层叠 - The Cascading

Melonbooks 网站宣布于 12/19 起停用 Visa/MasterCard。

- JCB/AMEX 不受影响。
- Melonbooks 实体店计划届时恢复接受 Visa/MasterCard；线上下单用户将可在实体店支付。

melonbooks.co.jp/~

[感谢订户提供此消息。]

#MelonBooks #Visa #MasterCard

有用户称 Apple 个别服务近日曾由于 TLS 证书过期而无法访问。

> 一个月的回旋镖，only Apple can do（笑）

https://t.me/landiansub/10403

thread: /4610

#Apple #TLS #today

记事本现已在 Insider 推出 AI 写作功能 Rewrite。

theverge.com/~

#Notepad #Microsoft #AI

Uptimerobot 向客户发信；2024/12/1 起免费计划只可用于非商业用途。

非营利组织及 Uptimerobot 支持的开源项目不受影响。

https://lowendtalk.com/discussion/198420/

#Uptimerobot

Respawn 宣布基于反作弊原因禁止 Linux（包括 Steam Deck）玩家游玩 Apex Legends。

answers.ea.com/~

#EA #Gaming #Linux

Thunderbird 发布 Android 版，基于 K-9 Mail。

blog.thunderbird.net/~
seealso: HackerNews:41995041

#Thunderbird #K9Mail

Steam 政策：含客户端内核级反作弊套件的游戏需要显式声明。

声明中还包括反作弊套件修改系统的程度，以及卸载游戏时这些修改是否会被清除。

steamcommunity.com/~

#Steam #Anticheat

第 11 届 USTC Hackergame 将自 11/2 中午起开始。

- 比赛期间为 2024/11/2 12:00 至 11/9 12:00 (UTC+8)。
- 和上届一样，本届比赛包含 general、binary、math 及 web 及 AI 五个分类的题目。

- https://hack.lug.ustc.edu.cn/
- lug.ustc.edu.cn/~

#CTF #USTC #Hackergame

Bitwarden 调整协议及代码组织，并称客户端能够仅使用 GPL 或兼容 OSI 协议的代码构建。

gh:bitwarden/clients#11611

[感谢 夜坂雅 提供此消息。]

thread: /4612

#Bitwarden #Opensource

Linus Torvalds 在邮件列表支持此移除贡献者之举动，并批判 thread 中的质疑者。

邮件中 Linus 称质疑者缺乏历史知识、是「俄罗斯喷子」 (Russian trolls) 或「疑似水军」。

phoronix.com/~

seealso: https://t.me/aosc_os/637

thread: /4615

#Linux #RU #US

Greg K-H 从 kernel 维护者列表中移除数位与俄罗斯相关的维护者。

lore.kernel.org/~

- patch 解释称这是由于「合规性要求」。
- 被移除维护者的主要共通点是大多使用 .ru 后缀的邮箱。
- 关于此维护者列表的作用及此 patch 对 kernel 开发的影响，请参见 [seealso]。

seealso: https://t.me/CE_Observe/36223

#Linux #RU #US

Ubuntu 20 周年。

https://ubuntu.com/20years

#Ubuntu

Automattic 向在与 WPEngine 的争执中不支持公司的员工提供辞职补偿；159+ 员工选择辞职。

- Automattic 约有 1700 名左右员工。
- 辞职补偿起初为 $30k 和 6 个月工资的高者，后又提升至 9 个月工资；接收补偿者将不会被 Automattic 重新雇佣，亦被禁止参与 Wordpress 开源项目。

techcrunch.com/~

thread: /4607

#Wordpress #Automattic #WPEngine

Bitwarden 桌面版 2024.10.0 引入非 FOSS 协议组件；手机端则早已包含此类组件。

- https://github.com/bitwarden/clients/issues/11611
- https://gitlab.com/fdroid/fdroiddata/-/merge_requests/15353#note_1995132756

[感谢 夜坂雅 提供此消息。]

