MoreRSS

site iconTroy HuntModify

MustRead Blog Microsoft Tech
Create courses for Pluralsight and am a Microsoft Regional Director and MVP who travels the world speaking at events and training technology professionals.
RSS(英译中): https://t.morerss.com/rss/Troy_Hunt
Please copy the RSS to your reader, or quickly subscribe to:

Inoreader Feedly Follow Feedbin Local Reader

Rss preview of Blog of Troy Hunt

欢迎CERN加入Have I Been Pwned

2025-09-29 15:03:48

CERN(欧洲核子研究中心)的重要性难以言表,它是万维网的诞生地,也是世界上最大的机器——大型强子对撞机(LHC)的所在地。在2019年与Charlotte参观时,我们深入地下设施,亲眼目睹了这台巨型粒子加速器。面对如此复杂的物理现象,我感到难以解释,尤其是如何制造反物质这一问题。尽管我知道其中涉及大量磁铁,但对具体原理的理解仍十分有限。然而,我对CERN在帮助人类探索宇宙最根本问题方面的重要性有了更深的认识。他们通过研究基本物理规律,揭示自然的构成要素。此外,CERN在万维网和互联网发展中的贡献不可忽视,其团队由来自不同国家、超越政治分歧的科学爱好者组成,这种热情在当今充满冲突的时代显得尤为珍贵。

与HIBP(Have I Been Pwned?)和我们支持的政府机构类似,CERN作为一个超越单一国家管辖的政府间组织,同样面临网络威胁。其成员国的人员也会注册相关服务,一旦发生数据泄露,这些信息就会被HIBP收录。因此,为他们提供帮助应对威胁的服务是十分必要的。令人惊讶的是,我们最近一次访问时得知,CERN成员国每年每人对该项目的总贡献仅相当于一杯咖啡的费用。鉴于其对社会的深远影响,将CERN纳入第41个政府支持机构是理所当然的决定。现在,CERN可以完全免费地查询所有HIBP数据。欢迎加入CERN!


---------------
很难解释CERN的重要性。它是万维网的诞生地,也是世界上最大的机器——大型强子对撞机的所在地。难以解释的部分是,嗯,我的意思是,你看看它!

我和查理在2019年参观了CERN,它位于瑞士和法国之间,我们深入山体,亲眼看到了世界上最大的粒子加速器。我无法解释这一点!这些物理原理简直令人难以置信。

几个月前,我们再次前往那里,看到了更多我无法解释的东西:

究竟如何制造反物质?!我知道这涉及很多磁铁,但我的理解就到此为止了。

但对我而言,我理解得更好了的是CERN的重要性。他们致力于帮助人类解答关于宇宙最深刻的问题,探索基本物理规律——自然的最基本构成。更贴近我内心(或者说我的专业领域)的是,他们在万维网和互联网发展中的作用不可小觑。CERN的工作人员中有很多热爱科学的人,这种热情超越了国界和政治,包括来自通常彼此不和的地区的人们。这种热情在我们两次参观中都表现得非常明显,也许在如今充满冲突的时代,这一点显得尤为突出。

就HIBP和我们对政府的持续支持而言,CERN有相似之处也有不同之处。它是一个超越任何单一国家管辖权的政府间组织。然而,他们同样面临在线威胁,就像主权国家一样,他们的工作人员也会注册一些被入侵后数据出现在HIBP上的服务。和我们支持的政府一样,能够提供帮助他们应对这些威胁的服务总是备受欢迎的。在我们最近一次访问中,我惊讶地得知CERN成员国的总贡献额相当于每人每年一杯咖啡的钱!考虑到他们所做的工作以及对社会的贡献,将CERN作为第41个(政府间)组织纳入系统是再自然不过的决定。现在,CERN可以完全免费地查询所有CERN域名在HIBP数据中的情况。欢迎加入CERN!

