#吐槽
In reply to nevent1q…gdwq
_________________________
说起被 DoH 和 DoT 乃至 DoQ 这些现代的加密 DNS 协议真正取代的对象或者说 "干掉" 的, 并不是传统的明文 DNS, 而是 DNSCrypt. 虽然已经是过去式了, 但 DNSCrypt 留下的一些遗产还是很具有实用价值.
它发明的 DNS Stamps, 也就是编码出 sdns:// 这个标识符的工具, 可以直接指示加密 DNS 的证书指纹, IP 地址, 主机名(SNI). 现在还在支持这个 sdns 标识符的 DNS 客户端我只知道有 AdGuard 和 AdGuard Home, 并且也不会用上全部指示和标志.
AdGuard 目前只会用 sdns 解码之后的主机名(和 DoH 路径)以及 IP 地址, 主要用途是无需 Bootstrap 直接得到加密 DNS 的目标 IP, 适合像 Google 和 Cloudflare 等等的 DoH 直接解析到一个 Anycast 或者固定 IP 的加密 DNS.
DNS Stamps 支持的编码目标 DNS 协议很全面, DoH, DoT, DoQ, 甚至明文 DNS 也都可以, 但现在基本上没有客户端还在积极支持了.
via Nostr@cxplay
In reply to nevent1q…gdwq
_________________________
说起被 DoH 和 DoT 乃至 DoQ 这些现代的加密 DNS 协议真正取代的对象或者说 "干掉" 的, 并不是传统的明文 DNS, 而是 DNSCrypt. 虽然已经是过去式了, 但 DNSCrypt 留下的一些遗产还是很具有实用价值.
它发明的 DNS Stamps, 也就是编码出 sdns:// 这个标识符的工具, 可以直接指示加密 DNS 的证书指纹, IP 地址, 主机名(SNI). 现在还在支持这个 sdns 标识符的 DNS 客户端我只知道有 AdGuard 和 AdGuard Home, 并且也不会用上全部指示和标志.
AdGuard 目前只会用 sdns 解码之后的主机名(和 DoH 路径)以及 IP 地址, 主要用途是无需 Bootstrap 直接得到加密 DNS 的目标 IP, 适合像 Google 和 Cloudflare 等等的 DoH 直接解析到一个 Anycast 或者固定 IP 的加密 DNS.
DNS Stamps 支持的编码目标 DNS 协议很全面, DoH, DoT, DoQ, 甚至明文 DNS 也都可以, 但现在基本上没有客户端还在积极支持了.
via Nostr@cxplay
#吐槽
In reply to nevent1q…v45n
_________________________
那还挺唯心的, 可能这就是你不喜欢 JavaScript 的原因吧, 我理解了.
via Nostr@cxplay
In reply to nevent1q…v45n
_________________________
那还挺唯心的, 可能这就是你不喜欢 JavaScript 的原因吧, 我理解了.
via Nostr@cxplay
#吐槽
In reply to nevent1q…j0f2
_________________________
最早 Chrome 支持 gQUIC 的时候被人发现用来显示 YouTube 广告, 被 Brave 一发新闻稿, 大伙以为 Google 又在 Be Evil 了.
(2017/04/25) QUIC in the wild | Brave
https://brave.com/blog/quic-in-the-wild/
这个时候, Google 才开始和 IETF 推进 iQUIC 标准化. 大伙不爽的地方是 QUIC 被拿来发广告且无法被 uBlock Origin 这类活在浏览器应用层里面的插件拦截 (好了现在 MV3 直接把老家端了). Brave 此时推出显式禁用 QUIC 的功能就是为了防止只有 Google 在用的 gQUIC 被拿来发广告.
这不禁让我想起了只有微信在用的 mmTLS :bili_doge:
via Nostr@cxplay
In reply to nevent1q…j0f2
_________________________
最早 Chrome 支持 gQUIC 的时候被人发现用来显示 YouTube 广告, 被 Brave 一发新闻稿, 大伙以为 Google 又在 Be Evil 了.
