安全日报（2023.06.29）

安全日报（2023.06.29）

原创

360CERT

三六零CERT

06/29 17:06

阅读数 67

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

LetMeSpy Stalkerware 黑客窃取敏感信息

http://urlqh.cn/n3tyJ

纽约初创公司Venn Software融资 2900 万美元为笔记本电脑技术构建 MDM

http://urlqh.cn/n4Bcf

分析报告：商业电子邮件泄露攻击的现状

http://urlqh.cn/n3keW

NPM注册表存在“清单混淆”安全漏洞

http://urlqh.cn/n2Cmg

Brave 浏览器通过新的本地资源限制增强隐私性

http://urlqh.cn/n5sjx

Akira 勒索软件的 Linux 版本针对 VMware ESxi 服务器

http://urlqh.cn/n1MRl

针对新的 Arcserve UDP 身份验证绕过漏洞的利用已发布

http://urlqh.cn/n4B87

Gentoo Soko 中的关键 SQL 注入漏洞可能导致远程代码执行

http://urlqh.cn/n1IkF

专家警告 5 月和 6 月 8Base 勒索软件攻击将激增

http://urlqh.cn/n3b4Z

电磁故障注入攻击可接管无人机

http://urlqh.cn/n4RVS

特制报告相关说明

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT推出了安全通告特制版报告订阅服务，以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

本文分享自微信公众号 - 三六零CERT（CERT-360）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。

技术粉 2023-12-02 19:42

不要以结果推条件，这是不对的

溪涧顽石 2023-12-01 13:27

你出尔反尔, 违反了mit开源协议. 一条足以

PynixWang 2023-12-02 14:27

反正我不用，所以爱收就收吧。。

我

我是MN 2023-12-01 11:15

要收费早说啊，现在人家都用上了，然后收费，说实话就跟勒索差不多

魔力猫 2023-12-01 09:33

但是这是在违法！不想维护了可以放弃。不能说你觉得免费付出亏了，就可以绑票勒索。你以MIT协议分发，现在自己违反。别扯什么99.99%都是自己写的。项目文档接了别人的pull，哪怕一个字符，人家也有版权！你哪怕后续版本改闭源，最起码也要所有贡献者同意。而且文档收入，人家有资格获得报酬！

木有龙井茶 2023-12-01 09:49

不诚信，违背开源协议，威胁用户。说得再多都是狡辩。

dwcz 2023-12-02 17:51

现有的流水账+注解模式应该下沉了。需要类似马克档的多层书写，成品代码机器生成模式。

peleus 2023-12-02 20:37

吃相真难看

魔力猫 2023-11-30 10:23

如果老版本照旧，新版本文档封闭，这没太大问题。遗留系统，各种烂事多了去了。升级框架要加钱不算啥。可如果把老文档也封了，就等同绑票！而且作者也别吹已经有多少肉票交了赎金。交钱的有多少心里咒你们没点数？如果不是沉默成本太大，谁愿意给这笔钱？！考虑过这个框架但没用的，那是真庆幸自己没被杀猪。以后不是真正大厂支持的项目，敢随便放到公司里面了。像这次的事情，风险没边了！今天封框架文档，明天就可以封部分API，不给钱不能用。MIT协议在眼里不如一张厕纸。如果程序员把框架推荐引入公司项目，结果出了这么一出，尴尬不？接下来怎么办？跟公司说现在要交赎金，遇到苛刻的老板，为这499就让你拍屁股走人，还不给补偿，罪名都是现成的，给公司造成重大损失，499不是钱的事情，而是项目风险不可控。

