硬核老王 发布的文章

Ubuntu 开发商 Canonical 计划在 2023 年完成 IPO

据消息,在今天推出 Ubuntu 22.04 LTS 之前的新闻发布会上,Canonical 创始人说,“我们正按计划将业务上市。现在我非常有信心,我们将在 2023 年做到这一点。”他强调,上市并不是为了筹款。他指出,Canonical 去年的收入是 1.75 亿美元,公司目前最大的挑战是需求大于公司的服务能力,很大程度上是因为市场上没有足够的人才供公司雇佣。

老王点评:不差钱上是干啥,是准备套现吗?

被罚 1.5 亿欧元后,谷歌宣布启用全新 Cookie 通知

据消息,法国数据监督机构 CNIL 认为当涉及到向用户展示跟踪选择时,谷歌未能遵守现行法规。CNIL 发现,谷歌等网站提供了一个允许立即接受 Cookie 的按钮,打包拒绝所有的 Cookie 需要几次点击。在谷歌的新 Cookie 通知中,现在有三个按钮。除了两个同意按钮外,还有一个新的“拒绝所有”按钮,让你只需一次点击就能完全选择退出追踪。两个主要按钮的颜色、大小和形状都是一样的。

老王点评:玩这些小花招,真是无聊。

超过 100 万台联想笔记本电脑的 UEFI 可被植入恶意软件

据消息,联想发布了 100 多个笔记本电脑型号的安全更新,以修复三个 UEFI 关键漏洞。攻击者利用这些漏洞可以在 UEFI 中安装恶意固件。UEFI 存在于主板上的闪存芯片中,感染很难被发现,甚至很难被清除。其中两个漏洞存在于 UEFI 固件驱动程序中,应该只用于联想消费者笔记本的制造过程中。但联想工程师无意中将这些驱动程序纳入了生产的 BIOS 镜像中,而没有正确停用。而第三个漏洞允许攻击者在机器进入系统管理模式时运行恶意固件,这种高权限的操作模式通常由硬件制造商用于低级别的系统管理。好在这三个漏洞都需要本地访问才能发挥作用,而不能远程利用。

老王点评:将生产用的固件泄露到产品中,这真的有品控吗?

缺乏芯片的制造商正在从洗衣机中搜刮

据消息,ASML 的首席执行官说,有一家大型工业集团已经采取了购买洗衣机,并拆下里面的半导体用于自己的芯片模块的做法。他说,这表明芯片短缺将在可预见的未来持续存在,至少在某些领域是如此。包括物联网在内的广泛采用,对芯片的需求可能大大低估了。

老王点评:这也有点太窘迫了。

索尼计划在 PlayStation 游戏中出售广告

据消息,索尼正在建立一个项目,让广告商在 PlayStation 游戏中购买广告,这与微软在 Xbox 中投放广告的举措类似。索尼正在与广告技术合作伙伴进行测试,以帮助游戏开发者通过软件开发者计划创建游戏内广告。他们说,这个想法是为了鼓励开发者继续打造免费游戏。PlayStation 目前的广告仅限于菜单内的广告,如游戏发行商在游戏机的商店中推广自己的作品。

老王点评:虽然广告游戏免费,但是实在讨厌。

谷歌应用商店将封杀所有第三方通话录音应用

据消息,有些定制的安卓系统集成了通话录音功能,如果你的手机并未集成该功能,用户也可以通过谷歌应用商店下载安装第三方应用来实现通话录音。但谷歌商店政策将会扼杀所有第三方通话录音应用程序。自安卓 6.0 开始,谷歌就关闭了官方的通话录音 API,而一些应用程序开发者寻找绕过这一限制的方法。双方不停的互相博弈,最新的结果是,谷歌宣布它将阻止第三方应用程序使用辅助功能 API 进行通话录音。但这不影响预装的带有录音功能的拨号器。

老王点评:好吧,那就用个带录音功能的拨号器吧。

谷歌正式推出“切换到安卓”应用

据消息,传闻已久的针对 iOS 用户的“切换到安卓”应用开始在苹果应用商店面向公众逐步推出。该应用帮助用户将重要数据,如联系人、日历、照片和视频等从 iPhone 迁移到新的安卓设备。除了移动数据,该应用还提供了关于传输过程的其他说明,比如如何取消 iMessage 的注册,以便在新的安卓设备上继续收到短信。

老王点评:虽然看起来像是互相抢用户,但是其实这对于用户来说可以打破供应商锁定。

谷歌在 2021 年发现 58 个已被黑客利用的零日漏洞

据消息,谷歌 Project Zero 团队发布公告称,去年创历史记录地发现了 58 个零日漏洞。自 2014 年成立以来,Project Zero 检测和披露的零日漏洞的最高数量出现在 2015 年,共有 28 个。这可能代表着网络攻击数量上升,但 Project Zero 表示,更可能是因为他们改进了对零日漏洞的检测和报告。因此,尽管检测到的零日漏洞大幅增加,你的在线安全似乎并不比前几年更危险,至少在涉及零日漏洞时是这样。

老王点评:希望是检测技术的提高,而不是恶意攻击者更猖獗。

WebAssembly 2.0 工作草案发布

据消息,W3C 公布了 WebAssembly 2.0 公共工作草案。WebAssembly 是 W3C 的标准,是一种用于网络和其他地方的可执行程序的可移植二进制代码格式。本次草案带来了 WebAssembly 2.0 的核心规范、JavaScript 接口和 Web API 的公共工作草案。

