https://github.com/keybase/kbpgp/blob/master/src/basex.iced#L41 发现 Keybase.io 用BigInt实现了一个
https://bitwiseshiftleft.github.io/sjcl/doc/index.html #js #security
https://tttttt.me/dsuse/18248 当年AI抄算法还挺厉害的，打破了许多护城河
我这个对 ZeroMQ z85 还有bug，找AI修还是不够正确啊！

一个设计者就是这样推倒、再来、再推导、再来…… 😓 #life #statement

幸好，这是最后几朵乌云了， 只需要解决RPC的基本规范， HOLP的整个强类型IO体系就可以移植给java那些能丰富简历的平台了，
这个优雅到能放在README上的算法，肯定是能吊打JavaKt一众「魔法版」序列化库（至少 Fastjson https://tttttt.me/dsuse/20186 😅😅😅）

当然，HOLP 被设计为「语言之中的语言」。它本身有自己类似yaml+bash的语法，独立于电脑而存在，却又能联合OOP+FP+SQL的代码范式。 只不过依我的元编程写法，Trim*这些技巧仿佛背后并不存在一个体系……
如果以后您能见到一些漂亮的语法，那大概是HOLPful的节选和变体

-user {-id "Amy" -age 20}
-vs {.id="Amy", .age=20, }
pass user
  if u.age>18 {}
  or u.age>10 {}
  or u.age<0 not {} --or{NO}

class {
  -Pair(A,B){}
  -Tri(A,B,C){}
}
-tbl Tri{
  1,2,3,
  'a','b','c',
  {-[]Pair{666,233}}
}
tbl [3]A pairs [1]B==233
tbl [2]C=='c'

-f(x,) {x+1}
pass fsql"SELECT 1, 2" for(2,) { A+B } -- bash式参数!

我总是在闭关，看起来很闲，但做的就是这样的工作。 七年的积攒，只能是为了开创性的工作。

如果我家人稍微不粉红那么一点，我就不需要急功近利，可以耐心归纳，代码质量想必能突破一个个「单一用途」的桎梏。
其实他们才是最不爱国的，和某公子一样，只爱自己赢。

#security #java https://terenceli.github.io/技术/2022/01/30/java-dynamic-proxy-and-annotation

#security #ruby tcpdump https://ruby-china.org/topics/43886
https_instrument 还只是一个玩具，我只测试了一个最简单的例子。对我来说，写这样的工具是一件很有趣的事情。 许多公司的开发机，没有 root 权限，它毕竟也不是科技公司。。。

相比 eBPF ecapture，这种方法除了不用 root 权限外，开发起来也更容易，不需要额外的支持，但 eBPF 是单独的内存空间，操作复杂的 Go 数据结构就极其困难，比如 hash map。

可以用 LD_PRELOAD 替换动态连结库的方法，相应代码。我之前的文章也有相关的介绍。
用 Ruby 构造请求，并用 stack profiling tool 查看请求了哪些方法，从而缩小范围。我用的是 https://github.com/yfractal/sdb

static int Real__SSL_read (void *ssl, void *buf, int num) { return SSL_read (ssl, buf, num); }
extern int __interpose_SSL_read (void *ssl, void *buf, int num);

LD_PRELOAD，虽然可以 instrument openssl，但没法改程序本身的代码。理论上，通过改 binary，比如在相应的地址插入 int3，生成新的 bianry，应该可以达到类似的效果，或者直接在编译的时候做相应操作，再或者改 ELF。
相比 eBPF ，个人更喜欢 function Interposing 这种方法

#life #经济🌚 前几天兑了10刀的 $USDT ，这玩意币值是拿全球币圈赌狗兜底的，币圈存现、提现都要靠U，最大的风险是咋用毛币买到手 (国内外能用的就榜一榜二都要人脸ID，我不想提名字，还有 kraken.com ，通者自通权衡要不要)。

之后各种渠道的手续费和风控额度都还能接受， 虽然买了U在国内就只能靠虚拟VISA（较难申请）消费了，否则有收到黑资或被断卡行动的风险，但国内当下是现金为王：银行利息比U质押还低，支付宝也被公司合营了， 余额宝那种活期「养基场」又赚利差

