层叠 - The Cascading

Minecraft 宣布将移除 Java 版的代码混淆。

- 群骑纷争 (Mounts of Mayhem) 后的 snapshot 版本起将发布无代码混淆的游戏包。
- 自 2019 年起，Mojang 就发布混淆版本和未混淆版本的 mapping 方便 mod 开发者。本次更改则更进一步。

minecraft.net/~

* 修正一个 typo。

#Minecraft

❤63👍3

4.56K viewsedited 02:45

层叠 - The Cascading

Canva 收购 Affinity。 - canva.com/~ - affinity.serif.com/~ #Canva #Affinity #Acquisition

Affinity 系列现已免费。

- Affinity 起初是由 Serif 开发的一款买断制的设计软件系列，是 Adobe 系的竞争者。2024 年三月被 Canva 收购。
- Affinity Photo/Designer/Publisher 三款软件现已合并到新的 Affinity 应用中。
- 用户现可使用免费 Canva 账号使用 Affinity 的所有功能；Canva AI Studio 为付费部分。

https://affinity.studio/get-affinity
seealso: HackerNews:45761445

thraed: /4485

#Affinity #Canva

Affinity

Get Affinity | Pro Power with No Strings Attached

See how Affinity makes professional design accessible to everyone. Fully featured, and creative freedom for all.

🔥26👎4🤔1

4.81K views02:45

层叠 - The Cascading

日本通过法律，禁止 Apple/Google 阻止日本用户在其平台安装第三方应用商店；预计 2025 年末前生效。关于此法律的细节： - 《关于促进特定智能手机软件竞争的法律》（《スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律》）于 4/24 于国会提出，并于前日 (6/12) 于参议院通过。 - 法律将要求「特定厂商」在无正当理由时 (1) 不得阻止第三方应用商店及计费系统的使用、(2) 允许用户修改默认应用设置、 (3) 不得在搜索结果中优待第一方软件，以及 (4) …

有日本用户发现在 iOS 26.2 已可安装 AltStore 等第三方商店。

macrumors.com/~

thread: /4544

linksrc: blog.gslin.org/~

#AppStore #JP

MacRumors

iOS 26.2 to Allow Third-Party App Stores in Japan Ahead of Regulatory Deadline

Apple on Tuesday released the first beta of iOS 26.2 to developers, and it appears that the software will allow users in Japan to install alternative app marketplaces on their devices when it is released to the public in December.

👍35❤3👎1

4.34K views02:44

层叠 - The Cascading

Firefox 新吉祥物：小狐狸 Kit。

https://www.firefox.com/en-GB/kit/

EDIT 11/9: 修正一个 typo。

#Firefox

❤63🔥4🤨2

5.17K viewsedited 07:14

层叠 - The Cascading

火绒发文称鲁大师等软件被发现劫持用户浏览器及弹出弹窗广告等。

- 鲁大师是 360 旗下的硬件监测产品。
- 文章提及包括鲁大师（成都奇鲁科技）及其关联公司等的多款软件。
- 恶意行为包括任务栏图标推广、软件捆绑安装及锁定浏览器主页为 360 导航等。
- 针对符合部分特征的用户，恶意行为会减少或消失，例如北京地区的用户、开通软件会员的用户、访问技术论坛和使用技术工具的用户，以及访问过周鸿祎微博的用户等。

huorong.cn/~

linksrc: https://t.me/microblock_pub/2117

#Ludashi #Qihoo #Malware

www.huorong.cn

“捉迷藏”式收割：撕开鲁大师为首系列企业流量劫持黑幕！-技术文章-火绒安全

病毒报告

🔥44👍6❤4🐳2👎1

4.97K views03:45

层叠 - The Cascading

Debian 维护者宣布 2026/5 起 apt 将引入 Rust 代码。

- 包括 OpenPGP 实现 Sequoia 等。
- 后续也计划将 apt 内部的部分功能改用 Rust 实现。

https://lists.debian.org/deity/2025/10/msg00071.html

#Debian #Rust

👍36🕊4🎉2❤1👎1

4.43K views03:45

层叠 - The Cascading

Mozilla Bugzilla 的 bug/task 总数已达到 200 万。

https://bugzilla.mozilla.org/show_bug.cgi?id=2000000

#Bugzilla

bugzilla.mozilla.org

2000000 - 2 000 000 Bugs! Celebrate!

NEW (nobody) in bugzilla.mozilla.org - General. Last updated 2025-11-17.

🤨28🎉15🔥1

4.91K views10:45

层叠 - The Cascading

#Outage: Cloudflare 全球性故障中。

https://www.cloudflarestatus.com/incidents/8gmgl950y3h7

#Outage #Cloudflare

Cloudflarestatus

Cloudflare Global Network experiencing issues

Cloudflare's Status Page - Cloudflare Global Network experiencing issues.