老王点评:我觉得 WebAssembly 叫好不叫座,我似乎从未在哪个网站见过它。

美国上诉法院重申网络刮取是合法的

据消息,根据美国上诉法院的一项裁决,刮取公众可访问的数据是合法的。对于档案员、学者、研究人员和记者来说,这是一个好消息。美国第九上诉巡回法院的这一里程碑式的裁决,是对 LinkedIn 长期以来旨在阻止对手公司从用户的公共档案中搜刮个人信息的法律斗争中的最新裁决。该法院认为刮取互联网上可公开获取的数据并不违反《计算机欺诈和滥用法》。

老王点评:对于公开数据,应该所有人都有权访问,包括大量刮取。

GitHub 的 Dependabot 正在变得更加有用

据消息,GitHub 在 2019 年收购了 Dependabot,这是一个在软件项目中寻找脆弱的开源包依赖的工具。从那时起,Dependabot 通过在发现不安全的软件包时提出自动通知,帮助开发人员解决了 300 多万个漏洞。但往往这些警告要么不够准确,要么过于泛滥,反而导致警告被忽视。现在,GitHub 改进了 Dependabot 警报,使用 GitHub 的精确代码导航引擎来确定一个仓库是否直接调用了一个有漏洞的函数,以减少对那些并不直接相关的错误带来误报。

老王点评:确实,不精确的滥报不如不报。

美国人正被垃圾短信淹没

据消息,根据一份数据,仅在 3 月份,美国人平均收到大约 42 条垃圾短信。不仅仅是短信,每种形式的垃圾信息都在增加。比如从 2020 年到 2021 年,垃圾邮件增加了 30%。专家们将垃圾信息的急剧增加归因于这场疫情。人们对数字通信的依赖性增加,使他们成为现成的目标。2021 年通过短信发起的欺诈让他们损失了 1.31 亿美元,比前一年猛增 50% 以上。

老王点评:数字化工作和生活带来的并不全是便利,还有问题。

高管认为在会议期间关闭摄像头的雇员没有前途

据消息,根据一项新调查,92% 的大中型企业高管认为,在会议期间关闭摄像头的雇员在公司没有长期的发展前景。这些员工被认为整体上对工作的参与度较低。世界上大多数公司都在向混合工作模式转变,这意味着未来会有更多的视频会议。但这种随意的、关闭相机和麦克风的会议方式可能会损害员工的职业前景。

老王点评:当然,有时候有关闭摄像头的需要,但是一直关闭的话,谁也不知道你在干啥。

本田汽车要求 3D 打印网站下架与本田兼容的零件

据消息,3D 打印公司 Prusa 收到了一份“巨大的法律文件”,以对其商标/专利的侵犯为由,要求其删除所有提及该品牌的 3D 模型,甚至包括不是本田品牌,但与之兼容的特定零件。该法律文件也发给了其它 3D 打印厂商,要求将 2022 年 3 月 30 日之前发布的所有相关零件下架。

老王点评:我觉得本质上还是汽车厂商觉得靠零整比挣钱更舒服。

英特尔称其检测学生情绪的 AI 为教学工具

据消息,英特尔和销售虚拟学校软件 Class 的公司合作,将英特尔开发的基于人工智能的技术与运行在 Zoom 之上的 Class 软件整合起来。英特尔称,其系统可以通过评估学生的面部表情以及他们与教育内容的互动方式,检测出学生是否感到无聊、分心或没听懂。该技术通过计算机摄像头和计算机视觉技术捕捉学生的面部图像,并将其与学生当时正在进行的工作的背景信息相结合,以评估学生的理解状态。

老王点评:这让我想起来某个“上课行为管理系统”。

RMS 建议使用 Zoom 的学生们自我洗脑“自由软件很重要”

据消息,在一场 90 分钟的演讲中,刚刚过完 69 岁生日的自由软件基金会创始人 RMS 发表了一些观点。他谈到了使用 Zoom 这样的非自由应用,“如果你不得不使用非自由程序”,建议学生们自我洗脑,“最起码可以在每节课上说:‘我为我在这节课上使用 Zoom 而感到苦恼。’每次都要说,随着时间的推移,这个事实对你来说就真的很重要了。”他也对硬件发表了一些看法,他说,“Macintoshes 正朝着成为监狱的方向发展,就像 iMonsters 一样。……出售一台不让用户从源代码中安装自己的软件的电脑应该是非法的。……尽管在这样的情况下,你确实是在自己承担风险。”对于采用非自由固件的电脑,“我们拥有的自由启动的机器越来越老,越来越少。……因为英特尔和 AMD 都在设计他们的硬件来压制人们。”

老王点评:真是活在理想中的人。

GitHub 暂停受美国制裁的公司的俄罗斯开发者账户

据消息,至少有数十个账户被屏蔽。被屏蔽的个人账户不能访问其存储库,而公司账户允许在几个小时内访问其存储库。GitHub 此前曾表示“确保所有人都能获得免费的开源服务,包括俄罗斯的开发者”。但同时,GitHub 也称,“必须限制根据美国法律被拒绝的用户”。他们会“彻底审查政府制裁,以确保用户和客户不会受到超出法律要求的影响。”

老王点评:说到底,这是美国的公司,中国开发者们,我们也要未雨绸缪啊。

攻击者利用偷来的 OAuth 令牌入侵了 GitHub 上的几十个组织

据消息,一名攻击者正在使用偷来的 OAuth 用户令牌从 GitHub 私有仓库下载数据。Heroku 和 Travis-CI 通过这些令牌来维护 OAuth 应用程序,已经有包括 NPM 在内的几十个受害组织被窃取了私有仓库的代码和数据。但是 GitHub 不认为攻击者是通过破坏 GitHub 的系统来获得这些令牌的,并向 Heroku 和 Travis-CI 通报了此事件。

老王点评:如果你使用 Heroku 和 Travis-CI 来管理你的 OAuth 应用,请核查并保护你的仓库。