Log for Ubuntu 台灣社群
GoDaddy 在未取得任何證明文件的情況下,把網域轉給陌生人 (★ 174 分)
一家位於美國賓州 Lancaster 的 IT 公司 Flagstream Technologies,替客戶管理一個已使用 27 年的主網域。4 月 18 日週六下午,GoDaddy 先寄出帳號恢復申請通知,3 分鐘後就由標示為內部人員的帳號把網域轉到另一個 GoDaddy 帳號,稽核紀錄還寫著「變更未驗證」。即使原帳號已啟用雙重兩步驟驗證 (2FA, two-factor authentication),網域也購買了 GoDaddy 的完整隱私與保護服務,轉移仍在幾分鐘內完成。由於 GoDaddy 在移轉時把 DNS (網域名稱系統) 區域檔重設為預設值,這個擁有 20 個分支、共用同一主網域的全國性組織,網站與電子郵件立刻全面中斷,持續 4 天。
負責處理的 Lee Landis 團隊在 4 天內打了 32 通電話、花了 9.6 小時與客服周旋,另寄出 17 封電子郵件,卻只是不斷被轉介到不同的通用信箱,並被要求再等 48 到 72 小時。他們依照 GoDaddy 要求送交正確的註冊人姓名、駕照與公司文件,最後收到的正式回信卻是:對方已提供必要文件,帳號變更成立,此案結案;若有異議,請自行查詢 WHOIS (公開網域註冊資料)、向 ICANN (Internet Corporation for Assigned Names and Numbers,網際網路名稱與號碼指配組織) 仲裁機構申訴,或找律師處理。由於原網域看似已無望取回,Flagstream 甚至開始連夜把整個組織遷移到新網域,連帶造成電子郵件位址、宣傳品與 SEO (搜尋引擎最佳化) 成果全面失效的風險。
轉折出現在隔天早上。一名遠在 2,000 英里外的區域分會行政助理 Susan,在自己的 GoDaddy 帳號裡發現了一個不屬於她的網域;她原本申請取回的是名稱相近、但完全不同的另一個網域。雙方聯絡後,只花不到 5 分鐘就以帳號間轉移方式把網域還給原主,網站與電子郵件也隨即恢復。進一步追查才發現,Susan 根本沒有上傳任何證明文件;她收到的上傳連結過期後,還沒補件就被 GoDaddy 通知申請已核准。文章推論,GoDaddy 的恢復團隊可能只是看到她電子郵件簽名檔裡出現原組織的子網域,就誤把整個母網域轉給她。作者認為,這不只是單一員工失誤,而是恢復與爭議處理流程出現嚴重破口;若這個網域落到惡意人士手中,對方不但能攔截郵件、取得多重要素驗證 (MFA, multi-factor authentication) 驗證碼,還可能重設銀行、薪資、雲端儲存與其他關鍵帳號,甚至發動釣魚攻擊或竄改收款資訊。
文章最後把矛頭指向 GoDaddy 的整體治理能力。作者嘗試直接寄信到 ` security@godaddy.com ` 通報資安問題,卻收到信箱已停用的退信,只能改走 HackerOne 的漏洞通報平台。這也呼應整起事件的核心批判:官方管道看似存在,實際上卻無法讓真正能負責的人接手處理,甚至連基本的資安揭露入口都不友善。對 Flagstream 而言,最實際的結論已不是等待道歉,而是盡快把所有網域遷離 GoDaddy,因為在現有機制下,帳號保護、文件審查與申訴流程都無法讓人信任。
在 Hacker News 的留言裡,多數人認為這起事件並非偶發,而是 GoDaddy 長年以來「行銷強、流程弱」形象的延伸:它或許因低價與高品牌辨識度成為全球最大註冊商,但規模大不等於可靠,尤其網域每年收費不高、卻承載企業最關鍵的身分與通訊命脈,一旦出事,客服往往只剩僵化流程與結案話術。許多留言因此主張應追究損害賠償,或至少向主管機關與民事法院提出申訴;也有人提醒,真正可怕的不是網站短暫下線,而是所有仰賴電子郵件驗證的銀行、CRM (客戶關係管理系統) 與商務帳號都可能被連鎖接管。少數人則補充,很多企業之所以還留在 GoDaddy,往往是歷史因素、移轉成本、24 小時電話客服與品牌慣性使然,不見得代表管理者不懂技術;但整體風向仍非常一致,普遍建議改用 Cloudflare、Porkbun、Dynadot、Amazon Route 53,或像 MarkMonitor 這類更重視企業級安全控管的註冊商。
👥 55 則討論、評論 💬
https://news.ycombinator.com/item?id=47911780