⚡32🐳4🎉3

4.12K views12:37

层叠 - The Cascading

#Outage: Cloudflare 全球性故障中。 https://www.cloudflarestatus.com/incidents/8gmgl950y3h7 #Outage #Cloudflare

Cloudflare 发布 postmortem：预料外的数据库查询与未处理的异常导致崩溃。

https://blog.cloudflare.com/18-november-2025-outage/

#Cloudflare #Postmortem

The Cloudflare Blog

Cloudflare outage on November 18, 2025

Cloudflare suffered a service outage on November 18, 2025. The outage was triggered by a bug in generation logic for a Bot Management feature file causing many Cloudflare services to be affected.

👍14🎉3

4.61K views03:45

层叠 - The Cascading

Google: Pixel 10 现已支持 AirDrop。

https://blog.google/products/android/quick-share-airdrop/

#Google #AirDrop #Pixel

Google

Android and iPhone users can now share files, starting with the Pixel 10 family.

Today, we’re introducing a way for Quick Share to work with AirDrop.

🤔23❤9🕊4

4.57K views02:45

层叠 - The Cascading

Shai-Hulud：npm 供应链投毒攻击；建议订户检查自己的设备/repo 是否有受到影响。

- 超过 1000 个包被投毒虚假的 Bun 安装器。
- 攻击行为包括创建名为 SHA1HULUD 的 GitHub Action runner 和建立 actionsSecrets.json 文件存储密钥等。

https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24

#Sha1Hulud #npm #Ecocystem

❤7🤨1

4.85K views02:44

层叠 - The Cascading

CA/B Forum 投票通过 SC-081v3。新提案的内容之一是将公共 TLS 证书有效期缩短到 47 天。根据提案，在 2026、2027 和 2029 年的 3 月 15 日，证书的最长有效期将被缩短到 200 天、100 天和 47 天。 [1] groups.google.com/~ 1. github.com/~ thread: /4610 linksrc: https://t.me/bupt_moe/2403 #CABForum #PKI

Let's Encrypt 宣布证书有效期缩短到 45 天的计划。

- Let's Encrypt 用户可在 2026/5/13 起切换到签发有效期 45 天证书的 profile “tlsserver”。
- 2027/2/10 起，Let's Encrypt 默认签发证书有效期将从 90 天降至 64 天；2028/2/16 起降至 45 天。
- CA/B Forum 正研究 dns-persist-01 验证方式，使证书更新不再需要修改 DNS 记录；预计 2026 年可供使用。

https://letsencrypt.org/2025/12/02/from-90-to-45.html

thread: /4701

#CABForum #PKI #LetsEncrypt

letsencrypt.org

Decreasing Certificate Lifetimes to 45 Days

Let’s Encrypt will be reducing the validity period of the certificates we issue. We currently issue certificates valid for 90 days, which will be cut in half to 45 days by 2028.
This change is being made along with the rest of the industry, as required by…

👎31🤔17👍10❤1

8.09K views07:45

层叠 - The Cascading

ShadyPanda：Koi 研究者发现影响超 400 万用户的多个恶意插件；其中一部分包含 RCE 后门。

- 文章中主要提到了 Clean Master 插件。这款插件会收集用户页面访问历史和用户 cookie，甚至在用户设备上执行远程代码等。 [1]
- 其中提及的插件 We Tab 的开发者声明称，Clean Master 的恶意行为是出售给第三方后出现的情况；其它插件没有信息收集等行为。 [2]
- Google 和 Microsoft 均已确认这些插件已经下架。 [3]

1. koi.ai/~
2. mp.weixin.qq.com/~
3. theregister.com/~

[感谢一位匿名订户提供此消息。]

#Extension #Security

www.koi.ai

4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign

ShadyPanda’s seven-year campaign infected 4.3 million browsers, spreading malware undetected and endangering user security worldwide.

2.64K views03:45

层叠 - The Cascading

#PSA: React RSC 的 RCE 漏洞，影响 Next.js 等，受影响用户请立即更新。

- 受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16（以及个别 14 canary 版本）。 [1][2]
- 受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。
- React Server DOM 的反序列化逻辑存在问题，可能导致远程代码执行 (RCE) 漏洞。
- Cloudflare WAF 已部署修复并默认启用。 [3]
- 应用程序如果只在客户端使用 React 而不涉及服务端 React，则不受影响。
- react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。

CVE: CVE-2025-55182 (React), CVE-2025-66478 (Next.js)
CVSS: 10.0/10 (Critical)

1. react.dev/~
2. GHSA-9qr9-h5gf-34mp
3. blog.cloudflare.com/~

#React #Nextjs

react.dev

Critical Security Vulnerability in React Server Components – React

The library for web and native user interfaces

🔥15❤1

5.3K viewsedited 17:09

层叠 - The Cascading

MinIO 社区版宣布进入维护模式，不再更新新功能。

团队将转向维护商业版本 MinIO AIStor。

https://github.com/minio/minio/

#MinIO

GitHub

GitHub - minio/minio: MinIO is a high-performance, S3 compatible object store, open sourced under GNU AGPLv3 license.

