最新

这是给美国用户的一个公共服务公告，因为税季即将来临，有些人可能会使用 H&R Block Business 2025。我发现该软件会在您的本地计算机的受信任根证书存储中安装一个名为“WK ATX ServerHost 2024”（有效期至2049年）的根证书颁发机构（CA）。他们还在一个 DLL 文件中包含了该证书的私钥。这个证书并没有在任何地方标识为“H&R Block”，而且在您卸载软件时不会被自动删除。 我已经成功地在同一网络上的全新虚拟机上使用这个根 CA 和 mitmproxy 通过 DNS 欺骗攻击来操控 TLS 流量。演示视频链接：https://www.youtube.com/watch?v=5paxvYkz1QE 要测试您的机器是否存在漏洞，请访问此页面：https://hrbackdoor.yifanlu.com。如果您的浏览器没有发出任何警告或错误信息，那么您已经安装了后门。如果您的浏览器确实发出警告，您仍然可以选择访问该页面以获取有关漏洞的更多详细信息。 这是疏忽还是一个“真正”的后门？很难判断，既然私钥已经泄露，任何人都可以使用它，因此这个问题的意义就不大了。他们没有合理的理由在不同的名称下安装一个通配符根 CA。当我联系他们时，他们的声明中提到“通过内部安全评估发现了类似的问题”，这意味着他们知道这个问题但尚未修复。在这一点上，我不会信任 H&R Block 的软件。 如果您没有受到影响，恭喜您。请将此帖子视为审计您受信任根 CA 存储的提醒。

似乎每个人都有一个项目或待办事项，借助大型语言模型（LLMs）终于得以实现。我的目标是学习如何用C语言编程。我很好奇大家是如何利用LLMs来实现类似目标的。你是在目标语言中进行项目开发，并让LLM在过程中为你解释相关内容吗？还是在编写小段代码时，请LLM解释为什么某种做法比另一种更合适？如果你是用它来学习全新的编程概念，比如函数式编程模式，那又会怎样呢？