一家位於美國賓州 Lancaster 的 IT 公司 Flagstream Technologies,替客戶管理一個已使用 27 年的主網域。4 月 18 日週六下午,GoDaddy 先寄出帳號恢復申請通知,3 分鐘後就由標示為內部人員的帳號把網域轉到另一個 GoDaddy 帳號,稽核紀錄還寫著「變更未驗證」。即使原帳號已啟用雙重兩步驟驗證 (2FA, two-factor authentication),網域也購買了 GoDaddy 的完整隱私與保護服務,轉移仍在幾分鐘內完成。由於 GoDaddy 在移轉時把 DNS (網域名稱系統) 區域檔重設為預設值,這個擁有 20 個分支、共用同一主網域的全國性組織,網站與電子郵件立刻全面中斷,持續 4 天。
負責處理的 Lee Landis 團隊在 4 天內打了 32 通電話、花了 9.6 小時與客服周旋,另寄出 17 封電子郵件,卻只是不斷被轉介到不同的通用信箱,並被要求再等 48 到 72 小時。他們依照 GoDaddy 要求送交正確的註冊人姓名、駕照與公司文件,最後收到的正式回信卻是:對方已提供必要文件,帳號變更成立,此案結案;若有異議,請自行查詢 WHOIS (公開網域註冊資料)、向 ICANN (Internet Corporation for Assigned Names and Numbers,網際網路名稱與號碼指配組織) 仲裁機構申訴,或找律師處理。由於原網域看似已無望取回,Flagstream 甚至開始連夜把整個組織遷移到新網域,連帶造成電子郵件位址、宣傳品與 SEO (搜尋引擎最佳化) 成果全面失效的風險。
轉折出現在隔天早上。一名遠在 2,000 英里外的區域分會行政助理 Susan,在自己的 GoDaddy 帳號裡發現了一個不屬於她的網域;她原本申請取回的是名稱相近、但完全不同的另一個網域。雙方聯絡後,只花不到 5 分鐘就以帳號間轉移方式把網域還給原主,網站與電子郵件也隨即恢復。進一步追查才發現,Susan 根本沒有上傳任何證明文件;她收到的上傳連結過期後,還沒補件就被 GoDaddy 通知申請已核准。文章推論,GoDaddy 的恢復團隊可能只是看到她電子郵件簽名檔裡出現原組織的子網域,就誤把整個母網域轉給她。作者認為,這不只是單一員工失誤,而是恢復與爭議處理流程出現嚴重破口;若這個網域落到惡意人士手中,對方不但能攔截郵件、取得多重要素驗證 (MFA, multi-factor authentication) 驗證碼,還可能重設銀行、薪資、雲端儲存與其他關鍵帳號,甚至發動釣魚攻擊或竄改收款資訊。
文章最後把矛頭指向 GoDaddy 的整體治理能力。作者嘗試直接寄信到 ` security@godaddy.com ` 通報資安問題,卻收到信箱已停用的退信,只能改走 HackerOne 的漏洞通報平台。這也呼應整起事件的核心批判:官方管道看似存在,實際上卻無法讓真正能負責的人接手處理,甚至連基本的資安揭露入口都不友善。對 Flagstream 而言,最實際的結論已不是等待道歉,而是盡快把所有網域遷離 GoDaddy,因為在現有機制下,帳號保護、文件審查與申訴流程都無法讓人信任。
在 Hacker News 的留言裡,多數人認為這起事件並非偶發,而是 GoDaddy 長年以來「行銷強、流程弱」形象的延伸:它或許因低價與高品牌辨識度成為全球最大註冊商,但規模大不等於可靠,尤其網域每年收費不高、卻承載企業最關鍵的身分與通訊命脈,一旦出事,客服往往只剩僵化流程與結案話術。許多留言因此主張應追究損害賠償,或至少向主管機關與民事法院提出申訴;也有人提醒,真正可怕的不是網站短暫下線,而是所有仰賴電子郵件驗證的銀行、CRM (客戶關係管理系統) 與商務帳號都可能被連鎖接管。少數人則補充,很多企業之所以還留在 GoDaddy,往往是歷史因素、移轉成本、24 小時電話客服與品牌慣性使然,不見得代表管理者不懂技術;但整體風向仍非常一致,普遍建議改用 Cloudflare、Porkbun、Dynadot、Amazon Route 53,或像 MarkMonitor 這類更重視企業級安全控管的註冊商。
👥 55 則討論、評論 💬
https://news.ycombinator.com/item?id=47911780
Linux 7.1-rc1 釋出
Linus Torvalds 在核心郵件列表上宣布釋出 Linux 7.1-rc1。主要變更包括:移除對部分舊硬體的支援,其中包括 i486 和俄羅斯 Baikal CPU,新版 NTFS 驅動程式,支援 12 種新的 SoC,新版聯想 Legion Go 驅動程式,Intel QAT Zstd 支援,AMD Zen 6 支援,Intel 線性位址空間分離 (Linear Address Space Separation, LASS) 等等。