(2017/04/25) QUIC in the wild | Brave
https://brave.com/blog/quic-in-the-wild/
这个时候, Google 才开始和 IETF 推进 iQUIC 标准化. 大伙不爽的地方是 QUIC 被拿来发广告且无法被 uBlock Origin 这类活在浏览器应用层里面的插件拦截 (好了现在 MV3 直接把老家端了). Brave 此时推出显式禁用 QUIC 的功能就是为了防止只有 Google 在用的 gQUIC 被拿来发广告.
这不禁让我想起了只有微信在用的 mmTLS :bili_doge:
via Nostr@cxplay
#吐槽
In reply to nevent1q…66fl
_________________________
Chromium 中的开发者工具只展示应用层的协议连接, 所以 HTTP/3 可以被看到连接, 但是 QUIC 连接就和 TCP/UDP 一样无法查看. 于是 YouTube 这种网页应用就会直接用 QUIC 加载资源, 截至目前, Chromium (v139) 只要检测到了系统代理配置或者改变了应用内代理, 那也会直接默认回退, 因为最常用的 HTTP 和 SOCKS5 对 HTTP/3 和 QUIC 的支持不完善, QUIC 并非是完全可以当 UDP 来处理的连接. Chromium 也会优先用 QUIC 来尝试发起 ECH, 失败之后会回退到 TCP.
现在网上交流的时候也都太容易混淆 QUIC 和 HTTP/3 了.
via Nostr@cxplay
In reply to nevent1q…66fl
_________________________
Chromium 中的开发者工具只展示应用层的协议连接, 所以 HTTP/3 可以被看到连接, 但是 QUIC 连接就和 TCP/UDP 一样无法查看. 于是 YouTube 这种网页应用就会直接用 QUIC 加载资源, 截至目前, Chromium (v139) 只要检测到了系统代理配置或者改变了应用内代理, 那也会直接默认回退, 因为最常用的 HTTP 和 SOCKS5 对 HTTP/3 和 QUIC 的支持不完善, QUIC 并非是完全可以当 UDP 来处理的连接. Chromium 也会优先用 QUIC 来尝试发起 ECH, 失败之后会回退到 TCP.
现在网上交流的时候也都太容易混淆 QUIC 和 HTTP/3 了.
via Nostr@cxplay
#吐槽
In reply to nevent1q…wxjk
_________________________
? 那你知不道 Nostr 是一个基于 WebSocket 的协议? 你到底在说什么? 你要喜欢禁用 JavaScript, 那现阶段 90% 的在浏览器运行的 Nostr 客户端都无法使用, 你真的了解过这个协议吗?
via Nostr@cxplay
In reply to nevent1q…wxjk
_________________________
? 那你知不道 Nostr 是一个基于 WebSocket 的协议? 你到底在说什么? 你要喜欢禁用 JavaScript, 那现阶段 90% 的在浏览器运行的 Nostr 客户端都无法使用, 你真的了解过这个协议吗?
via Nostr@cxplay
#吐槽
In reply to nevent1q…natw
_________________________
那我也要问了, 纯前端如何在不用 JavaScript 的情况下完成 WebSocket 协议升级?
via Nostr@cxplay
In reply to nevent1q…natw
_________________________
那我也要问了, 纯前端如何在不用 JavaScript 的情况下完成 WebSocket 协议升级?
via Nostr@cxplay
#吐槽
In reply to nevent1q…xydt
_________________________
结果 API 的 Gemini 2.5 Pro 也给出几乎一模一样结构的回答: 先积极地评价用户问题质量, 然后一个简短答案, 接下来开始分点分节回答, 最后给出整体结论.
而 GPT-5 则是: 简短答案, 然后分点回答, 最后给出建议.
via Nostr@cxplay
In reply to nevent1q…xydt
_________________________
结果 API 的 Gemini 2.5 Pro 也给出几乎一模一样结构的回答: 先积极地评价用户问题质量, 然后一个简短答案, 接下来开始分点分节回答, 最后给出整体结论.
而 GPT-5 则是: 简短答案, 然后分点回答, 最后给出建议.
via Nostr@cxplay
#吐槽
发现 Google One 里面附带的 Gemini 2.5 Pro 对比用 API 和对话客户端组合的 GPT-5 更倾向于谄媚用户一方(一个问题一开头 Gemini 基本必然要以积极的态度总体评价一次用户的问题质量), 可能是 Google One 的 Gemini 是个具体的产品, 而 GPT-5 的 API 是个面向开发者的服务.