周报 471

2025-09-27 14:50:57

终于发布了HIBP的演示内容,真是太开心了!前几个演示相对简单,但正如本周视频中所说,我们仍然需要处理这些基础问题。仿佛在嘲讽我(或证明我的观点),我们刚刚收到一张票,询问是否有适合每年1万到1.2万次API调用的定制套餐。现在,让我们看看如果将这段确切的文字输入支持聊天机器人会发生什么:竟然有一篇专门的KB文章!事实上,我昨天才写完这篇文章,但问题依然存在。这或许说明,即使公开了用户需要的答案,也无法完全避免此类支持查询。🤔

赞助商信息:Oh Dear——一站式网站监控服务,提供DNS和证书变更的安全警报,10天免费试用。保持网站安全!

上周我们上线了第一个HIBP演示,介绍了如何进行域名搜索(虽然操作简单,但正如我之前所说……)。下一个HIBP演示将涵盖API功能,并引入免费测试密钥(现在任何人都可以立即无需订阅开始编写API代码)。上个月Bouygues Telecom的数据泄露事件已纳入HIBP(570万份独特的电子邮件地址数量相当可观)。延续法国主题,Cultura的数据泄露事件也已加入(该事件较旧,可追溯至一年前,包含另外150万份地址)。


---------------
¡Estoy muy feliz por finalmente poder sacar esos demos de HIBP! Los primeros pocos son simples, pero como digo en el video de esta semana, son las preguntas simples las que aún estamos manejando. Como si fuera una provocación (o para probar mi punto), recibimos este ticket hace unas pocas horas: Estoy mirando 10-12k llamadas API al año. ¿Tienes un paquete personalizado que se adapte a este rango? Ahora, veamos qué pasa si introduces ese texto exacto en el chatbot de support.haveibeenpwned.com: ¡Hay literalmente un artículo dedicado del KB sobre esto! De hecho, lo escribí hace solo un día, pero aquí estamos. Lo cual tal vez indique que poner las respuestas exactas que las personas necesitan no nos salvará realmente de consultas de soporte como esta... 🤔 Referencias Patrocinado por: Oh Dear: Monitoreo de sitio web todo en uno con alertas de seguridad para cambios en DNS y certificados. Prueba gratuita de 10 días. Mantén tus sitios seguros! Subimos nuestro primer demo de HIBP la semana pasada sobre cómo realizar búsquedas de dominio (es bastante sencillo, pero como estaba diciendo...) El próximo demo de HIBP aborda la API y presenta la clave de prueba gratuita (cualquiera puede comenzar inmediatamente a escribir código contra la API sin necesidad de suscripción) La filtración de Bouygues Telecom del mes pasado llegó a HIBP (5,7M direcciones de correo electrónico únicas es bastante considerable) Siguiendo con el tema francés, Cultura también llegó (es más antigua, data de hace un año, y otra 1,5M direcciones en ese lugar)

HIBP 演示:查询API,以及免费测试密钥!

2025-09-24 07:24:08

HIBP API最常见的用途是通过电子邮件地址进行查询,每月可处理数十亿次搜索。大量组织使用该服务来了解客户数据泄露情况,并提供更好的账户接管攻击防护。一些公司还利用该服务帮助已受害的客户,例如提醒他们:“你知道HIBP显示你的邮箱涉及7次数据泄露,你可能在重复使用密码。”此外,某些企业甚至用它来验证邮箱的真实性,因为如今大多数邮箱都曾被泄露,如果某个邮箱未被泄露,可能并非真实存在。最新视频演示介绍了如何使用该API,并推出了一项长期被请求的新功能:测试API密钥。我们多次收到相关请求,通常会建议用户购买便宜的密钥开始编写代码。然而,即使只需几分钱,对某些用户来说仍可能构成负担。因此,我们今天也推出了测试密钥:hibp-api-key: 00000000000000000000000000000000。此测试密钥仅可用于查询测试账户(我们已有多年测试账户数据),但能让开发者立即开始针对真实API编写代码。该测试密钥的技术实现与付费订阅密钥完全相同,有助于开发者快速推进项目并消除之前的一个障碍。接下来我们还将推出更多功能,欢迎大家分享更多想法,以帮助大家更好地利用该服务。


