硬核老王 发布的文章

微软 Edge 浏览器变成了广告软件

不少用户反馈在升级到 Edge 新版本中出现了 更多的提醒和广告,例如推荐用户使用 Microsoft Start(此前叫做 MSN feed)的服务。微软正在试验更多的广告/推荐,这些广告将出现在浏览器的新标签页中。此外,微软的弹出广告也显示,它正在利用浏览器的新协助功能,从你执行的搜索中收集结果改进其必应搜索引擎。

老王点评:这种情况特别像早些年流行的一种软件 AD-Ware。

Btrfs 文件系统将改变格式以解决一些严重问题

Btrfs 文件系统开发者正在开发一个重磅更新,以解决文件系统设计中的一些“糟糕的部分”,如全局根文件系统中的锁争夺,以及块组项在整个范围树上的传播问题。但这个更新会导致其磁盘格式发生变化,之前的 Btrfs 文件系统需要转换才行。这项工作预计持续 6~12 个月。

老王点评:虽然这种开发的初衷是好的,但是引入不兼容性还是要慎重,可以考虑叫 Btrfs2。

Chrome 推送企业策略补丁,以阻止查看网页 HTML 源码

谷歌在 Chrome 98 中提供了一个 Chrome 企业策略补丁,允许学校 IT 管理员设置 禁止查看 HTML 源代码。开发团队声称这项功能旨在解决学校中某些持续存在的问题,尤其是涉及学生通过查看 HTML 源码来偷看线上测验的答案、或通过技术手段绕过屏蔽站点。这个更新补丁的推出时机,正值前段时间美国密苏里州州长声称“查看 HTML 源码等同于黑客攻击”,因而引发了不少争议。

老王点评:其实他们就是想把互联网变成一个不透明的黑盒。

看不见的 JavaScript 后门

我们之前在 443 期报道 过,剑桥大学的研究人员披露了在源代码中隐藏人眼看不见的漏洞的攻击方法,它利用了 Unicode 中的特殊字符,通过方向覆盖、同形异义等方法创造出对编译器和人类视觉上存在差异的源代码。现在,安全研究人员披露了在 JavaScript 中发动类似攻击的方法。在 JavaScript 中创造看不见的后门首先需要寻找能被 JS 解释为标识符/变量的不可见的 Unicode 字符,然后寻找使用不可见字符不被注意到的方法。这种方法无法通过语法高亮检测出来。

老王点评:看来以后审计后门光凭眼睛看还不行,还需要一个能识别这种隐藏字符的工具。

苹果将很快允许指定用户继承 iCloud 数字遗产

此前遇到家人离世的时候,苹果一直没能提供一个简单访问其 iCloud 账户的方法,更别提在不知道密码的情况下解锁设备了。此外,即使提交了死亡证明,这些用户的数据也无法向继承人交付。在近日的 iOS 15.2 更新中,该公司已允许用户指定五个 继承人账号。要激活继承,继承人仍需向苹果官方提交死亡证明、以及可能需要法院确认其继承权。在苹果之前,以 Google 和 Facebook 为代表的许多科技企业,也都设立了允许指定用户访问他人账户的访问机制。

老王点评:确实,数字遗产已经是现代社会不可或缺的一部分,科技产品需要有完善的机制来处理它。

苹果 CEO 说,想用侧载应用的用户可以使用安卓

在围绕 App Store 的审查和用户如何在 iPhone 上下载和安装应用程序方面,苹果公司 CEO 在 DealBook 峰会上说,“如果这对你很重要,那么你应该买一部安卓手机。从我们的角度来看,这就好比我是一个汽车制造商,告诉客户不要在车里装安全气囊和安全带。”他表示,如果不能最大限度地保证安全和隐私,它就不是 iPhone 了。

老王点评:其实我是支持苹果这种“封闭”的态度的,但是这种封闭需要更透明的信息公开。

Firefox 现已上架微软商店

之前我们 在 417 期报道 过,微软重构了其应用商店,允许第三方浏览器在微软商店上架,并且可以使用浏览器自己的引擎。Opera 和 Yandex 浏览器已经在 9 月份进入 Windows 11 的微软商店。今天,Mozilla 宣布它把 Firefox 上架到了 Windows 11 微软商店。Mozilla 宣称,Firefox 是第一个进入微软商店的“主要”浏览器,也是唯一一个使用自己的引擎(Gecko)的独立浏览器,而不是依赖 Chromium,现在商店里的所有其他竞争对手都在使用 Chromium。由于可以使用自己的浏览器引擎,因此在微软商店下载的 Firefox 和在 Mozilla 下载的功能一致。