等会试试用 Gemini 2.5 Pro 的 API 再继续对比看看, 大概率是系统提示词给 LLM 调成了这种不同状态.
via Nostr@cxplay
发现 Google One 里面附带的 Gemini 2.5 Pro 对比用 API 和对话客户端组合的 GPT-5 更倾向于谄媚用户一方(一个问题一开头 Gemini 基本必然要以积极的态度总体评价一次用户的问题质量), 可能是 Google One 的 Gemini 是个具体的产品, 而 GPT-5 的 API 是个面向开发者的服务.
等会试试用 Gemini 2.5 Pro 的 API 再继续对比看看, 大概率是系统提示词给 LLM 调成了这种不同状态.
via Nostr@cxplay
#吐槽
In reply to nevent1q…vx6x
_________________________
Just like jumble.social does. A timeline consisting of one or more relays.
via Nostr@cxplay
In reply to nevent1q…vx6x
_________________________
Just like jumble.social does. A timeline consisting of one or more relays.
via Nostr@cxplay
#吐槽
In reply to nevent1q…ttpc
_________________________
Add relay and relay set timeline support
via Nostr@cxplay
In reply to nevent1q…ttpc
_________________________
Add relay and relay set timeline support
via Nostr@cxplay
#吐槽
现在在隐私优先的用途里面, 浏览器扩展特别是 MV2 就是天然不安全的功能, 于是一些 Android 的 Chromium 分支就直接不考虑扩展支持, 然后选择自己实现一个内置的用户脚本管理器和兼容 AdBlock 语法的广告拦截器.
好吧, 我也能理解这是为了安全和隐私考量. 但我现在没有 uBlock Origin 和 Dark Reader 这样的插件我简直浏览器都不想打开, 而全部重新实现的开源内置替代都没有能真正完全替代.
我一直坚持不要强行帮用户选择安全性, 因为多数普通用户分不清安全和隐私的边界, 如果真的需要强制执行, 市场调研是最基本的一个保障, Google 为了客观上的安全性而强推 MV3 造成的后果就是最好的例子. 大多数时候被强调的只是安全性附带的那一层 "隐私糖衣", 被普通用户 "入口" 之后逐渐溶解就开始露出里面坚硬锋利的 "安全内核", 无法适应的用户会被排斥, 能适应的用户大多也只会变成 "隐私怪", 以 "嘴" 里塞满这种不明觉厉的 "硬糖" 为乐, 还喜欢到处张开大嘴炫耀里面有多少奇形怪状的硬货.
然而 "硬糖" 本来是要让人吃下去并且形成意识的, 至少 "吃糖" 时请不要吧唧嘴. 另外在我看来, 主动暴露安全工具也并不是个明智的选择.
via Nostr@cxplay
现在在隐私优先的用途里面, 浏览器扩展特别是 MV2 就是天然不安全的功能, 于是一些 Android 的 Chromium 分支就直接不考虑扩展支持, 然后选择自己实现一个内置的用户脚本管理器和兼容 AdBlock 语法的广告拦截器.
好吧, 我也能理解这是为了安全和隐私考量. 但我现在没有 uBlock Origin 和 Dark Reader 这样的插件我简直浏览器都不想打开, 而全部重新实现的开源内置替代都没有能真正完全替代.
我一直坚持不要强行帮用户选择安全性, 因为多数普通用户分不清安全和隐私的边界, 如果真的需要强制执行, 市场调研是最基本的一个保障, Google 为了客观上的安全性而强推 MV3 造成的后果就是最好的例子. 大多数时候被强调的只是安全性附带的那一层 "隐私糖衣", 被普通用户 "入口" 之后逐渐溶解就开始露出里面坚硬锋利的 "安全内核", 无法适应的用户会被排斥, 能适应的用户大多也只会变成 "隐私怪", 以 "嘴" 里塞满这种不明觉厉的 "硬糖" 为乐, 还喜欢到处张开大嘴炫耀里面有多少奇形怪状的硬货.
