@blueblueblue 拍拍
好想和别人交换骂同事,我骂对方的同事,对方帮我骂同事。想想就爽
#裸辞
leader谈心时说,工作不仅仅是工资和社保,也帮助建立人与人之间的连接。
我理解我们这群社会动物对建立人际关系的需求。但这也是我想离开公司的原因之一。
我得不到任何的连接和归属感。直到今天我仍觉得和每个人都有隔阂在,或是因岗位职责存在一些对立,或是因服务对象的不同,彼此沟通上需要有所保留。我没有感受到任何一个人与我是完全并肩作战的关系,这是和我在前司体验最大的差异之一。
有点好笑的是今天听说这大哥搞错了件该我管的事,也没有找我来问解决办法,在向跟他关系更近的同事打听。
虽然我被他骂了确实很生气,但该我管的事情我会管的。不来找我的话,我也没必要热脸去贴冷屁股主动伸出援手。
⚠️大家好,我做了一个简单的长毛象身份替换漏洞测试工具👇 :
请在您的实例搜索框内粘贴 https://mastodonatkpoc.bsql.me/post.jsonld (如果链接显示不全则右键复制链接) 然后回车,如果出现如图所示的信息,那么您的实例已不再安全。这条信息会污染一个空白用户 https://c7.io/@hello 在您的实例的时间轴。
安全的实例会提示没有搜索到任何内容。
虽然说这需要您手动搜索一下这个奇怪链接,但是任何一个用户只要操作一次就会永久污染整个实例。而且这个测试只是使用了这个漏洞最初级的形式,也就是伪造跨站嘟文。更高级的用法包括不限于:更改跨站用户的简介、更改跨站用户的密钥,后者可以使用户真身的消息再也无法被发过来,并且攻击者可以自由注入嘟文而不需要再利用搜索框了。
目前这个漏洞的使用方式已于2月15日全网公开,所以如果您的实例仍然有此漏洞,很有可能已经被假数据污染了。这种时候即便是站长也没有什么办法可以补救,只有更换一个实例了。
我虽然多次提及本漏洞的严重性,甚至私信很多站长提醒,但是仍然有很多实例没有修复这个bug。我希望这个测试能够更有效的展示漏洞的致命性,希望大家重视和传播这个信息。
漏洞详情和已知不安全大站:https://c7.io/@snullp/111927754458108930
ps. 我对某些站长很失望。魔改了长毛象之后公布了程序使得很多别的站点也在使用。但对于这样的安全漏洞这么久过去了仍不修复,这导致别的使用了同样程序的实例一起遭殃。俗话说能力越大责任越大,获得了技术力强的声誉就不能这样忽视用户(包括站点用户和采用程序的站长)对你的信任。