工资我打算都存成U的形式了，比现金好管理一些，只要币值不崩，可以自由选择存成字节放冷钱包(Withdraw Crypto/spot) 或[借出/质押steak]，逢年过节也可以取5%当当赌狗。
当然，也只有墙内留的够花能这么玩，中国方面明面上一直有政策风险，全U资产会有流动性难题，尤其是财政的铁饭碗不稳定时。 一旦金圆券历史重演，藏金条都可能被人搜身不是？
当然，看懂王与老共的关系挺好，持有CNY现金两三年内也没啥风险了， 但存银行你就等着被封控吧，虽然工商和邮政暂时还不缺钱，但封控几时是讲逻辑的？

不过 @wallet 的提现费超级高(1刀1笔 😨)，买点云服务都不合适， 转到tg的TON空间，又降到5%了，一般平台(BSC?)是0.05%的， 不是太懂。
TON.org 没有公示提现税费，好像通过TRX(TRC20)波场数据库转账一些平台也会加钱， 但同链转账（包括冷钱包）全都是免费，看你信任哪条了， 免费转账有的是大公司数据库，不通过P2P网络账本。
#learn:（其实，跨链转账都是按单价不分成，交易所负责担保的法币fiat CtoC买卖，佣金另算）

总之，Web3对国内环境并不用户友好，但tg在钱包方面比支付宝流畅的多，不过即便要买 #tg VIP/Stars打赏 的话也要到 https://fragment.com/ 验证身份，国外反洗钱的要求严，这也是为了付U能得到商家的接受。

我把 @wallet 剩下的4.3U分给仨最近contact了，就当是买保时捷的优惠券。 大家切记tg上要收款 $Usdt 时，千万要用TON空间(概念类似小荷包)，千万要记住恢复邮箱或密语 😅

ps. #security 用了TON空间的 Telegram 钱包也属于托管钱包，但凡「电脑和邮箱被盗」、丢失SIM卡、收账被风控延缓 🤔、冻结，则无论如何都无法恢复该钱包。相比之下，@Tonkeeper 属于开源端到端钱包(non-custodial)，支持人民币汇率，支持TON网络所支持的 $USDT 冷钱包。可以通过24密语/私钥文件恢复，在手机Chrome上创建，更保险。 美中不足的是，ServiceWorker 离线版是apk安装，没有能防供应链攻击的PWA

ps. 应该是有对方实名才能收钱，没打开过 @wallet app 的话你连转账UI都打不开，回头我买成 ⭐️ 发给 @LetITFlyW https://tttttt.me/hyi0618 就好了。 只需要买给自己然后 Settings>Send Gift (NFT) ，至少 @tonvpn_bot 能用star支付
在 https://wallet.tonkeeper.com/browser 可以购买VPN,GPT服务 (tonvpn基于SS,hkbn.net 测上传速度可以, 其他性能不如卖流量包的一口价机场, GPT也不支持API调用，都很垃圾..)

https://jia.je/software/2024/02/18/write-a-linker-1 GNU ld.so 做了什么？

https://tttttt.me/hyi0618/4303 #tool #security
nmhok, 动态替换一个函数来注入.so可执行，基于 -fPIC PLT导入表

其实都不如 frida.re ，不过在我看来，那玩意还不如ctypes有用😓 strace;ltrace 的功能都很难模拟出来何谈 Xposed 的强大

#tool #security 浏览器插件&PWA https://abracadabra-demo.pages.dev/

感谢 SheepCHef 大佬用js-Wasm开发的 魔曰

>求鹂以游月，空必指冰开画，况心褔勤赴，天曰，何高之任，称礼以达光。

算法输入： 明文(密码123) -> 压缩 -> AES-256-CTR -> Base64 -> 三重转轮(DES)/ 映射汉字 -> 密文

可生成高仿真文言文，参考康熙二十三年《古文观止》真实语料。
与传统方案一致的高强度加密，更复杂的组句/语法选择机制，更先进的消息隐写。
将链接和短文本隐写在似是而非的文言文中，骗过所有传统检测，甚至大语言模型(结果因模型而异)。