然而 "硬糖" 本来是要让人吃下去并且形成意识的, 至少 "吃糖" 时请不要吧唧嘴. 另外在我看来, 主动暴露安全工具也并不是个明智的选择.
via Nostr@cxplay
#吐槽
Oh Wonder - Magnificent - YouTube
https://www.youtube.com/watch?v=-085LqsijCw
#Music
via Nostr@cxplay
Oh Wonder - Magnificent - YouTube
https://www.youtube.com/watch?v=-085LqsijCw
#Music
via Nostr@cxplay
#吐槽
In reply to nevent1q…k5cy
_________________________
才得知 Quetta 浏览器极大概率是国产出口的. 责任主体 Quetta Networks Limited 是个注册在英国的私人公司, 网友怀疑只是个空壳.
在它开源之前, 质疑只会越来越多.
Why is Quetta querying Alibaba servers? : r/browsers
https://www.reddit.com/r/browsers/comments/1fbsbvw/why_is_quetta_querying_alibaba_servers/
via Nostr@cxplay
In reply to nevent1q…k5cy
_________________________
才得知 Quetta 浏览器极大概率是国产出口的. 责任主体 Quetta Networks Limited 是个注册在英国的私人公司, 网友怀疑只是个空壳.
在它开源之前, 质疑只会越来越多.
Why is Quetta querying Alibaba servers? : r/browsers
https://www.reddit.com/r/browsers/comments/1fbsbvw/why_is_quetta_querying_alibaba_servers/
via Nostr@cxplay
#吐槽
In reply to nevent1q…3ug6
_________________________
那也可以这么说: 主动彻底禁用浏览器 JavaScript 的用户比用 Tor 的用户还要少, 毕竟连 Tor 浏览器都是默认启用部分 JavaScript 的.
你的核心矛盾是 JavaScript 滥用导致的用户隐私问题, 并且还是没有证据的全盘怀疑. 大多数网站比起主动保护这种无限的隐私来说, 更关心访客是不是在耗尽资源的机器人. following.space 是开源的, 为什么不在把质疑转移到它身上之前先审阅一下代码呢?
不想看也不想听的话, 那还是先建议评价一下网站的 CDN 供应商在你眼里是哪一类中间人吧.
via Nostr@cxplay
In reply to nevent1q…3ug6
_________________________
那也可以这么说: 主动彻底禁用浏览器 JavaScript 的用户比用 Tor 的用户还要少, 毕竟连 Tor 浏览器都是默认启用部分 JavaScript 的.
你的核心矛盾是 JavaScript 滥用导致的用户隐私问题, 并且还是没有证据的全盘怀疑. 大多数网站比起主动保护这种无限的隐私来说, 更关心访客是不是在耗尽资源的机器人. following.space 是开源的, 为什么不在把质疑转移到它身上之前先审阅一下代码呢?
不想看也不想听的话, 那还是先建议评价一下网站的 CDN 供应商在你眼里是哪一类中间人吧.
via Nostr@cxplay
#吐槽
In reply to nevent1q…0yry
_________________________
不是很懂你在说什么. 私信主体全部都是加密的, 配置你的私信收件箱只是为了方便对方发消息给你, 你自己接收起来也更容易. 担心中心化, 随便你喜欢配置多少个, 也没见多少人自己托管中继.
你想要的应该是像丢漂流瓶到太平洋一样不可靠的私信吧.
via Nostr@cxplay
In reply to nevent1q…0yry
_________________________
不是很懂你在说什么. 私信主体全部都是加密的, 配置你的私信收件箱只是为了方便对方发消息给你, 你自己接收起来也更容易. 担心中心化, 随便你喜欢配置多少个, 也没见多少人自己托管中继.