小xu中年 2023-12-02 18:44

挺好的

渔民小镇 2023-12-01 11:31

说句公道话，软件作者是有权修改的；如果之前的文档也在库里，并且是 MIT 协议的；大家可以放心使用，并且有权公开到互联网中供大家使用，因为这符合 MIT 协议；如果作者明确说明了文档收费并且不使用 MIT 协议了，那么在这之后的文档就不能再以 MIT 协议使用，但在这之前的依旧是 MIT；说白话一点就是，假设之前的文档有 11 篇，那么这 11 篇遵循的是 MIT 协议；如果作者宣布文档不再使用 MIT 协议后，又多加了几个新的文档，或者修改了之前的文档，那么这些新文档将不能随意传播；注意，之前以 MIT 发布的那些文档大家有权使用，并且有权公开，因为这符合 MIT 协议。除了使用外，还能将其商业化，因为这也符合 MIT 协议；也就是说，如果大家有兴趣可以在 MIT 协议的文档上自己维护一份，实时地跟进框架源码来写一份属于自己的文档；在这之上新增、修改的文档版权属于维护者，因为这并没有破坏之前的 MIT 协议。对于收费，如果还有其他做开源的作者，请提前规划好开源协议和发展路线；建议使用 GPL、AGPL 类似的开源协议，这种协议更符合开源精神和GCZY精神；对于想私有化项目的人，可以选择私有化授权。通常来说，一些开源项目如果声称完全免费的，我都不会去关注，除非该项目得到了其他资金的支持；但如果有两个大致相同的开源项目，一个有商业性质，一个完全免费，我会更关注具备商业性质的开源项目。在 git 上有很多长年不更新的开源项目，通常是刚开始有激情，没多久就不再维护了。收费并不一定是坏事，通常免费的才是最贵的。但大多数使用者没有计算时间成本，所以只关心是否免费。大多数白嫖的想法是：你这产品不错、你这框架不错、你这项目不错，应该免费。还有一些江湖侠客给你说各种大道理，让你免费提供劳动力；这些不过是慷他人之慨的白嫖的人，真让他们付出时，结局是真有一头牛。

单一结构 2023-12-02 16:13

使用产品，说明相信产品。甚至开始就相信产品从始至终。但是中途改变了协议，无疑就是背叛。最火的就是unity。看看人家都没了多少人才站稳脚。

iman123 2023-12-01 11:03

我可能一生也写不了这么多“实打实”的代码，有些新建项目使用的 boilerplate/template 代码还没开始写就已经成千上万行了，这些其实不应该计算在内的

mylady 2023-11-30 13:14

这次让他做成了，后面还会有更多的开源钓鱼了。

GF47 2023-12-01 09:26

虽然说开源和商业两条路子各摆一边，但还是有共通点的，就是规则，说话要算数。MIT协议没有规定谁贡献最大谁就可以随便修改策略的。

无法选中 2023-12-01 08:59

MIT 许可证，免费授予任何获得本软件副本和相关文档文件的人不受限制地处置该软件的权利，请问你遵循的是MIT协议么，不是就把许可证换了，改一份中国MIT出来

叨

叨叨颠颠 2023-12-01 09:11

吃相难看，有什么zg引入释迦牟尼，还各种古今句典，凑显摆什么，释迦牟尼布道收你钱了，用别人的句典收你钱了。别再解释，又当又立，君子爱财取之有道。马户马户

dplm30 2023-12-03 06:29

吓得我一夜之间养成了用wget扒站的习惯

osc_73355549 2023-11-30 16:35

主要是收费之前的文章应该免费公开，收费后更新的文章可以加密，这坑人的玩意，之前还推荐同行用。

wuyounyoun 2023-12-02 13:07

有钱人

至尊小宝 2023-12-02 21:39

你有脑子没有，自己去看啊，我专门去看了，人家前10章是免费，并且价格是99，499是一对一服务。你们公司就缺这499，就缺这99吗？你要看文档不是为了赚钱吗？搞不懂你们的脑子。自己看代码解决不了的问题，想看文档还不愿意付费。你是赚钱，别人就不能赚钱？并且，这软件是你写的，你愿意什么协议什么协议，道德绑架啥... .net环境差，首先就因为没有包容性。你那么牛，你别用不行吗？自己解决不行吗？你有权你去部署啊，作者还能拦着你？人家删的是自己空间的东西，你管得着吗？捐给你了吗？你们.net社区就不能见人说句公道话，逮谁咬谁

渔民小镇 2023-12-02 16:34

技术粉 2023-12-01 08:31

典型的开小号来怼人。这个作者人品真差

单一结构 2023-12-02 16:18

注意“允许任何人”。而他是“任意任何给与费用的人”，存在本质区别。别洗了

AdminBj 2023-12-01 14:10

作者，我其实很支持你走一些商业化道路，在知道你开启了vip服务的第一时间我就充了vip。但是严格的将，furion文档之前是跟furion开源库的，而furion库是明确写了MIT协议。你现在把文档从这里面移除进行收费，是非常不明智的行为，此举也违背了MIT协议，，所以才遭到很多人的口诛笔伐！希望慎重，可以从其他方面走一些商业化而不是把之前mit库里的内容移除！