#Bitwarden #Opensource

[旧闻] Winamp 开源，招致开源协议争议后又删库。

- Winamp 在五月宣布将在九月发布源代码 [1]。
- Winamp 发布源代码使用的协议是 Winamp Collaborative License。协议的 1.0 版本禁止 fork 软件。GitHub 用户指责此协议违反 GitHub 条款。
- Winamp 后又更新协议，允许 fork 但禁止分发修改版，再之后 repo 被删除。

theregister.com/~

1. about.winamp.com/~

[感谢 夜坂雅 提供此消息。]

#Winamp #Opensource

Apple 提议在最晚 2027 年末将 TLS 证书有效期从 398 日降为 45 日。

PR 发布者 Clint Wilson 为 Apple 在 CA/B 论坛的代表。

https://github.com/cabforum/servercert/pull/553

#CABForum #TLS #Apple

FTC 将发布 "Click-to-Cancel" 政策，限制 Adobe 等商家将退订行为复杂化以阻止用户取消订阅的行为。

- 政策的正式名称为 "Negative Option Rule"；政策细节参见 [1]。
- "negative option marketing" 指商家将消费者未拒绝促销或取消订阅作为对付费行为之默认同意的一种行为，例如订阅的自动续订、订阅费用提升的自动确认、或者从试用到付费订阅的自动转换等。 [2]
- 大部分政策将在正式发布至 Federal Register 的 180 天后生效。
- 政策内容包括要求线上退订途径便于寻找、退订行为的简便性需要至少达到订阅行为的程度（而不是 Adobe 那样 [3]），以及线上退订途径须不必与虚拟或真人客服沟通（而不是 New York Times 那样 [4]）等。

ftc.gov/~
seealso: HackerNews:41858665

thread: /4548

1. ftc.gov/~
2. ftc.gov/~
3. /3382
4. imgur.com/~

linksrc: blog.gslin.org/~

#FTC #Adobe #Customer

Twitter 更新使用条款；新条款明确写明用户允许其使用 UGC 训练 AI 模型。

新条款将于 11/15 生效。

https://x.com/en/tos

#Twitter #AI

WordPress.org (Automattic) 和 WP Engine 的持续争执。

WordPress(.org) 是一套开源博客系统；WP Engine 是一个 WordPress 托管平台。 WordPress.org 创始人亦创立了 Automattic 公司，后者运营 WordPress 托管服务 WordPress.com 等。

techcrunch.com/~

WordPress 方面：
- 九月，WordPress 称 WP Engine 禁用内容版本系统是为了节省托管成本，而非系统存在问题。
- WordPress 称 WP Engine 需要商标许可；由于 WP Engine 提起的诉讼，WordPress 将禁止 WP Engine 用户访问其插件/主题库。晚些时候 WordPress 短暂解除禁制，称提供 WP Engine 时间「建立镜像」以不再无偿享受 WordPress 的服务。
- WordPress.org 用户登录页现在要求用户确认自己与 WP Engine 无关。

一篇讲述 WP Engine 立场的文章：
- 七月，Automattic 向 WP Engine 索要 8% 收入作为许可费用，但 WP Engine 并不需要这样的许可。
- 九月，WP Engine 的律师向 Automattic 发送 Cease & Desist 函要求其停止发表关于 WP Engine 的不实言论及影响 WP Engine 及其员工/客户的关系。
- 文章称 Matt （WordPress 创始人、Automattic CEO）认为 WP Engine 虚构自己被 WordPress 官方背书及 WP Engine 向 WordPress 项目回馈不足的论点都是错误的。
- 文章认为 Matt 不应干涉 WP Engine 禁用内容版本系统的行为，将 WP Engine 称作 WordPress 缩水版的说法是无稽之谈。
- 文章标题表达了一切：「若要 WordPress 活，Matt 必须走」。