🤔和许多web3钱包的恢复密钥原理差不多，但尊重语法、输出随机1对多，能当做隐水印，可以用于发送不过审长文。 直播彩六

--
base3k: 以最常用的 3000 个汉字为密本，对应大小写拉丁字母，阿拉伯数字和部分符号进行映射。
凯撒密码 如rot3 是最简单的加密技术，通过将明文中的每个字母按照字母表顺序向左或向右移动3形成密文。 HELLO - KHOOR
三重转轮 加密（Triple DES）是一种对称加密算法，通过三次方DES加密reduce()过程，将原本56位的DES密钥长度提高到168比特。 DES是一种对输入进行乱序和子密钥加密的复杂对等密码

--
那个三重转轮是个仿古典密码的混淆，不是DES。
传统模式，如果输入的是密文，点击按钮自动解密，如果是明文，点击按钮自动加密。这时强制加密/解密，请使用下方的三个开关。
去除标志可以去除加密“标志位”，不过这样需要强制解密。

#经济 #security https://senlonlee.substack.com/p/bybit51eth

ps. 这几个月bb变成不需要护照也能开卡了
https://www.xiaoc.ee/?p=1259
https://www.techxiaofei.com/post/crypto/bybit/

#web #security #js 前端打架
pg 大哥写了个总结！
https://mp.weixin.qq.com/s/1jjBMe525CtDaq1XrDztHQ

事的起因很简单：Next.js 出了个非常幽默的高危漏洞，一旦被利用，就相当于给小偷留了后门，直接绕过登录做想做的事。Vercel 作为 Next.js 的金主爸爸，刚被推上“欠解释、缺修复”的风口浪尖，Cloudflare 这边就先拿出补丁，摆出一副“我先替你们收拾烂摊子”的姿态。

还在 X 上抛出几句酸溜溜的嘲讽。就像一个隔壁大哥突然跑到你家门口说：“房顶漏了，我给你搭好防水布啦。对了，你们家装修可真够脆弱的嘛。” 这搁谁家听了，不恼也难。

https://fixupx.com/landiantech/status/1905097195059335372 #tg #security 开盒？

#经济 #security 警惕 #AI 冒用KOL DeepFake
YouTu.be/J8qDZGouJXY

#cs #dalao 好优秀的少年啊。
https://github.com/silver-ymz/resume 尹铭卓 西安交通大学 计算机科学与技计

算机系统导论(97) 形式语言与编译(93) 操作系统(90) 计算机网络(89) \
线性代数与解析几何(95) 离散数学(94) 优化方法基础(91) 概率统计与随机过程(89)

- riscv c子集编译器
- 一个提供*向量相似性*搜索功能的 Postgresql 插件.
- opendal S3框架
- #security CPU prefetch测信道攻击 https://tttttt.me/LIF_Groups/2387679

$USDT #security 幽默： 前端把「请你转账」「请你授权信用卡额度」的按钮改成「白嫖空投」
b23.tv/BV1xbiqYLECJ

国内无数人不看钱包的提醒，中招…… 😒😒😒
去年年底DEXx 跑路，我也不知道是去了个啥中心化
YouTu.be/N39MvuPTs7M 他们究竟是为什么上推特啊，还有那些「吃客损」的逆天KOL
https://www.youtube.com/watch?v=658RFkbKboM （出金被骗10万，别相信交易所U商推荐，1.3万usdt无法提现，silk速科垃圾交易所，非小号排名28速科交易所貔貅交易所
https://coinmarketcap.com/community/zh/articles/67ebc27d8ea654515c054df0/ Hyperliquid用户此刻盯着屏幕，终于明白他们的"革命性DEX"可能只是SBF高烧梦呓的文档优化版。

