feat: global navigation bar + verification badge across all 9 pages

- Unified nav bar with links to all research articles
- Verification badge: Docker 37/37, Zenodo DOI, IACR 2026/526, Packet Storm
- Mobile responsive hamburger menu
- PoC payloads and evidence screenshots added
- Draft articles and planning files included

Co-Authored-By: Claude <noreply@anthropic.com>
This commit is contained in:
feng
2026-03-25 05:31:19 +08:00
parent a3825c939f
commit cae3c54867
42 changed files with 3665 additions and 9 deletions

View File

@@ -0,0 +1,62 @@
[Delegate] provider=ollama-cloud 域=security 模型=deepseek-v3.2 web_search=false
基于T1方案、T2评价及当前约束优化后的整合行动计划如下。方案已按优先级、证据要求及可执行性重组避免冗余劳动。
### **P0 - 核心修正与CVE加速 (3/21前必须完成)**
**任务1.1: 修正CORS技术描述并明确iOS攻击面**
* **具体行动**
1. **查证**在项目git log中搜索与CORS相关的提交`git log --oneline --grep="CORS"`定位具体的技术修正commit哈希与内容。**严禁臆测**。
2. **修正**基于确凿的commit更新博客和技术文档中的CORS错误描述。
3. **界定**在文档中明确说明iOS攻击面生效的**具体设备型号与iOS版本范围**例如“影响Safari浏览器在iOS 15.0-16.4上的默认配置”)。
4. **图示**创建并嵌入“iOS复现故障排查流程图”简化复现者的调试路径。
* **输出物**:更新后的博客/文档章节 + iOS攻击面范围声明 + 故障排查流程图。
* **依据**T2 Critic要求证据确凿、范围清晰。
**任务1.2: 准备CVE分配补充材料包**
* **具体行动**按MITRE建议格式封装以下文件
* `cvss31.json`: CVSS 3.1评分向量与基本分。
* `affected.txt`: 明确影响的软件/设备列表及版本。
* `regulators.txt`: 已知受影响的监管或行业标准(若无则注明“无”)。
* 附上修正后的技术描述摘要。
* **输出物**`CVE-Supplementary-Materials-[日期].zip`
* **依据**T2 Critic建议标准化封装以加速MITRE3/22跟进处理流程。
### **P1 - 内容更新与社区同步 (3/21-3/22)**
**任务2.1: 创建独立复现指南页面**
* **具体行动**新建一个极简HTML页面包含
* 最少的代码演示核心漏洞。
* `<meta name="robots" content="noarchive">` 防止存档。
* 清晰链接至主博客和`user-defense`章节。
* **输出物**:独立的`/reproduction-guide.html`页面。
* **依据**T1方案2T2 Critic建议极简与noarchive。
**任务2.2: 同步社区观点并更新Packet Storm**
* **具体行动**
1. **社区同步**将Issue#6中的核心质疑与回应提炼为1-2个Q&A**更新至现有的`community-faq` section**(而非新建)。
2. **元数据优化**登录Packet Storm直接编辑已发布的advisory标题和摘要使其更符合搜索引擎优化SEO和可读性。
* **输出物**:更新的`community-faq` section优化的Packet Storm公告。
* **依据**T2 Critic指出利用现有结构避免新建Packet Storm支持直接编辑。
**任务2.3: 执行Full Disclosure/OSS Security邮件列表发布**
* **具体行动**使用准备好的材料含修正后的技术细节、复现指南链接、CVE材料包摘要按列表格式要求发送。
* **注意**:全文**避免使用“RCE”等营销术语**,使用“远程代码执行”或具体技术描述。
* **输出物**:发送至邮件列表的公开披露邮件。
* **依据**T1方案5T2 Critic法律风险提示。
### **P2 - 增强与演示 (时间允许时执行)**
**任务3.1: 制作并部署PoC演示GIF**
* **具体行动**:录制一个**不超过15秒**的屏幕录像清晰展示漏洞触发与影响转换为GIF格式。嵌入博客页首及社交媒体。
* **输出物**`poc-demo.gif`,嵌入博客的代码。
* **依据**T2 Critic建议GIF比视频更高效适合传播。
**任务3.2: (低优先级) Sitemap与Schema.org更新**
* **具体行动**:在完成以上所有内容更新后,统一更新`sitemap.xml`并为关键页面博客、复现指南、FAQ添加`Schema.org`(如`TechArticle`)标记。
* **输出物**:更新的`sitemap.xml`和页面HTML头。
* **依据**T1方案7此项对SEO有益但非紧急。
### **综合执行时间线建议**
* **今日-3/20**:集中完成 **P0任务1.1(查证与修正)****P0任务1.2CVE材料包**
* **3/21**:执行 **P1任务2.1(复现指南)****P1任务2.3Full Disclosure发布**
* **3/22前**:完成 **P1任务2.2社区与Packet Storm更新**并为MITRE跟进做好准备。
* **3/22后**:视时间处理 **P2任务**
**置信度:高**。此计划严格遵循了T2 Critic的证据与效率原则并完全适配“单人研究者时间有限”及现有资源如community-faq的约束。