你想要的应该是像丢漂流瓶到太平洋一样不可靠的私信吧.
via Nostr@cxplay
#article #read
访谈: Twitter前信任与安全主管 Yoel Roth 谈SNS Trust & Safety
Yoel Roth on Banning Trump, Battling Bots & the Difficult Job of Trust & Safety - YouTube
https://www.youtube.com/watch?v=yS_cXVrkyVE
Roth 的主要观点:
1. content moderation decisions are like assholes. Everybody's got one. 这句话我解读为世上人人都有屁股,每个屁股的位置不尽相同,所以理论上做出任何审核决策都会有人觉得你屁股歪了,这份工作需要平衡截然不同的意见,做出公平且保护用户的决策,因此极其困难
2. 目前许多去中心化平台(如Mastodon)的信任与安全工具远不如中心化平台成熟,例如,缺少批量封禁功能,难以有效应对大规模spam(说起来上一次Fedi Spam也是过去很久了,联邦宇宙之鸡下次究竟何时回归让我们拭目以待)
3. 许多去中心化平台在审核方面的透明度甚至不如中心化平台(a.k.a 管理员原来你真的是土皇帝): 相比 Twitter 在封禁事件后发布详细的决策理由,许多去中心化平台甚至不会通知用户被封禁,或内容被删除后没有任何提示,这削弱了决策的可信度。
4. 资金与可持续性:最严峻的问题之一,负责构建去中心化生态信任与安全工具的组织(例如IFTAS)因缺乏资金和持续的经济模型而难以为继。运行复杂的模型(如 CSAM 检测)需要高昂的计算成本,志愿服务无法长久。
5. 因为注重隐私,去中心化平台的可用风控判断要素远少于中心化平台: 中心化平台因保存 IP、设备 ID 等数据,能够进行复杂的行为分析和溯源。而许多去中心化平台出于隐私考虑,不收集或不让管理员访问这些数据,这极大地增加了识别虚假账户和协调行为的难度
6. 基于2-5,当 Meta 的 Threads(尽管是一个中心化产品)在处理反垃圾信息等方面反而比部分去中心化平台更有效时,这表明去中心化项目的目标可能未能完全实现。
7. 虚假信息正从单纯的fake news转向意图煽动情绪的内容(举了2016美国大选的例子),因此,应对策略应从判断 “内容真伪” 转向识别 “行为的真实性/非真实性”,例如账号注册地、账号行为模式(批量发布、特定发布时间等)。
8. LLM让Spam伪装程度得到空前提升:LLM 能生成高度流畅、有说服力的内容,使得内容本身的判断更加困难。对抗 LLM 的关键在于关注其底层 行为模式(如账户创建、自动化操作、发布规律),而非仅与内容本身竞争。
9. 小型社区能够带来别样的社区凝聚力:拥有数十亿用户的平台(如 Instagram)面临着全球前所未有的治理难度,几乎不可能形成一个像样的“20亿人政府”。相比之下,语言、文化、社交联系更紧密的小型社区(如 Maori Twitter, Black Twitter)在自我治理方面表现出更强的能力。Black Twitter 的“Your slip is showing”标签即是社区自我浄化的实例。但即使是小型社群,也需要警惕并防御外界的恶意行为者。不能因社群规模小而放松警惕,威胁是普遍存在的。
10. 个人权利(如过滤掉不希望看到的内容)与集体/他人权利(如不被 Doxing 的保护)之间可能存在冲突。当内容被过滤,用户(受害者)可能并未意识到危险,这时需要明确谁负责执行保护性权利。
11. 审核团队应该多元化:很多平台的创始人是白男,其经验无法代表所有用户
12. 是否应推广民主:Roth称他个人支持民主,但不同社区可能有更高的优先级,如社区凝聚力。硅谷公司本质上是资本驱动的商业实体,而非民主实践场所。
13. 技术和工具会变,但人的基本需求、社会互动模式变化不大。理解历史和人性是构建任何社交技术的基础。
—— https://scg.owu.one/@cdn0x12/statuses/01K39E025ZQHCAQ12JQBXMXGSJ
#社交媒体 #信任与安全
via Nostr@cxplay_clip
访谈: Twitter前信任与安全主管 Yoel Roth 谈SNS Trust & Safety
Yoel Roth on Banning Trump, Battling Bots & the Difficult Job of Trust & Safety - YouTube