炒狗币 UniSwap 和 PancakeSwap 是不好用吗？CMC认证
我不玩meme和杠杆，但是对冒名顶替的DEX还是要🔨

听说爆雷的债权人还去报警，就知道他们为啥受灾了…… 信息的呕吐物、没有背书的贪多，中国教育果然可怕😱

#security #看空 #news https://longportapp.cn/news/240421721

5 月 15 日訊，美國加密貨幣交易所 Coinbase(COIN.O) 週四表示，公司被黑客竊取了客户數據，黑客索要 2000 萬美元以防止公開披露。Coinbase 稱黑客的要求是在週一提出的。公司在聲明中稱，黑客的目標是收集一份可以聯繫的客户名單，同時假裝是 Coinbase，欺騙客户交出加密貨幣，公司拒絕了黑客 2000 萬美元的勒索。Coinbase 還表示，它將賠償被騙向攻擊者匯款的客户，賠償金額可能在 1.8 億至 4 億美元之間。Coinbase(COIN.O) 盤中下跌 5%。


金十數據 5 月 17 日訊，據知情人士透露，幣安和 Kraken 等主要加密交易所都遭到了 Coinbase 最近披露的同類型的黑客攻擊。

幣安發現詐騙者向其客服人員提供賄賂，並提供了一個可以聯繫罪犯的 Telegram 賬號。

幣安使用人工智能識別不同語言的潛在賄賂行為，並阻止對話。許多交易所也只允許客服代表在客户主動撥打電話時訪問客户信息。

#tg #security @transparency
5.24 正常聊天记录可以被法院披露，但会留下查询记录✍️

#news #security 盒 #tg 再次上大分

https://tttttt.me/getoutforchina/149104

规模最大的数据集包含超过8.05亿条记录，名为“wechatid_db”😁

第二大数据库“地址数据库”拥有超过7.8亿条记录，包含带有地理标识符的住宅数据。第三大数据库简称为“银行”，拥有超过6.3亿条金融数据记录，包括支付卡号、出生日期、姓名和电话号码。

中国超40亿条用户记录的数据库泄露，疑似用于全民画像

该数据库包含众多集合，记录数量从50万条到8亿多条不等，来源广泛

#tool #security https://deltazefiro.github.io/Amarok-doc/intro.html
https://github.com/deltazefiro/Amarok-Hider/releases/download/v0.9.3/Amarok-v0.9.3.apk

一个破坏文件头，来实现防搜索（伪加密）的秒速文件夹加密应用。
用户体验超级棒， 算法只有两行 ，但是日用非常有效！

ps. 如果你有几千个文件需要hide，就只能用 .nomedia 模式了，不然死慢…… 应该给解密按钮加个单选文件夹功能

Abra.js.org
https://abracadabra.js.org/document/bench.html #security #china
https://abracadabra.js.org/document/FAQ.html

可以看到， 「魔曰」 文言文内容混淆的抗检测能力已经完全能在墙内使用 (还能用于压缩0x地址) 👍 真大佬，感觉和cloudwindy是一个殿堂级的了

那问题落在了密钥协商上面。 如果是朋友/私群间的QQ聊天，我觉得可以用彼此真正在用的手机号/@唯一网名 ，这样，对方导入个通讯录，就能在所有平台看穿你的消息，避免了每次手动加解密，比 KeyBase.io 快捷

如果是公开，也没必要用默认密钥，可以靠 PoW (CPU工时证明)。 消息分为明文、密文两部分，由用户选取密文/or 最后一行为密文
那么， 密码= scryptN(2**21, msg.replace(密文,''))

import scrypt
scrypt.hash("text", "abra.js", N=2**21, r=8,p=1) 

#https://www.jsdelivr.com/package/npm/scrypt-pbkdf 慢一点
let { scrypt } = await import('https://esm.run/scrypt-pbkdf'); alert(await scrypt("text", "abra.js", 64, {N:2**20, r:8,p:1})) 

在最新A17 iPhone上这需要2s，这样可以保证所有人都可读，但是即便AI能识别，逐个审查也非常困难。
之前我说用剪贴板管理器hook+A11y/WebShare服务做加密收发信， 最后还是鸽了…… 希望以后躺平下来去做吧