老王点评:只是稍微方便了一点点,但是火狐的主要问题还是如何拉回来用户的心,而不是对拥有自己的引擎沾沾自喜。

微软宣布推出 Windows 11 SE

微软为学生和学校设计了一个新版的 Windows 11 SE,它将专门搭载在为 K-8 教室打造的低成本笔记本电脑上,这是微软又一次尝试与 Google 的 Chromebooks 争夺市场。和之前失败的 Windows 10 S 模式不同的是,Windows 11 SE 虽然同样只适用于低成本设备,而且只针对学校和教育客户,但是不限制第三方应用程序,如 Zoom 和 Chrome。

老王点评:虽然微软特别喜欢用 “SE” 这个缩写,但是这次应该指的是“学生和教育工作者”,希望这次能名副其实。

研究人员公开了影响无数蓝牙设备的 BrakTooth 漏洞

该漏洞 影响了数以十亿计的设备使用的 1400 多种芯片组的商用蓝牙栈,包括依赖蓝牙通信的智能手机、PC、物联网设备和工业设备。利用该漏洞的 PoC 代码已经公开发布。美国网络安全和基础设施安全局督促制造商、供应商和开发商给蓝牙设备部署补丁或采用缓解漏洞利用的方法。

老王点评:啧,这种硬件漏洞最难全量更新,就这样公开真的负责吗?

一句话回音

我们对很多事件的观察会有一些后继的发展,不算重要,但是应该做个有始有终的观察者告诉大家下文。

  • 回应 450 期,因域名失效引发游戏防盗版系统停止工作的 Denuvo 官方回应问题已经修复
  • 回应 422 期,法官拒绝苹果中止动议,要求期限前提供额外支付选项,但苹果表示要到上级法庭上诉
  • 回应 435、436 期,韩国电信的网络故障由是更换路由器引发的

SCO 诉 IBM 案在近 20 年后终于尘埃落定

早些时候,一直监督 SCO 破产的美国特拉华地区破产法院曾宣布,代表 SCO 债务人的受托方与 IBM 达成和解,IBM 支付 1425 万美元以彻底终结该诉讼,债务人放弃对 IBM 和红帽的所有未决或未来可能提出的 诉讼 要求的所有权利和利益,以及任何关于 Linux 侵犯 SCO 的 Unix 知识产权的指控。法院接受了这一和解,裁决“本案中的所有索赔和反索赔,无论是否被指控,是否被申辩,都已经全部解决、妥协和解决,并且有充分的理由。”

老王点评:终于结束了……或许吧?这个诉讼已经久到很多人都忘记了,SCO 及其“遗产”被收购后,一次次疯狂的版权诉讼,一次次的出尔反尔,曾经有可能将 Linux 扼杀在摇篮中。

REvil 勒索团伙大量成员被捕

罗马尼亚警方、美国司法部和欧洲刑警组织于周一宣布了针对 REvil 团伙的 联合行动。这次突袭行动抓捕了三名被指控的网络犯罪分子。欧洲刑警组织的行动被命名为 GoldDust,是专门为对付该团伙而设立的。自 2 月以来,该行动在罗马尼亚、乌克兰、韩国和科威特共逮捕了 7 名勒索团伙成员。REvil 影响最大的活动是成功入侵了软件公司 Kaseya,随后感染了全球多达 1500 家企业,支付的赎金超过 2 亿美元。最近几周,REvil 的负责人宣布,来自当局的压力迫使他们关闭了运营。FBI 局长说,“法律的长臂比他们想象的要长很多。”

老王点评:看来这是打疼了美国了啊。但是我们的企业也要小心被勒索团伙盯上。

因域名过期,无法运行受反盗版保护的游戏

昨晚,一个 DRM 反盗版技术使用的一个 关键域名过期,导致采用该技术的游戏也无法运行。在续费失败后,该域名进入了宽限期,但当宽限期也过后,它就被从 DNS 记录中删除了,因此整个反盗版系统就停止了工作。Steam 上的一些用户发布了一些教程,让玩家修改他们的 Windows HOSTS 文件来临时规避该问题。

