硬核老王 发布的文章

首部 RISC-V 手机有望在明年面世,中国公司研制

矽速科技 最近在 Twitter 上发布了一则 短视频,演示了运行 Android 10 的 RISC-V RV64 智能手机原型。首批商用机型预计将在 2022 年发布。大约一年前,阿里巴巴成功通过玄铁开发板将 Android 10 移植到 RISC-V 上。而矽速科技演示的 Android 10 设备采用了玄铁 C901 开发板和 7 英寸触摸屏。此外,基于 RV64 的手机应该比任何当代基于 ARM 的芯片更容易移植完整的 Linux。

老王点评:非常期待,但是也希望不仅仅硬件出色,软件也一样适配出色。

一批安卓网银木马已被下载 30 万次

安全研究人员刚刚公布了一批 安卓网银木马,在被谷歌应用商店清理之前,其下载量就已经超过了 30 万次。在二维码扫描仪、PDF 扫描仪、加密货币钱包等表象的掩饰下,这些恶意应用会在暗中窃取用户登录凭证、双因素身份验证码、记录按键以及屏幕截图。研究人员发现了四个独立的安卓恶意软件家族。它们其利用了多种技巧,来规避谷歌应用商店的检测机制。如这些恶意软件会先以一款良性应用的面目示人,但在用户安装后,它们就会开始诱骗用户下载并安装带有“附加功能”的更新包。

老王点评:简直是防不胜防,不能随便下载软件和盲目信任商店的检测。

英特尔建立了一个装满了旧芯片的秘密安全实验室

英特尔称,几年前当其工程师被迫在 eBay 上搜索旧芯片以解决影响特定配置的问题时,他们建立了一个 长期保留(LTR)实验室,以存放那些已经停产的旧芯片。如今 LTR 实验室容纳了 2800 个平台的芯片,其中一些最古老的可以追溯到 2012 年。明年的目标是将容量提高到 6000 个平台。这个自 2019 年开始运作的实验室建立在哥斯达黎加的一个英特尔没有透露的秘密地点。英特尔工程师们可以全天候远程请求访问这些硬件,能够在几分钟内启动特定的配置。

老王点评:虽然这像是一个博物馆,但是可以为很多已经停产的芯片提供支持。

2021 年了,还有人为 Windows 3.1 写了个 PS/2 鼠标驱动?

一位开发者为 Windows 3.1 提供了新的鼠标驱动程序 vmwmouse ,而他这么做的原因是为了确保当微软古老的操作系统作为虚拟机运行时,能够快速而可靠地进行啮齿动物操作。开发者写道,“在VMware 中运行 Windows 3.1,但对不得不手动释放和点入鼠标光标感到烦恼?希望能像现代操作系统一样,直接将光标移入和移出,而不需要按下 Ctrl+Alt 释放鼠标?”所以,他开发了这个驱动程序。他表示,主要的困难是在 USB 出现之前,没有办法发送鼠标的绝对坐标,而 Windows 3.x 来自 USB 之前的时代。

老王点评:额,这真是一种无用而有趣的开发工作。

印度学者在版权诉讼中支持 Sci-Hub 和 LibGen

2020 年 12 月,一些大型全球出版社对 Sci-Hub 和 LibGen 的所有者 Alexandra Elbakyan 提起版权侵权诉讼。Sci-Hub 是一个拥有超过 8500 万篇研究论文的数字图书馆,而 LibGen 是一个链接聚合器,提供免费的学术文章、书籍和杂志。

七名印度的社会科学研究人员在互联网自由基金会(IFF)的法律支持下 递交 了干预申请。他们指出,由于收费过高,他们无法获得所需的论文和学术作品,只能依靠 Sci-Hub 和 LibGen,强调任何封锁这些网站的决定会对其研究产生不利影响,侵犯了研究人员获取信息的权利。印度德里高等法院 正在审理 研究人员和学生使用 Sci-Hub 和 LibGen 是否合法。

老王点评:知识是自由的,前提是这些知识没有印刷在这些需要花钱订阅的期刊上。

Nextcloud 向欧盟投诉微软捆绑 OneDrive 和 Teams 的反竞争行为

Nextcloud 已正式向欧盟委员会 投诉 微软的反竞争行为,即将其 OneDrive 云、Teams 和其他服务与 Windows 10 和 11 捆绑在一起。根据欧盟竞争法,自我推荐本身并不违法,但如果一家公司滥用其市场支配地位,就会违反法律。Nextcloud 指出,微软利用其看门人的地位从而直接阻挡了其他云服务厂商。微软在欧盟的市场份额已经增长到 66%,而当地供应商的市场份额从 26% 下降到 16%。一些开源的非营利组织和企业也加入了 Nextcloud 的投诉。