https://lore.kernel.org/lkml/CAHk-=wh7jmSh6bO5VL31hOC3HdTY0QAV-P1H4XZauwL2x=w35Q@mail.gmail.com/T/#u
https://lore.kernel.org/lkml/CAHk-=wh7jmSh6bO5VL31hOC3HdTY0QAV-P1H4XZauwL2x=w35Q@mail.gmail.com/T/#u
Linus Torvalds 在核心郵件列表上宣布釋出 Linux 7.1-rc1。主要變更包括:移除對部分舊硬體的支援,其中包括 i486 和俄羅斯 Baikal CPU,新版 NTFS 驅動程式,支援 12 種新的 SoC,新版聯想 Legion Go 驅動程式,Intel QAT Zstd 支援,AMD Zen 6 支援,Intel 線性位址空間分離 (Linear Address Space Separation, LASS) 等等。
https://lore.kernel.org/lkml/CAHk-=wh7jmSh6bO5VL31hOC3HdTY0QAV-P1H4XZauwL2x=w35Q@mail.gmail.com/T/#u
https://lore.kernel.org/lkml/CAHk-=wh7jmSh6bO5VL31hOC3HdTY0QAV-P1H4XZauwL2x=w35Q@mail.gmail.com/T/#u
Windows 11 的「二次開箱設定」畫面害慘 IT,拖累工作效率 (★ 72 分)
Windows 11 會在電腦已經使用數月甚至數年後,突然跳出「你快完成電腦設定」的畫面,讓人誤以為系統先前根本沒有設好。文章指出,這套名為 SCOOBE(Second Chance Out of Box Experience,二次開箱設定流程)的機制,表面上像是補完設定,實際上卻是在開機時一路推銷微軟自家服務,包括建議瀏覽器設定、手機連線、Office/Microsoft 365 訂閱、Xbox Game Pass Premium,以及 Windows 使用建議。作者認為,這種把促銷包裝成設定精靈的設計帶有誤導性,特別是在公司電腦上更顯突兀。
文章認為,SCOOBE 的問題不只是惱人,而是會直接拖累企業的工作流程。受管電腦上的員工看到這類畫面時,常以為電腦故障、被重灌,或有資料風險,因而向 IT(資訊部門)報修,造成額外工單與停工時間。文中引述資料蒐集公司、花店與網頁設計從業者的經驗,指出這些畫面可能在接待客戶或進行重要作業時突然插入,不只打斷服務,也可能讓使用者誤按後新增不需要的訂閱、改掉公司原本的瀏覽器設定,甚至削弱對裝置本身的信任。作者的核心批評是,微軟把已收過授權費的作業系統,繼續當成訂閱營收的銷售入口。
文章也提供了關閉方式。一般使用者可到「設定 > 系統 > 通知 > 其他設定」,取消勾選建議你善用 Windows 並完成此裝置設定的選項;企業端則可透過 Group Policy(群組原則)在 Cloud Content 項目中開啟停用 Microsoft 消費者體驗的選項,並一併停用 Windows 提示。作者還建議檢查工作排程器是否有 UserNotPresentOrFirstLogon 這項工作並停用,以降低再次跳出的機率;不過他也提醒,微軟日後仍可能調整機制。截稿前,微軟尚未回應媒體詢問。
Hacker News 的討論大致認同文章判斷,且不少人認為實際情況還更糟,因為這類促銷畫面常和強制更新、重開機綁在一起。有人抱怨電腦在自動安裝更新後,原本開著的分頁、程式與 Docker Compose(用來同時啟動多個容器的工具)環境全被中斷,登入後還得先清掉這些推銷視窗,啟動程式才會真正載入;也有人指出,這不只出現在 Windows 11,Windows 10 早就有類似體驗。另有留言回報,照文中的群組原則或通知設定關掉後,至少在自己的電腦上確實能止血,並可改成手動檢查更新。討論串也補充,Edge 反覆要求匯入 Chrome 資料、OneDrive(微軟雲端儲存服務)可能誘導同步原本不想上雲端的資料夾,都是同一種設計思維的延伸。