zoujiaqing 2023-12-02 17:17

希望5年后 ZFS 在 FreeBSD 和 Linux 上能通用起来！

潇湘风夜 2023-12-03 02:58

支持变量函数包等命名支持中文，反对关键字支持中文。开了这个头，以后加关键字或语法，还得考虑中文甚至更多语言，带来更多未来的负担。

卡卡西二号 2023-12-02 20:46

硬件需要什么配置

买房也用券 2023-12-01 09:48

如果一开始就收费,别说499,就算49999也没人会说什么;499这个价钱也不是很贵,但是大家反感的是这种"先免费,等用户量起来了,再收割"的这种套路

cielSwift 2023-12-03 03:03

造轮子

Ai东 2023-12-02 19:13

多谢支持

魔力猫 2023-12-01 09:50

作者表示想不通？绑匪觉得绑票拿钱，天经地义，我们更想不通。如果不把你骂死，始作俑者，其无后呼？大家都这么玩，谁还敢用开源？特别是国内开源！你不就是仗着国内绝大多数用户，不愿意花钱跟你打官司么。我要正好是项目技术负责人，脑子昏聩，把你的框架引入了项目，结果现在被绑了，咋办？和老板说，咱们被勒索了？苛刻点的老板，我怕不是马上卷铺盖滚蛋！还不是只能含泪自掏腰包，找你买文档，赎肉票？！作者洋洋得意的三千多文档用户，有多少不是这么来的？！

技术粉 2023-11-30 16:34

https://oscimg.oschina.net/oscnet/up-b182b52fe56f56bb8308410992824b53134.webp

采菇凉的小毛菇 2023-12-02 17:26

跟chat3.5比怎么样呢

依然藏锋 2023-12-01 10:03

都别吵了，.net的兄弟们，有能力，转Rust, Java 它不好吗？要生态有生态，要性能有性能， .net 在国内ZF都明令不用了，现在除了在游戏开发U3d还有点用外，还有啥？不值得你们花时间精力吵来吵去。不过宣称MIT 开源，突然收费这行为只会让人有种被骗的感觉。。。

iro 2023-12-02 15:47

挂得好

Jason909 2023-11-30 18:37

0动弹，0博客，0问答，0关注，0粉丝，0经验值，0开源豆，这位比我们都有钱的大老板在这里发出了他的第一条讨论。

采菇凉的小毛菇 2023-12-02 17:23

可以的，大概率给小朋友用或者没有编程经验人入个门

jungggle 2023-12-02 16:17

spring是博通的呢？

dwcz 2023-12-02 17:34

关键字汉字化是汉化。正真要的是中文化。中文化的主要目的是用中文思维书写代码。现有数学式流水账模式，不利于代码的快速迭代。中文的先整体后局部的体系，本就是一种高效的版本模式。

zzeric 2023-12-03 02:57

建议参加一下TechEmpower的测评，可能流量就起来了。

爱吃生梨 2023-11-30 12:59

按照这个吃相，今后之前免费开源的API，重新包装下来个VIP，不开不让用，老版本用户律师函警告强制升级也是有可能的。

莫黑匪乌 2023-12-02 14:43

这里图十几个广告，文档还收费。可以说作者“吃相难看”吗

osc_73355549 2023-12-01 09:29

之前是声明免费，现在是99，后面++++，谁用谁+++++..是诚信问题，不是收费问题。

muwanqing123 2023-12-02 20:09

我觉得是销售公司

木有龙井茶 2023-12-01 09:59

对错都不谈了，还说个毛线啊。首先，文档以前包含在源码里，也是开源的，现在删了。用户有权部署之前开源版文档，现在他说不允许你部署，这是违反开源协议的。兴趣是不能成为饿肚子的理由，但也不是把以前承诺当屁放了的理由

飞翔的土拨鼠 2023-12-02 21:54

都搞成这样了,作者割了吧。。。混到如此境地实属凄惨...

薛子墨 2023-12-02 13:55

举个例子：刚开始MIT开源有别人贡献的代码现在文档收费是不是要贡献过代码的人全部同意？这个算不算别人的知识产权？不要既要又要？既然标榜了MIT，就不要搞这些。。。。。。

百小僧 2023-11-30 20:30

👉👉👉 说句实话，有时候我还是想不通你们这些人的。我们认识吗？我们有那么大的仇恨吗？我是伤害了你的利益吗？你了解的事情经过吗？你听到的看到的都是真的吗？你怀疑过这一切吗？你有限的知识够评价别人无限的人生吗？互联网那些被网暴的人真的就是道德败坏的人吗？你看懂社会运行规则了吗？人性的弱点你读懂了吗？你躬身入局了吗？自然辩证法学过吗？王阳明的心学心外无物课外阅读过吗？捕风捉影、愤然怒喷，把自己放在上帝的视角藐视着这一切，彷佛是一切的主宰，道德的化身，法律的审判者，人间的正义使者。