老王点评:微软现在恐怕已经忘记了上世纪 90 年代 IE 垄断案被处罚的历史了。

一句话回音

  • #464 期我们报道过,Rust 审核团队集体辞职。现在据称问题是由 Ashley Williams 引发的,她本来应该负责执行行为准则,但却同时不受准则的约束。她此前担任过 Node.js 基金会的董事,曾被指控 多次违反 Node 基金会的行为准则。

玩家组织成功让多年前关服的 PS3 游戏复活了

玩家组织 PSONE 研究出了一个办法,复活 了越野竞速游戏《摩托风暴》的服务器,恢复了多人游戏功能。《摩托风暴》是一款 PS3 游戏,在 2007 年 3 月发售。10 年前,这款游戏的服务器下线,也就是说玩家不能使用这款游戏的多人游戏功能,而想要在游戏里收集奖杯的玩家必须在线才行。PS3 和 Xbox 360 是第一个大规模应用网络元素的世代,而近年来该世代多款游戏的服务器停止服务,也让一些怀旧的玩家扼腕不已。

老王点评:如果是开源的,那就不会有这种窘境。

龙芯为 GCC 增加 LoongArch 支持

几个月来,龙芯一直致力于为 Linux 内核提供 LoongArch 支持,从新的 CPU ISA 功能到 复制大量 现有的 MIPS64 代码并加入新的 ID,程度不一。同时,他们也一直在编译器/工具链方面工作。最近,LoongArch 对 GNU Binutils 的 支持已经被合并 了,而今天又发出一组补丁,用于提供 GCC 编译器支持。不过 GCC 12 目前的重点是修复错误,因此对 LoongArch 的支持可能要到 2023 年的 GCC 13 才会出现在主线上。

老王点评:虽然国外对 LoongArch 的褒贬不一,但是可喜的是龙芯在一直前进。

GitHub 出现长达数小时的服务瘫痪

GitHub 在美东时间下午 3 点 45 分左右开始出现问题,Git 操作、API 请求、拉取请求和 GitHub 的行动、包和页面等功能都受到影响。开发人员报告了 500 错误,GitHub 说大多数服务是“性能下降”状态,而不是不可用的瘫痪状态。GitHub 上有超过 1 亿个存储库,故障影响到了这些存储库的组织。去年,由于错误的设定导致该服务瘫痪并使其短暂下线了两个小时。

老王点评:当全世界的开源都主要依赖于 GitHub 进行时,这就成了关键故障点。

微软 Edge 最新内置购物功能激怒用户

微软 Edge 的测试版本最近增加了一项功能,在浏览器内内置了购物功能,还允许人们分期支付网上购物的费用。这引起了浏览器的 粉丝和用户的批评,他们认为微软 Edge 已经成为一个非常好的替代品,但正在变得臃肿,充满了购物功能,而不是提供一个纯粹的浏览体验。

老王点评:当 Edge 开始成功时,谁都想从其中挣到更多的钱,结果就被搞坏了。

86% 被攻击的谷歌云实例用于挖掘加密货币

谷歌最新发布的 报告显示,这些被攻击利用的实例中,48% 的用户账户密码是薄弱或没有密码,或没有 API 认证,26% 是由于云实例中第三方软件的漏洞而发生的,只有 4% 是由于泄漏的凭证,如发布到 GitHub 的密钥。而且,在 58% 的情况下攻击是由脚本进行的,不需要人工干预,不安全的实例可以在短短 30 分钟内被扫描到成为攻击目标。

老王点评:如果你没有谨慎处置你的安全,就是为攻击者买单了。

为在 Chrome 中禁止第三方 Cookie,谷歌向监管部门妥协

谷歌去年年初宣布,未来两年内将逐步淘汰 Chrome 浏览器对第三方 Cookie 的支持,然后计划推广其“隐私沙箱”技术。但这招致了广告发布商和广告技术公司的激励反对,称谷歌的“隐私沙箱”将限制他们收集网络用户信息的能力,从而影响他们提供更具价值广告的能力,而谷歌则可以利用该优势强化其竞争地位。英国反垄断部门认为谷歌保护用户隐私的努力,不能以减少竞争为代价。谷歌近日再次向英国反垄断部门 做出承诺,以解决一些剩余的担忧,并澄清其可以使用的数据的内部限制。谷歌表示,将确保“隐私沙箱”的开发方式适用于整个生态系统。如果这些承诺被接受,也将适用于全球其他地区。

