第5期:丢失一百万美金虚拟币

💡

<信息差——独立开发者出海周刊介绍>

Knowledge is power, info-gap is money!

记录独立开发者出海用得到的优质信息,帮助独立开发者缩小信息差,每周一发布。

周刊开放投稿,欢迎投稿以下内容:

  • 开源项目
  • 创意工具/生产力工具
  • 独立开发者出海教程
  • 优质文章/推文/视频

本周刊由@weijunext运营

赞助列表:
  • PHCopilot.AI:快速生成 ProductHunt 高质量打榜评论,轻松升级金牌账号。
  • 《Chrome插件全栈开发实战》:真实出海项目的实战教学课,帮助你半个月内成为全栈出海工程师。
  • Next.js 中文文档:样式和官网一样的中文文档,创造沉浸式Next.js中文学习体验。

    • 丢失一百万美金虚拟币

    一位币圈老用户发帖说:我成了币圈卧底的牺牲品,账户里的100万美元灰飞烟灭。

    问题追查

    因为他的帖子已经删除,所以我只转述对大家有用的信息,主要说说100万美金虚拟币怎么没的,当作安全提醒:

    在事件发生后,这位用户找安全公司帮忙调查,他首相要弄清楚的第一个问题,就是在他的电脑手机都在身边,也没有收到任何账户在新设备登录的提醒、异地登陆提醒的情况下,黑客是通过什么手段把虚拟币转移。

    最终,安全公司把罪魁祸首锁定在一个叫做 Aggr 的 Chrome 插件上,这是一个历史悠久的开源行情数据网站的 Chrome 插件版。该插件的违法操作是这样的:这个插件申请了调用浏览器 Cookie 的权限,如果你安装并使用了这个插件,那么黑客就可以收集你的 Cookie,再利用 Cookie 劫持活跃的用户会话,伪装成用户本人,这样就可以绕过平台的各项安全措施,完全掌控你的账户。

    警惕恶意插件

    这是我第一次看到因为 Chrome 插件爆出的安全问题。很多人看到别人推荐什么好用的插件就会去安装试用,后来就算发现自己用不到也不会去卸载或者关闭。这一次因为 Chrome 插件造成100万美金损失的案例正好为大家敲响警钟:不要随意下载和使用不熟悉的 Chrome 插件。

    也因为推上爆出这件事,我的独立开发者群有一位群友花半天撸了一个检测 Cookie 调用情况插件,可以检测有哪些 Chrome 插件正在调用 Cookie,这也正是本期要推荐的第一个开源项目👇。

    开源项目

    • WhoUsesCookies

      「谁在用cookies」是一款 Chrome 浏览器扩展,旨在帮助用户检测和监控所有扩展程序是否具有读取他们浏览器 Cookie 的权限。

      因为有人提出这个检测插件自己会不会「屠龙少年终变恶龙」,作者在 Gtihub Readme 里详细介绍了如何自己排查插件是否调用 Cookie,并且详细教学了如何自己使用源码安装。如果你有同样的担心,可以根据教程使用源码安装,然后永远不更新,这样既安全又能检测 Cookie。

      who-uses-cookies

    • SPlayer

      一个简约的音乐播放器,支持逐字歌词,下载歌曲,展示评论区,音乐云盘及歌单管理,音乐频谱,移动端基础适配。

      SPlayer

    • vite-web-extension

      Vite Web Extension 是一个集成了 React、TypeScript 和 TailwindCSS 的 Chrome 插件模板。

      vite-web-extension

    • Shadcn Cookie Consent

      基于 Next.js 14 实现的 Cookie 隐私弹窗开源方案。

      shadcn-cookie-consent

    • simple-one-api

      通过标准的 OpenAI API 格式访问的各种国产大模型(支持千帆大模型平台、讯飞星火大模型、腾讯混元、MiniMax 和 Deep-Seek 等),开箱即用。

      simple-one-api

    工具推荐

    • Magic UI

      使用 React、Typescript、Tailwind CSS 和 Framer Motion 构建的 20 多个免费开源动画组件。

      Magic UI

    • vectorizer

      vectorizer 可以在线将 jpg、png 等类型的图片转为 svg 格式。

      vectorizer

    • autoi18n for nextjs

      一键处理 Next.js 项目多语言的集成和更新,节省人工处理和翻译的成本,使用方式是桌面软件的形式。

      autoi18n

    • Aceternity UI

      Aceternity UI 提供了一系列的 UI 组件,支持 Next.js 和 React 使用,使用的是 TailwindCSS 和 Framer Motion。

      aceternity

    • Clay Filter AI

      将照片转换成粘土动画风格。

      clayai

    • keep screen on

      一个可以让你的电脑屏幕保持常亮不息屏的工具。

      keep-screen-on

    • 生成 Vercel 的 Deploy Button

      Vercel 官方生成 Deploy Button 的工具,按顺序输入配置就会生成最终你需要的 Link。

      Vercel Deploy Button

    • markdown-to-wx

      一款免费的 Markdown 转微信文章格式的编辑器。

      markdown-to-wx

    出海教程

    技术新闻

    • 大模型的扑克牌:独家内幕故事

      若将创业选手比作德扑玩家,牌局上现有6名“玩家”:智谱AI、Minimax、月之暗面、百川智能、阶跃星辰、零一万物。每个背后都站着一众对通用AI野心勃勃的中国机构与个人,由他们提供这场牌局的“筹码”。

    • Apple WWDC 2024发布了什么?

      • 苹果推出 Apple Intelligence,Siri 联手 GPT-4o,可回答问题和识别拍摄内容,免费使用(国区无)。
      • Apple Vision Pro 迎来系统更新,功能更强大,并将在更多地区开售。
      • iOS 18 更加个性化和注重隐私保护,并新增多项实用功能。
      • AirPods Pro 和 Apple TV+ 体验升级,为用户带来更多便利和乐趣。
      • watchOS 11 更加关注个人健康,并新增实用工具。
      • iPadOS 18 生产力提升,期待已久的计算器 App 终于到来。
      • macOS 15 Sequoia 强化与 iPhone 联动,并带来更便捷的使用体验。

    优质文章/推文/视频

    发布时间:2024-06-11
    版权声明:CC BY-NC-ND 3.0 DEED
    上一篇下一篇去首页RSSTwitter/X