---------------
HIBP的API最常见的使用场景之一是通过电子邮件地址进行查询,我们每月支持数亿次针对该端点的搜索。大量组织使用此服务来了解客户的暴露情况,并为他们提供更好的账户接管攻击防护。许多人还使用它来帮助那些已经受害的客户——“嘿,你知道HIBP说你的邮箱出现在7次数据泄露中,有没有可能你一直在重复使用密码?”一些公司甚至使用它来帮助验证邮箱地址的合法性;我们都被黑得太多了,如果一个地址没有被黑,也许它根本就不是真实的。 最新视频演示向您展示了如何使用此API,并介绍了多年来一直被请求的新功能:测试API密钥。我们收到过无数次这样的请求,而我的回应通常都是类似“伙计,一个密钥也就几美元,直接买个便宜的开始写代码”这样的话。然而,即使只是几分钱,也会因各种原因对某些人造成负担。因此,今天我们也推出了测试密钥: hibp-api-key: 00000000000000000000000000000000 测试密钥只能用于查询测试账户(我们已经拥有这些测试账户多年了),但它允许开发者立即开始针对真实API编写代码。技术实现与您拥有付费订阅时获得的密钥完全相同,因此这将帮助许多人快速推进开发,并消除我们之前存在的一个小小障碍。以下是其运作方式: 这就是被泄漏账户的API,它在上周首次演示之后推出,展示了域名搜索的工作方式。我们还有很多内容要添加,我非常希望能听到您和其他人认为哪些功能能帮助您更好地利用该服务。

周报470

2025-09-21 16:35:20

总结:

在数据泄露事件中,受害者可能通过集体诉讼获得赔偿,但实际金额往往微不足道。例如,ParkMobile的集体诉讼最终为每位成功索赔者提供最多1美元,但需分0.25美元多次发放,且不以现金形式支付,而是兑换为下次停车的信用额度。此外,赔偿需在一年内使用完毕,但加州居民可无限期使用。

公司应对策略:
被泄露数据的公司通常优先采取法律手段应对,而非直接赔偿受害者。律师在此过程中获利颇丰。

案例与影响:

  • Miljödata(瑞典系统供应商)的数据泄露事件中,约87万瑞典人受到影响,数据被上传至HIBP(Have I Been Pwned)平台。
  • FreeOnes论坛的旧数据泄露事件也出现在HIBP上,建议避免在办公环境中访问该网站。

赞助信息:
1Password Extended Access Management:为所有设备上的每个应用提供全面的安全登录管理。

原文要点回顾:

  • 集体诉讼赔偿机制的局限性(金额低、非现金支付)。
  • 公司倾向法律防御而非受害者权益。
  • HIBP平台作为数据泄露通报工具的作用。
  • 具体案例及对用户的影响。

---------------
想象一下,你的宝贵数据被泄露后加入集体诉讼,然后坚持到底直到达成和解。最终,在漫长而艰难的斗争之后,你只能拿到……1美元。好吧,其实差不多是1美元,ParkMobile的集体诉讼给成功索赔者最多1美元。但等等——还有更多——因为你不能一次性花完,而是分0.25美元一小笔给你。哦,而且你实际上也不会拿到现金,而是获得下一次停车的信用额度。你必须在大约接下来的一年内使用完这笔钱,除非你在加利福尼亚州,那你可以无限期地享受这趟甜蜜的4倍0.25美元的 gravy train。与此同时,数据泄露的公司却迅速聘请律师,试图阻止此类后续诉讼 🤷‍♂️ 参考资料 由1Password扩展访问管理赞助:为每个设备上的每个应用程序的每次登录提供安全保障 ParkMobile数据泄露集体诉讼的赔偿金额是……(你已经读过上面的介绍文字了) 你知道谁从数据泄露集体诉讼中获利吗?(剧透:律师) 瑞典系统供应商Miljödata被勒索并泄露的数据被加载到HIBP中(那次事件中,有87万瑞典人受到影响) 几年前的FreeOnes论坛数据泄露事件也出现在了HIBP中(也许在办公室时不要查看那个网站……)

我是否曾被泄露 演示版现已上线!