老王点评:大家都在争抢用户的隐私,然而作为隐私的主人却对此没有发言权。

容器化软件包不是 Linux 应用的未来

应用开发者正在 逐渐转向容器化软件包,如 FlatpakSnapAppImageDockerSteam,这种打包格式运用容器技术将所需要的运行时库直接封装在应用内。但这导致占用非常多的磁盘空间和内存,启动时间也更慢。比如计算器应用 KCalc 的 AppImage 软件包高达 152 MB,Flatpak 软件包则需要下载 900 MB,而事实上 KCalc 应用本身只有 4.4 MB,其余都是系统上已安装了的冗余库。启动一个计算器应用你每次需要等待 7 秒钟。

老王点评:将所有依赖打包到一起,在特定用例下是必要的,但是如果推而广之,共享库的优良实践就荡然无存了。

Alpine Linux 砍掉 MIPS64 支持

在 Docker 基础镜像中广泛使用的 Alpine Linux 发布了 3.15 版本,支持最新的 5.15 LTS Linux 内核,但在此版本中放弃了对 MIPS64 架构的支持。发布公告 中说,“这个架构已经失效了,MIPS64 构建器已经消失了。我们没有办法再构建任何软件包,我们也不能再修复任何安全问题,所以让 MIPS64 正式退役是很谨慎的决定。”MIPS64 属于 RISC 架构,它的设计者 MIPS 公司几经周折。随后,它作为同属于 RISC 架构的 RISC-V 的一种开源替代方案来推广,但最终在今年早些时候被放弃,转而支持基于 RISC-V 本身的架构。

老王点评:随着 MIPS 被放弃,它所构建起来的生态也逐一崩塌。

英国出台法律禁止智能设备提供容易猜测的默认密码

英国政府在《产品安全和电信基础设施法案》中 增加了新的规定,禁止在智能设备上预装容易猜测的默认密码。所有的产品现在都需要独特的密码。对于违反此规定的厂商,它将有权对公司处以最高 1000 万英镑或其全球营业额 4% 的罚款,以及对持续违规行为每天处以最高 2 万英镑的罚款。其范围包括一系列设备,从智能手机、路由器、安全摄像机、游戏机、家庭扬声器和联网的白色家电和玩具。但不包括车辆、智能仪表和医疗设备。台式电脑和笔记本电脑也不在其管辖范围内。

老王点评:确实,有相当多的设备出于省心都采用的默认密码,这给被僵尸网络和入侵带来很大便利。

周易 AI 加速器因缺乏开源客户端而无法进入 Linux 内核主线

周易 AI 加速器是由 Arm 中国开发的,目前已经用在一些 SoC 中,如全志 R329。一位百度工程师发布了一个超过五千行代码的新内核驱动,实现了对它的支持。但是这个驱动目前只能进入暂存区,而无法进入 Linux 内核主线,因为 Arm 中国只是以二进制方式分发了用户空间组件(客户端),而没有提供它的源代码。甚至开发该驱动的开发者似乎也没有用户空间的源代码,而是要靠逆向工程来实现。

老王点评:这种闭源而小众的硬件,Linux 内核是不欢迎的。

开发了五年的新 Linux 随机数发生器仍然无法进入内核主线

LRNG 是 Linux 上的一个新的 /dev/random 实现,它已经开发了五年多。它采用与现有内核实现不同的设计,但是完全兼容现有的接口。由于加密处理的改进、大型并行系统更好的可扩展性、关键代码路径中高达 130% 的性能提升等等,这个实现更加出色。但是这个新的随机数发生器何时能进入 Linux 内核,目前还需要拭目以待。

老王点评:随机数的实现看似简单和基础,但是其实是整个安全系统的基石,所以内核对它非常慎重。

三分之一的暗网域名现在是 V3 洋葱网站

过去两年,Tor 匿名网络经历了一个重大变化,.onion 域名取消了被称为 V2 地址的 16 个字符长的域名,取而代之的是被称为 V3 的 56 个字符长的域名。据调查,目前 62% 是 V2 地址,38% 是 V3 地址。Tor 团队在 9 月自己的 V2-V3 分析中指出,预计 V2 网站将在未来一年内绝迹。

老王点评:V3 域名给对洋葱网络上的非法内容打击增加了困难。