• fastjson 被曝存在远程代码执行漏洞,等级“高危” • Google Chrome 84 向滥用通知宣战
作者:硬核老王
在 Linus Torvalds 建议之后内核淘汰 80 个字符长度限制
Linux 内核不再严格要求每行代码不超过 80 字符宽的编码风格。Linux 内核和很多历史比较长的开源项目一样,都有编码风格指南,要求每行代码不超过 80 字符(或 80 列)。Linux 作者 Linus Torvalds 上周在内核邮件列表上发表评论,反对一行代码在超过 80 字符后强行换行。而现在大多数人也不再使用 80x25(85 列 25 行)的终端了。当然开发者仍然可坚持每行最长 80 个字符,但是行长不再是硬限制。
来源:solidot
硬核老王点评:确实,还老抱着 80 个字符宽度限制太对不起这么大的显示器了。而且,事实上较长的单行编译代码搜索工具工作。
fastjson 被曝存在远程代码执行漏洞,等级“高危”
近日,阿里巴巴旗下的开源项目 fastjson( <= 1.2.68)被监测到存在新的反序列化远程代码执行漏洞。黑客利用该漏洞,可绕过 autoType 限制,直接远程执行任意命令攻击服务器,风险极大。fastjson 官方建议升级到最新版本 1.2.69 或者更新的 1.2.70 版本。
来源:开源中国
硬核老王点评:fastjson 这种黑白名单的安全模式,总会遇到道高一尺魔高一丈的博弈情况。
Google Chrome 84 向滥用通知宣战
浏览器通知并不总是被用于其主要目的,最终成为推送恶意软件或获取用户隐私信息的工具。Google 称,“滥用通知提示是我们收到的关于 Chrome 浏览器的最多的用户投诉之一。很大比例的通知请求和通知来自于少数滥用网站”。Google 公司计划通过把滥用权限请求和滥用通知的网站列入“更安静的通知 UI”中来对抗滥用。当有网站试图欺骗用户点击特定的通知时,用户将被警告,从 2020 年 7 月 14 日上线的 Chrome 84 开始,用户将被警告。
来源:softpedia
硬核老王点评:本来通知这个功能出现是一种主动触及用户的好方式,但是被少数人滥用之后就非常讨厌了。不过,我倒是觉得,这种事情不用浏览器出手,遇到这种滥用通知的网站,就直接拉黑好了。
继续阅读
阅读原文