2025-09-19 13:49:55

总结

  • 平台更新:我们现在已经拥有一个平台,可以开始推出更多内容。HIBP 系统本身并不复杂,但仍有大量关于基础操作的“如何...”类问题,例如“如何搜索我们的域名”。因此,我们推出了系列视频的第一集,专门讲解这一基础功能,并可在 haveibeenpwned.com/Demos 的新演示页面上找到。
  • API 支持:API 是支持工单的主要来源,我们希望通过这些演示简化 API 的使用,减少后续的工单处理负担。
  • 演示特点:每个演示视频时长约为 5 分钟,内容简洁明了。如果您希望看到某些内容的详细说明,请在下方留言,我们会尽力制作相关材料。
  • 新频道上线:请关注全新的 HIBP YouTube 频道,并给予支持,未来将有更多内容更新。
  • 数据亮点:在准备内容时发现,目前已有 357,000 个域名被监控,其中包括全球前 1,000 大域名中近四分之一的实例。这表明该功能被广泛使用,因此选择从这里开始是合乎逻辑的。 😲

---------------
嗯,其中一个就是,但重要的是我们现在有了一个平台,可以开始推出更多内容。HIBP并不是一个特别复杂的系统,需要深入解释,但我们仍然会收到很多关于基础操作的“如何...”类问题。比如“如何搜索我们的域名”,这也是为什么现在这个系列的第一个视频是关于这个主题的: 你还会在haveibeenpwned.com/Demos这个全新的演示页面上找到相关内容,很快你将看到更多示例,这些示例将从基础开始,然后逐步变得复杂。特别是API接口,是许多支持请求的来源,我们希望这些演示能简化API,从而减少一些支持工单的处理负担。 这个演示只有五分钟左右,我希望每个演示都保持简洁。如果你有想要了解的内容,请在下方留言,我会尽力制作相关材料。同时,敬请关注全新的HIBP YouTube频道并给予支持,还有更多内容即将推出。 顺便提一下,在准备这次内容时查看统计数据,发现我们目前有357,000个域名被监控的实例 😲 这包括了全球前1,000个最大域名中的近四分之一,因此这是一个被广泛使用的功能,也是合乎逻辑的起点。 🚀

第469期周报

2025-09-13 15:42:33

摘要

Troy Hunt 分享了一个利用其声音训练文本转语音(TTS)引擎的创意,通过 Sonos 家庭音响系统播报由 AI 驱动的事件,例如有人按门铃。他使用了数小时的每周更新视频数据输入 ElevenLabs,最终实现了这一功能。

Oh yeah! Now this is cool! Or freaky 🤔 Doorbell by @Ubiquiti, voice by @elevenlabsio and orchestration by @home_assistant. It’s an evolution of this post: 链接 图片链接
— Troy Hunt (@troyhunt) 2025年9月12日

这个设置意外地让家人感到惊恐 😱,但也引发了对 AI 技术潜在好处与滥用风险的思考。

参考资料

  1. 赞助商:Malwarebytes Browser Guard 可阻止钓鱼、广告、欺诈和追踪器,提供更安全快速的浏览体验。
  2. 项目进展:在发布此内容前,他终于完成了 Prusa Core One 的组装和校准(后者耗时远超预期,但最终成功)。
  3. 数据统计:Pwned Passwords 每月请求量已突破 160 亿次,且缓存命中率高达 99.99% 😎。
  4. 技术示例:ElevenLabs 的 TTS 示例基于他之前关于 AI 描述门外访客的帖子(现在使用更酷的声音 🤣)。

---------------
所以,我有个想法,就是用我的声音训练一个文本转语音引擎,然后用它在家里的Sonos音箱上播放,来宣布一些由AI驱动的事件,比如有人按门铃。这些每周更新的几小时视频内容被输入到ElevenLabs,搞定!给你们看看:

作为意外的彩蛋,这完全把家人吓坏了🤣 但这也让人思考,既有积极的应用,也有滥用的风险。后者在深入思考后简直令人难以置信...

每周更新469
每周更新469
每周更新469
每周更新469

参考资料

  1. 由Malwarebytes Browser Guard赞助,该工具可阻止钓鱼、广告、诈骗和跟踪器,实现更安全、更快的浏览体验
  2. 在发布此内容之前,我终于完成了Prusa Core One的组装和校准(后者花费的时间比预期的要多得多,但我们最终完成了)
  3. 我们现在已经超过了160亿每月请求量(而且还有令人满意的99.99%缓存命中率😎)
  4. 使用我的声音的ElevenLabs TTS示例,借鉴了我之前关于利用AI描述门外是谁的帖子(现在声音更酷了🤣)