老王点评:虽然我不喜欢 DRM 系统,但是这个 DRM 系统的 IT 运维也太烂了。

System76 准备另起炉灶,用 Rust 开发全新桌面

System76 的 Pop!\_OS Linux 发行版的 COSMIC 桌面是基于 GNOME 的,但他们正在 用 Rust 开发自己的桌面,而不基于 GNOME 或任何现有桌面环境。System76 回应称,开发自己的桌面环境确实是因最近 Pop!\_OS 和 GNOME 开发者之间在主题化和定制化的方法上发生了一些摩擦。Pop!\_OS 维护者 在评论中说 “我们的桌面环境是 GNOME Shell 扩展的集合,而这些扩展在每个 GNOME Shell 版本中都会被破坏。要么我们转向维护数以万计的猴子补丁,要么我们用正确的方式,成为与 GNOME Shell 一样的成熟的桌面环境。” 他们的新桌面会 “使用已经存在的工具(mutter、kwin、wlroots 等等),但是会从头开始用 Rust 实现周围的 shell...并尽力遵循 freedesktop 规范。”

老王点评:虽然自由和开源世界向以轮子众多而著称,也屡屡有人批评贡献者们只知道造轮子,而好用的轮子没几个,但是我觉得,能自由造轮子才是自由和开源世界的基础,不好的轮子自然会进化淘汰。

只有 3% 的企业在使用单一的云服务商

一项研究 对 29 个行业的七千余名高管进行了关于他们的云结构的调查。调查发现,只有 3% 的人报告在 2021 年使用单一的私有云或公共云,而在 2019 年这一数据为 29%。至少有 79% 的受访者表示,工作负载完全可移植,没有供应商锁定。

老王点评:真正摆脱了供应商锁定的云计算才叫云计算,从目前的发展来看,云计算产业已经逐渐达成了其最初的愿景之一。

微软宣布为其 Azure 云上的 Linux 添加更多安全保护

几个月前,Linux 服务器上的 Defender for Endpoint 获得了端点检测和响应(EDR)能力,Linux 上的 Defender 可以通用地拦截全新类别的威胁,如赎金勒索、敏感数据收集、加密货币挖掘等等。现在微软为 Azure Defender 客户 提供了更多的能力,Linux EDR 现在已经进入公开预览阶段,其提供的实时响应允许深入调查和快速遏制威胁,为安全团队提供取证数据、运行脚本的能力、分享可疑实体和猎取可能的威胁。

老王点评:鉴于 Linux 发行版在 Azure 云的虚拟机操作系统中占主导地位,这并不足为奇。但是我仍然对此感觉有些不安。

虽然挣了大部分的钱,但红帽只能雇用更便宜、更低级的工程师

明年,为了控制成本,IBM 的红帽公司 计划削减高级工程师的招聘。该公司向经理们发送了一封内部邮件,要求招聘资历比平时低的员工,“所有目前的申请和未来的回补都将默认降低一个级别(例如,高级软件工程师到软件工程师)”。红帽公司表示,“红帽今年已经增加了 2200 多名新员工,以帮助我们满足混合云技术的需求”。明年这个数字目前定在 200 人左右。而据另外的消息称,红帽在三季度预订了近 10 亿美元的业务,这约为 IBM 增长目标的 90%。

老王点评:这是又让马儿跑,又不给马儿吃草。

Arm 公司 CEO 称为应对芯片危机,行业每周花费 20 亿美元

Arm 公司 CEO 在里斯本举行的 Web 峰会上说,这次芯片供应危机是 他见过的最严重的一次。他说,“在接下来的几年里,每周将花费大约 20 亿美元来增加产能和建设新设施。而这将在未来五年内增加约 50% 的额外产能....”但他也对期望持谨慎态度,由于涉及到许多不同的化学品,所以很难扩大晶圆生产,“制造半导体几乎用到整个周期表……你需要的不仅仅是一个芯片工厂来解决这些供应链问题。"

老王点评:这个世界已经运行在各种大大小小的芯片之上,疫情这种黑天鹅事件第一次让公众普遍认识到芯片的重要性。

未来的苹果的硅芯片将使用 3 纳米工艺,最多可有 40 个核

苹果和台积电计划使用台积电 5 纳米工艺的增强版来制造第二代苹果硅芯片,将接替第一代 M1、M1 Pro 和 M1 Max 芯片。这些芯片可能用于下一代 MacBook Pro 和其他 Mac 台式机。苹果正计划 在第三代芯片上实现更大的飞跃,其中一些芯片将采用台积电的 3 纳米工艺制造,并拥有多达四个模具,这可能让芯片拥有多达 40 个计算核。作为对比,M1 芯片有一个 8 核 CPU,M1 Pro 和 M1 Max 芯片有 10 核CPU,而苹果的高端 Mac Pro 塔式机可以配置多达 28 核的英特尔至强 W 处理器。

老王点评:苹果硅芯片本来就快得不像话,再升级的话不能想象会怎么改变 Mac 电脑。