#Wordpress #Automattic #WPEngine

Asahi Linux 现已提供 Vulkan 等支持，用户可以安装 Steam 并进行游戏。

公告中提到的体验良好的测试游戏包括《控制》、《空洞骑士》、《传送门 2》等。

https://asahilinux.org/2024/10/aaa-gaming-on-asahi-linux/

#AsahiLinux #Gaming

Twitter 强行回收 @America 用于 Elon Musk 的政治宣传。

- 这不是 Elon Musk 时代的 Twitter 第一次强行回收 ID；上次被强行回收的 ID 是 @X 及 @xAI 。 [thread]
- Elon Musk 在自己的账号描述中写道，「查看 @America 以了解我为什么支持特朗普竞选总统」

axios.com/~

thread: /4272

#Twitter

Google 垄断争议：DOJ 正寻求剥离 Chrome、Android 或 Google Play 等。

Google 发文称 [1] 此举将威胁用户隐私及安全性、戕害美国创新，以及损害生产者和消费者的利益。

theverge.com/~

1. blog.google.com/~

thread: /4578

#Google #DOJ

#PSA: 请立即升级 - Firefox 远程代码执行漏洞。

请升级至 Firefox 131.0.2、Firefox ESR 128.3.1 或 Firefox ESR 115.16.1。

mozilla.org/~

CVE: CVE-2024-9680
CVSS: (Critical)

#Firefox

英国移交查戈斯群岛主权至毛里求斯，ccTLD .io 或将被废弃。

- io 是 ISO 分配给英属印度洋领地 (British Indian Ocean Territory, BIOT) 的国家编码； .io 亦被分配为此地区的 ccTLD。
- 由于 IO 在计算机概念中的重要性 (Input/Output)，.io 域名被大量科技类企业及站点所使用。
- 在 .su (前苏联) 和 .yu (南斯拉夫) 的废弃乱象后，IANA 出台了更严格的 ccTLD 废弃流程，而这套流程即将适用于 .io [1]。

theverge.com/~

1. every.to/~

#io #ccTLD

由朝夕光年运营的《初音未来：缤纷舞台》宣布开放预约。

App Store 显示 [1]，游戏预计于 2025/3/27 上线。

- https://pjsk.nvsgames.cn/
- https://pjsk.biligame.com/cywl
- https://www.bilibili.com/video/av113084341489532/

1. https://apps.apple.com/cn/app/_/id1554443522

linksrc: https://t.me/yingyoushadiao/11871

#Nuverse #ProjectSekai

Cloudflare 推出 security.txt 生成器。

security.txt 是一个用于标示网站安全政策的标准 (RFC9116)。

https://blog.cloudflare.com/security-txt/

1. https://securitytxt.org/

#Cloudflare #Securitytxt

Unix 打印套件 CUPS 存在任意代码执行漏洞。虽然目前尚无修复版本发布，但各大发行版大多已发布打了修正补丁的版本。

建议用户参考 [1] 在自己的设备上检查 cups-browsed system 服务是否运行；如果正在运行的话，将其停止并禁用。

- 文章作者建议立即从计算机移除 CUPS 套件。
- 作者还提到，由于 CUPS 项目消极应对此严重漏洞的报告，作者不得已将其公开。
- 作者还提到，其报告的漏洞信息在另外的站点被泄露，说明 CERT 内部人士可能已被渗透。

CVE: CVE-2024-{47076,47175,47176,47177}

evilsocket.net/~

1. redhat.com/~

EDIT 9/30: 添加关于发行版修复和 systemd 服务检查的信息。感谢订户提出。

#CVE #CUPS

Telegram 修改政策，称将会向执法部门应要求公开用户手机号码及 IP 地址。

https://t.me/durov/345

#Telegram #Privacy

[已修复] 研究者发现在已知 Arc 用户 ID 后，可以利用 Arc Boosts 功能在用户访问网站时执行任意代码。

研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息，也违反 Arc 浏览器的隐私政策。

https://kibty.town/blog/arc/

CVE: CVE-2024-45489

#Arc #Security