mjg59-dreamwidth-org

欧洲自由软件基金会和软件自由保护协会因Eben Moglen的长期虐待行为而终止合作。文章指出容忍虐待行为会排斥不愿忍受虐待的社区成员，强调为施虐者辩护实际上是在维护施虐权利而非自由软件本身。

ACPI（高级配置与电源接口）的出现是为了解决早期APM（高级电源管理）的固有问题。APM依赖不透明的BIOS调用，常导致硬件状态管理混乱和数据损坏。ACPI通过提供硬件抽象层和解释性语言，让操作系统能够管理电源状态而无需了解底层硬件细节，从而显著提高了系统兼容性和稳定性。

GNOME指纹解锁无法自动解锁密钥环，是因为Linux缺乏类似苹果Secure Enclave的安全硬件接口来安全存储解密密钥。指纹识别仅提供验证结果，无法安全关联密钥释放机制，导致应用仍需密码验证。

本文介绍了如何通过SSH主机证书改进密钥管理，提出了证书吊销列表（KRL）分发机制，使密钥轮换对用户透明且更安全。作者已实现相关协议扩展，允许主机在连接时向客户端发送经CA签名的吊销列表，从而在密钥泄露时自动撤销旧证书信任。

作者发现Synology NAS上的库文件缺少ELF节头，但运行时仍能正常工作。通过分析ELF格式的程序头与节头差异，他开发了工具从PT_DYNAMIC程序头重建缺失的节头，使这些库能在编译时被正常链接。

作者在森林小屋中使用VPN绕过运营商视频限速时，发现部分流媒体服务完全无法播放。通过抓包分析，发现是Fastly CDN忽略了ICMP MTU过大报文，导致1500字节数据包无法通过Wireguard VPN传输。最终联系Fastly工程团队修复了该问题。

在Craig Wright自称是比特币创始人中本聪的诉讼中，专家证人一致认为他提供的数字证据不可靠。证据显示MYOB数据库记录和电子邮件都被篡改过时间戳，揭示了在复杂技术链中伪造历史文档的极端困难。

本文探讨了如何利用SSH代理协议的扩展机制，在远程系统和本地客户端之间建立通信通道，实现任意的远程过程调用功能。作者通过实现自定义代理扩展，使远程系统能够获取认证令牌并转发WebAuthn挑战，突破了传统SSH代理的限制。

本文通过分析Feeld约会应用的安全漏洞，揭示了仅依赖客户端过滤私人数据的危险性。研究发现，用户隐藏的偏好、年龄范围甚至已隐藏的个人资料仍可通过API直接访问，暴露了服务器端缺乏有效访问控制的问题。作者强调私人数据必须通过服务器端权限控制来保护，而非依赖客户端不请求这些数据。

SBAT（安全启动高级目标）是UEFI安全启动的扩展机制，通过安全代际管理来批量撤销有漏洞的引导组件。微软最近通过Windows更新推送了SBAT更新，导致一些未及时更新grub安全代际的Linux发行版无法启动，特别是影响了一些双系统用户。

Android 12引入的企业专用ID(ESID)提升了隐私保护，但移除了设备ID证明中的IMEI和序列号信息，导致密钥证明无法与设备身份关联，破坏了企业VPN等场景的设备验证机制。

文章探讨了固件作为软件应具备自由性的必要性，分析了固件对硬件功能和用户自由的影响，并讨论了自由软件基金会相关认证标准在实际应用中的局限性。作者认为虽然自由固件对用户有益，但当前策略可能反而降低了用户对非自由固件的认知。

文章指出，自由软件基金会错误地将TPM视为流媒体平台硬件DRM的核心。实际上，在x86平台上，硬件DRM的实现依赖于GPU而非TPM，因为GPU能够处理实时解密和视频解码，同时确保解密后的数据对操作系统不可见，而TPM则因速度慢且无法与GPU通信而不适合此用途。

Twitter加密私信功能存在严重安全缺陷：密钥分发依赖Twitter服务器，缺乏前向保密性，无法验证密钥真实性，且附件不支持加密。该功能由两名已离职工程师开发，自推出22个月以来未解决任何已知问题。

Twitter新推出的XChat加密消息平台虽然采用了改进的加密架构，但仍存在严重安全缺陷：仅使用4位PIN码保护私钥，易受暴力破解；服务器可进行中间人攻击；缺乏公钥验证机制。作者建议用户继续使用Signal作为更安全的选择。

Twitter的加密私信基础设施存在严重缺陷，但通过将Juicebox密钥材料嵌入客户端并让第三方验证密钥确实在硬件安全模块中生成，可以显著提高安全性。不过，这仍然无法完全解决网页版客户端的安全隐患，作者建议用户直接使用Signal。

作者通过租用廉价VPS并配置WireGuard VPN，解决了家庭网络没有静态IP地址的问题，实现了将多个公网IP地址映射到本地服务器的功能。该方法利用iptables进行端口转发和策略路由，使本地服务器能够通过VPS的公网IP对外提供服务，同时保持连接稳定性。

作者回顾了23年前参与Dasher无障碍文本输入软件开发的经历，这段工作让他深刻体会到无障碍技术对残障人士生活质量的重要影响。虽然后来他的职业方向转向了其他领域，但这段经历让他认识到无障碍开发者是真正的英雄，他们让技术惠及更多人群。

本文探讨了现代企业单点登录面临的挑战，特别是在非Web应用和CLI环境中的局限性。作者指出当前身份提供商缺乏统一的API标准，导致开发者不得不编写脆弱且易碎的代码来解析各种不同的认证流程，呼吁制定标准化的单点登录API规范。

文章澄清了关于微软安全启动证书即将过期的误解，指出证书过期日期实际上不会影响系统启动，因为UEFI固件并不强制执行证书有效期检查。虽然微软将开始使用新证书进行签名，但预计会有过渡期同时使用新旧证书，现有系统可通过更新添加新证书信任，因此用户无需担心系统无法启动。

作者通过pistorm适配器将树莓派连接到Amiga的68000总线，在ARM核心上运行Linux并直接控制Amiga硬件来运行Doom，绕过了传统的68000模拟器。这种方法面临Amiga独特的位平面图形系统和硬件同步等挑战，最终实现了在CDTV上运行Doom的演示。

作者在加州租房时，中介机构试图通过伪造带有附加条款的PDF合同来规避押金返还责任。通过分析PDF元数据、字体引用和在线签名平台的原始文件，作者证明了合同是在签署后被篡改的，揭露了可能的伪造行为。

文章分析了X Chat的端到端加密安全性，指出虽然使用了Juicebox协议和HSM硬件安全模块，但由于缺乏远程认证机制，理论上仍存在被拦截和篡改的风险，无法完全保证消息的私密性。

作者在一起诽谤诉讼中获胜，被告方试图通过IRC上两个账号几乎同时因ping超时断开连接来证明作者参与骚扰活动。技术分析显示，这种"同时"断开实际上可能相隔90秒，且类似情况也出现在被告自己的账号上，该证据缺乏说服力。

作者已不再在此平台发布内容，新的博客地址已更新。建议订阅者更新RSS源以继续获取最新文章。