https://www.youtube.com/watch?v=yS_cXVrkyVE
Roth 的主要观点:
1. content moderation decisions are like assholes. Everybody's got one. 这句话我解读为世上人人都有屁股,每个屁股的位置不尽相同,所以理论上做出任何审核决策都会有人觉得你屁股歪了,这份工作需要平衡截然不同的意见,做出公平且保护用户的决策,因此极其困难
2. 目前许多去中心化平台(如Mastodon)的信任与安全工具远不如中心化平台成熟,例如,缺少批量封禁功能,难以有效应对大规模spam(说起来上一次Fedi Spam也是过去很久了,联邦宇宙之鸡下次究竟何时回归让我们拭目以待)
3. 许多去中心化平台在审核方面的透明度甚至不如中心化平台(a.k.a 管理员原来你真的是土皇帝): 相比 Twitter 在封禁事件后发布详细的决策理由,许多去中心化平台甚至不会通知用户被封禁,或内容被删除后没有任何提示,这削弱了决策的可信度。
4. 资金与可持续性:最严峻的问题之一,负责构建去中心化生态信任与安全工具的组织(例如IFTAS)因缺乏资金和持续的经济模型而难以为继。运行复杂的模型(如 CSAM 检测)需要高昂的计算成本,志愿服务无法长久。
5. 因为注重隐私,去中心化平台的可用风控判断要素远少于中心化平台: 中心化平台因保存 IP、设备 ID 等数据,能够进行复杂的行为分析和溯源。而许多去中心化平台出于隐私考虑,不收集或不让管理员访问这些数据,这极大地增加了识别虚假账户和协调行为的难度
6. 基于2-5,当 Meta 的 Threads(尽管是一个中心化产品)在处理反垃圾信息等方面反而比部分去中心化平台更有效时,这表明去中心化项目的目标可能未能完全实现。
7. 虚假信息正从单纯的fake news转向意图煽动情绪的内容(举了2016美国大选的例子),因此,应对策略应从判断 “内容真伪” 转向识别 “行为的真实性/非真实性”,例如账号注册地、账号行为模式(批量发布、特定发布时间等)。
8. LLM让Spam伪装程度得到空前提升:LLM 能生成高度流畅、有说服力的内容,使得内容本身的判断更加困难。对抗 LLM 的关键在于关注其底层 行为模式(如账户创建、自动化操作、发布规律),而非仅与内容本身竞争。
9. 小型社区能够带来别样的社区凝聚力:拥有数十亿用户的平台(如 Instagram)面临着全球前所未有的治理难度,几乎不可能形成一个像样的“20亿人政府”。相比之下,语言、文化、社交联系更紧密的小型社区(如 Maori Twitter, Black Twitter)在自我治理方面表现出更强的能力。Black Twitter 的“Your slip is showing”标签即是社区自我浄化的实例。但即使是小型社群,也需要警惕并防御外界的恶意行为者。不能因社群规模小而放松警惕,威胁是普遍存在的。
10. 个人权利(如过滤掉不希望看到的内容)与集体/他人权利(如不被 Doxing 的保护)之间可能存在冲突。当内容被过滤,用户(受害者)可能并未意识到危险,这时需要明确谁负责执行保护性权利。
11. 审核团队应该多元化:很多平台的创始人是白男,其经验无法代表所有用户
12. 是否应推广民主:Roth称他个人支持民主,但不同社区可能有更高的优先级,如社区凝聚力。硅谷公司本质上是资本驱动的商业实体,而非民主实践场所。
13. 技术和工具会变,但人的基本需求、社会互动模式变化不大。理解历史和人性是构建任何社交技术的基础。
—— https://scg.owu.one/@cdn0x12/statuses/01K39E025ZQHCAQ12JQBXMXGSJ
#社交媒体 #信任与安全
via Nostr@cxplay_clip
#吐槽
In reply to nevent1q…8v9e
_________________________
主要问题是这些协议桥和 fediverse 的连通性有问题, 并不能保证互动都能传递过去. 我现在都是直接用 fediverse 的账号去关注的.
via Nostr@cxplay
In reply to nevent1q…8v9e
_________________________
主要问题是这些协议桥和 fediverse 的连通性有问题, 并不能保证互动都能传递过去. 我现在都是直接用 fediverse 的账号去关注的.
via Nostr@cxplay