陈钇蒙 2023-11-30 19:53

管你有什么大道理, 你确实违反了你用的开源协议mit协议, 说再多都没有用, 你搞的就不是开源这种东西

薛子墨 2023-12-02 13:56

同意同意

魔力猫 2023-12-01 09:59

软件系统是有沉没成本的。哪有什么喜欢用不喜欢不用的。你一句话就能去IOE？为什么这个难？因为之前的投入直接归零，之后还要再投入几个亿？！而且失败可能性不低，真要到时候全系统崩溃，公司破产都不是不可能。换到这里。如果公司已经在几个十几个项目里面用了这个框架。那怎么换？当初做决定的人，要么忽悠老板买VIP，要么自己悄悄掏钱买文档。不然？直接就是“引入重大风险，造成公司严重损失”，一分钱赔偿拿不到，直接走人！

技术粉 2023-12-01 14:55

别人说心里话叫宣泄，你这叫什么？报复社会？

osc_77539574 2023-12-01 15:19

主要是前面听到这个作者人品差，就没用这个，幸好没用

osc_10656860 2023-12-02 12:52

我支持收费不能用爱发电不就是499嘛

Ai东 2023-12-02 16:21

新一代orm框架，内置分页、乐观锁、逻辑删除、批量处理、多租户、多表关联极致流畅的api，还等什么呢？

osc_96846813 2023-11-30 19:33

哥们，如果缺钱你可以发起水滴筹，相信大家都能理解的，何必弄的这样里外不是人呢。😂

sharper 2023-12-02 12:59

aws 用心了

292015 2023-12-01 12:50

第一次看到furion这个词，很震惊。原因很简单，一个库取这个名字，怎么担得起。都不说一开始这个库就有对标spring的意思。然后我就说了一句这个名字的问题，结果你应该知道的。我没再说什么，毕竟各人有各人的看法。再然后，看到某些对这人的评论，说他造假微软mvp。这么石锤的评论，显然是真的。我当时就觉得，这得多黑的脸才能干这种事。现在嘛，呵呵，一贯如此，飞逝都不要了。再说一句实话，很多软件加入神话、哲学相关的事情，也就用了一个名字而已。这确实可能多一点文化认同感。但是没人大段大段的说一堆废话。这种属于土鳖行为了，而且非常恶心。

longzz 2023-12-01 09:54

谢谢大佬，及时收费，治疗好我领导的选择困难症，让我们后续项目成功用spring重构。😀

LetMeSpy Stalkerware 黑客窃取敏感信息

纽约初创公司Venn Software融资 2900 万美元为笔记本电脑技术构建 MDM

分析报告：商业电子邮件泄露攻击的现状

NPM注册表存在“清单混淆”安全漏洞

Brave 浏览器通过新的本地资源限制增强隐私性

Akira 勒索软件的 Linux 版本针对 VMware ESxi 服务器

针对新的 Arcserve UDP 身份验证绕过漏洞的利用已发布

Gentoo Soko 中的关键 SQL 注入漏洞可能导致远程代码执行

专家警告 5 月和 6 月 8Base 勒索软件攻击将激增

电磁故障注入攻击可接管无人机

热门评论

关于作者

作者的专辑

作者的其它热门文章

热门资讯

热门软件

OSCHINA 社区

在线工具

攻略

QQ群

公众号

视频号

安全日报（2023.06.29）

LetMeSpy Stalkerware 黑客窃取敏感信息

纽约初创公司Venn Software融资 2900 万美元为笔记本电脑技术构建 MDM

分析报告：商业电子邮件泄露攻击的现状

NPM注册表存在“清单混淆”安全漏洞

Brave 浏览器通过新的本地资源限制增强隐私性

Akira 勒索软件的 Linux 版本针对 VMware ESxi 服务器

针对新的 Arcserve UDP 身份验证绕过漏洞的利用已发布

Gentoo Soko 中的关键 SQL 注入漏洞可能导致远程代码执行

专家警告 5 月和 6 月 8Base 勒索软件攻击将激增

电磁故障注入攻击可接管无人机

热门评论

关于作者

作者的专辑

作者的其它热门文章

热门资讯

推荐关注

热门软件

OSCHINA 社区

在线工具

攻略

QQ群

公众号

视频号