MinIO is a high-performance, S3 compatible object store, open sourced under GNU AGPLv3 license. - minio/minio

👎39🤨6

3.08K views08:45

层叠 - The Cascading

Cloudflare 又发布 postmortem：规则更新导致触发 WAF 的 bug。

- 宕机发生于 12/5 下午四点左右 (UTC+8)，约半小时后修复。
- 这是 Cloudflare 继 11/18 日后一个月内的第二次全球性宕机。
- 文章称这是 Cloudflare 配置针对 React 高危漏洞的 WAF 规则时产生的问题。

blog.cloudflare.com/~

EDIT 12/6: 修正一处 typo。

#Outage #Cloudflare

The Cloudflare Blog

Cloudflare outage on December 5, 2025

Cloudflare experienced a significant traffic outage on December 5, 2025, starting approximately at 8:47 UTC. The incident lasted approximately 25 minutes before resolution. We are sorry for the impact that it caused to our customers and the Internet. The…

🔥12🎉1

3.53K viewsedited 11:45

层叠 - The Cascading

npm 已废弃 classic token。

请使用 npm token create 或在 npmjs.com 上生成新的 granular token。

github.blog/~

#npm

The GitHub Blog

npm classic tokens revoked, session-based auth and CLI token management now available - GitHub Changelog

As previously announced, we’re completing the npm classic token deprecation today. This marks a major milestone in the security hardening initiative to strengthen npm’s authentication system. What’s changing today (December…

👎7👍1

2.27K views02:45

层叠 - The Cascading

#PSA: 一些新的 RSC DoS/源码泄露漏洞；请尽快更新。

- 如果上周已经就之前的 RCE 漏洞对 React 等组件进行了更新，本周依旧需要继续更新。
- 如果就此漏洞更新到了 React 19.0.2/19.1.3/19.2.2，也依旧需要继续更新，因为这些版本的修复不完整。
- 请参考 [2] 了解需要更新到的版本。
- 漏洞是 React Server Side Components 相关；拒绝式服务攻击，以及服务端（服务端！）组件源码泄露。
- 与之前的漏洞不同，Next.js 13.3 至 14（含 13.3 及 14.x）也受此漏洞影响。
- react-router、waku 和几个其它 RSC 组件也受此漏洞影响。

CVE: CVE-2025-55184, CVE-2025-67779, CVE-2025-55183
CVSS: 最高者为 7.5

1. react.dev/~
2. react.dev/~

thread: /4791

#React #Nextjs

react.dev

Denial of Service and Source Code Exposure in React Server Components – React

The library for web and native user interfaces

🔥13🐳4🎉1

6.26K viewsedited 01:20

层叠 - The Cascading

Linux 基金会宣布建立 Agentic AI 基金会。

- 基金会在本周二宣布了此消息。Agentic AI 基金会 (AAIF) 以中立、开放为要旨，使 Agent AI 以透明、协作的方式发展。
- AAIF [2] 的铂金级成员包括 AWS、Anthropic、Cloudflare、Google、Microsoft、OpenAI 等。
- MCP 协议和 AGENTS.md 等项目被捐赠给基金会。

1. linuxfoundation.org/~
2. https://aaif.io

#GenAI

Agentic AI Foundation (AAIF)

Agentic AI Foundation (AAIF) is the neutral and open foundation built on transparency, collaboration, and standardization to advance the public interest in agentic AI innovation.

👍14❤3👎3

3.1K views02:45

层叠 - The Cascading

Anna's Archive 宣布其 Spotify 归档细节。

- Anna‘s Archive 爬取并归档了截至 2025/7 的 Spotify 数据。
- 数据包括 2.5 亿曲目的元数据及占据 99.6% 收听数的 8600 万首曲目，大小约为 300TB。
- 元数据已发布 [1]，大小约 200GB。
- 分析发现平台上约 70% 的曲目播放数少于 1000。

https://annas-archive.li/blog/backing-up-spotify.html

1. https://annas-archive.li/torrents/spotify
seealso: HackerNews:46338339

#AnnasArchive #Spotify

annas-archive.li

Backing up Spotify

We backed up Spotify (metadata and music files). It’s distributed in bulk torrents (~300TB). It’s the world’s first “preservation archive” for music which is fully open (meaning it can easily be mirrored by anyone with enough disk space), with 86 million…

👍21🤔8❤3

1.97K views02:45

About

Blog

Apps

Platform