开始通过云服务器远程下发代码 重要等级：需要注意 原理：部分恶意攻击者利用 Magisk 模块的脚本执行功能，在模块中植入后门程序，通过云服务器远程发送指令。该模块在设备运行期间会自动连接服务器，获取最新的远程命令并执行潜在的恶意操作。除了能够格式化用户设备外，该操作还可以通过高权限访问用户设备的敏感信息，如短信内容和通话记录等，并将这些数据上传至远程服务器。攻击者下发的文件可全程在后台静默运行，而许多用户由于对某些平台以及发布者持有较高信任度，默认其他用户分享的模块是安全的，往往在手机或信息被泄露后才察觉问题，危害程度较高。 处理建议： 1. 不要轻信他人发布的模块，即使在熟悉的社区平台上发布的模块也需要保持警惕。 2. 不要刷入来源不明、未经充分验证的模块，以免给设备带来风险。 3. 避免刷入任何连接到远程下载服务器的模块，防止恶意指令通过远程服务器传入。 4. 警惕刷入加密脚本的模块，以防其中包含恶意代码。 注意：这类恶意攻击者通常是未成年人，他们的心智尚未成熟，可能不完全了解自己行为的后果，偶尔还表现出反社会倾向。其攻击行为通常没有明确的目标对象，可能只是出于对技术的好奇或自娱自乐。攻击者可能会从受害者数量的增加中获得满足感。