不少留言因此把問題延伸到整體平台策略,認為微軟正利用 Windows 的既有安裝基礎,持續把使用者導向訂閱與雲端服務,而不是專心把作業系統做好。部分人已把個人電腦或家庭裝置轉向 Linux,但也有人提醒,企業環境要脫離 Windows 並不容易,因為還卡著舊版商務軟體、Excel 工作流程、Active Directory(AD,微軟目錄服務)、群組原則,以及部分遊戲防作弊機制與虛擬實境(VR,Virtual Reality)裝置的相容性限制。整體氣氛偏向疲憊與憤怒:大家未必認為 Windows 能立刻被取代,但普遍覺得這種把作業系統當廣告平台的做法,已經嚴重越線。
👥 49 則討論、評論 💬
https://news.ycombinator.com/item?id=47920973
Windows 11 會在電腦已經使用數月甚至數年後,突然跳出「你快完成電腦設定」的畫面,讓人誤以為系統先前根本沒有設好。文章指出,這套名為 SCOOBE(Second Chance Out of Box Experience,二次開箱設定流程)的機制,表面上像是補完設定,實際上卻是在開機時一路推銷微軟自家服務,包括建議瀏覽器設定、手機連線、Office/Microsoft 365 訂閱、Xbox Game Pass Premium,以及 Windows 使用建議。作者認為,這種把促銷包裝成設定精靈的設計帶有誤導性,特別是在公司電腦上更顯突兀。
文章認為,SCOOBE 的問題不只是惱人,而是會直接拖累企業的工作流程。受管電腦上的員工看到這類畫面時,常以為電腦故障、被重灌,或有資料風險,因而向 IT(資訊部門)報修,造成額外工單與停工時間。文中引述資料蒐集公司、花店與網頁設計從業者的經驗,指出這些畫面可能在接待客戶或進行重要作業時突然插入,不只打斷服務,也可能讓使用者誤按後新增不需要的訂閱、改掉公司原本的瀏覽器設定,甚至削弱對裝置本身的信任。作者的核心批評是,微軟把已收過授權費的作業系統,繼續當成訂閱營收的銷售入口。
文章也提供了關閉方式。一般使用者可到「設定 > 系統 > 通知 > 其他設定」,取消勾選建議你善用 Windows 並完成此裝置設定的選項;企業端則可透過 Group Policy(群組原則)在 Cloud Content 項目中開啟停用 Microsoft 消費者體驗的選項,並一併停用 Windows 提示。作者還建議檢查工作排程器是否有 UserNotPresentOrFirstLogon 這項工作並停用,以降低再次跳出的機率;不過他也提醒,微軟日後仍可能調整機制。截稿前,微軟尚未回應媒體詢問。
Hacker News 的討論大致認同文章判斷,且不少人認為實際情況還更糟,因為這類促銷畫面常和強制更新、重開機綁在一起。有人抱怨電腦在自動安裝更新後,原本開著的分頁、程式與 Docker Compose(用來同時啟動多個容器的工具)環境全被中斷,登入後還得先清掉這些推銷視窗,啟動程式才會真正載入;也有人指出,這不只出現在 Windows 11,Windows 10 早就有類似體驗。另有留言回報,照文中的群組原則或通知設定關掉後,至少在自己的電腦上確實能止血,並可改成手動檢查更新。討論串也補充,Edge 反覆要求匯入 Chrome 資料、OneDrive(微軟雲端儲存服務)可能誘導同步原本不想上雲端的資料夾,都是同一種設計思維的延伸。
不少留言因此把問題延伸到整體平台策略,認為微軟正利用 Windows 的既有安裝基礎,持續把使用者導向訂閱與雲端服務,而不是專心把作業系統做好。部分人已把個人電腦或家庭裝置轉向 Linux,但也有人提醒,企業環境要脫離 Windows 並不容易,因為還卡著舊版商務軟體、Excel 工作流程、Active Directory(AD,微軟目錄服務)、群組原則,以及部分遊戲防作弊機制與虛擬實境(VR,Virtual Reality)裝置的相容性限制。整體氣氛偏向疲憊與憤怒:大家未必認為 Windows 能立刻被取代,但普遍覺得這種把作業系統當廣告平台的做法,已經嚴重越線。
👥 49 則討論、評論 💬
https://news.ycombinator.com/item?id=47920973
朋友幾年前的 FB 貼文XD
他的 intel 末代 macbook pro 在跑 terraform plan 的同時,jamf 吃掉一樣多的 CPU loading XDD
他的 intel 末代 macbook pro 在跑 terraform plan 的同時,jamf 吃掉一樣多的 CPU loading XDD