一周热榜

上周五下午，我们的Discord服务器上一位成员报告了一封指向假登录页面的钓鱼邮件。<p>我们对此进行了调查，由于攻击者的笨拙决策，我们找到了他们的GitHub账户和运营中的Telegram机器人。<p>截图链接： https://imgur.com/a/FTy4mrH<p>有时候，攻击者的无能反而可能成为防御者最好的武器 ¯\_(ツ)_/¯<p>这个钓鱼页面是一个标准的“电子邮件”克隆，属于无品牌和通用服务。经过一些gobuster侦查，我们发现该网站的.git目录是公开可访问的，并列出了其内容。<p>检查请求时，我们还获得了第一个Telegram机器人令牌。这就相当于把整个操作的蓝图，包括过去的版本和已删除的文件，放在前院上。<p>我们拉取了该代码库，发现了自动部署和多个带有不同硬编码Telegram机器人令牌和聊天ID的假页面。<p>凭借源代码、代码库和活跃的Telegram机器人令牌，我们提交了详细的滥用报告：<p>- GitHub：我们报告了包含钓鱼工具包源代码的代码库，因违反服务条款而被下架。<p>- Telegram：我们报告了使用提供的令牌和聊天ID的机器人，导致其被移除。<p>- 主机提供商：我们报告了恶意网站，并使其下线。<p>教训是什么？绝不要将.git文件夹部署到生产环境中。即使你是个罪犯。<p>致谢：这是BeyondMachines Discord社区成员的协作努力。众包的速度和合作帮助我们迅速处理了此事。

你好，我正在尝试弄清楚是否可以通过命令行在 JetBrains Rider 调试器中以调试模式启动 .net 项目。我看到的信息非常混乱，有人知道吗？

嗨，HN！<p>我开发了ChronoGuard，这是一个开源的零信任代理，提供网络强制授权用于浏览器自动化。<p>## 问题<p>如果您在大规模运行Playwright、Puppeteer或Selenium代理（CI/CD、K8s、虚拟机集群），您将面临两个挑战：<p><pre><code> 1. **访问控制**：如何确保代理仅访问经过批准的域名？ 2. **审计性**：如何证明您的自动化在何时何地访问了外部资源？ </code></pre> 传统方法（SDK限制、代码审查、监控）容易被绕过或缺乏时间证明。审计员和合规团队希望获得加密可验证、不可篡改的日志。<p>## 解决方案<p>ChronoGuard是一个强制性的前向代理，位于您的代理与互联网之间。每个请求都经过以下流程：<p><pre><code> 代理 → Envoy (mTLS) → OPA (策略检查) → 目标域名 ↓ 不可变审计日志（哈希链，时间序列） </code></pre> *关键特性：* - mTLS身份验证用于代理身份验证 - 带有时间窗口限制的域名白名单/黑名单 - 用于审计日志完整性的加密哈希链 - OPA集成以实现代码即策略 - 多租户隔离 - 96%以上的测试覆盖率<p>## 立即尝试<p>无需设置 - 只需点击： [![在Codespaces中打开](<a href="https://github.com/codespaces/badge.svg" rel="nofollow">https://github.com/codespaces/badge.svg</a>)](<a href="https://codespaces.new/j-raghavan/ChronoGuard?quickstart=1" rel="nofollow">https://codespaces.new/j-raghavan/ChronoGuard?quickstart=1</a>)<p>或者本地运行： ```bash git clone <a href="https://github.com/j-raghavan/chronoguard" rel="nofollow">https://github.com/j-raghavan/chronoguard</a> cd chronoguard .&#x2F;scripts&#x2F;generate_secrets.sh docker compose up -d ```<p><pre><code> 仪表板： http://localhost:3000 API文档： http://localhost:8000/docs </code></pre> 架构<p>采用领域驱动设计 + 清晰架构构建： - 6个服务：Envoy代理、OPA策略引擎、FastAPI后端、React仪表板、PostgreSQL+TimescaleDB、Redis - 技术栈：Python 3.11+、FastAPI、Envoy、Open Policy Agent、TimescaleDB - 部署：Docker Compose（MVP），Kubernetes就绪（路线图）<p>用例<p><pre><code> - 电子商务竞争情报 - 金融科技市场研究 - 医疗数据操作（符合HIPAA要求） - 具有审计要求的质量保证/测试提供商 - 任何有合规义务的组织运行浏览器代理 </code></pre> 接下来<p><pre><code> 这是v0.1.0的MVP。我希望获得关于以下方面的反馈： - 我未考虑的实际用例 - 与现有自动化堆栈的集成痛点 - 功能优先级（WebSocket流、gRPC、高级速率限制） </code></pre> 贡献<p><pre><code> 该项目遵循严格的质量标准（95%以上的测试覆盖率要求，DRY原则，mypy + ruff）。寻找对以下方面感兴趣的贡献者： - 安全测试和威胁建模 - Kubernetes/Helm部署 - 性能优化 - 客户端SDK（Python、JS、Go） GitHub: https://github.com/j-raghavan/ChronoGuard 许可证：Apache 2.0 </code></pre> 欢迎就架构、设计决策或路线图提出问题！<p>最诚挚的问候！

随着Resend新推出的入站功能，我想构建一个简单的应用程序，用于处理Webhook事件并为多个应用程序转发电子邮件。目前，Resend要求您在每个新应用程序中实现该逻辑。 <p>代码库 - <a href="https://github.com/lsherman98/resendforward" rel="nofollow">https://github.com/lsherman98/resendforward</a></p> <p>在线演示 - <a href="https://resendforward.com" rel="nofollow">https://resendforward.com</a></p> <p>使用React和Pocketbase构建，极其简单，便于自托管。</p>

想知道人工智能工具是否使工程师的工作效率更高，从而拥有更多的空闲时间，还是使他们的工作效率更高，但空闲时间反而更少。