分类 硬核观察 下的文章

OpenJDK 18 发布

Oracle 公司今天 正式发布了 Java 18 的参考实现 JDK/OpenJDK 18。OpenJDK 18 现在已经可以用于生产,它包括了一些新的功能,以及数百个较小的改进和一千多个错误修复。在 OpenJDK 18 中,UTF-8 最终成为了 Java SE API 的默认字符集。另一个值得注意的是,它包括了一个简单的 Web 服务器 Jwebserver,这是一个新的命令行工具,用于启动一个基于 Java 的最小的静态 Web 服务器。

老王点评:可真快,一转眼 Java 都 18 了。

一名 16 岁英国少年被疑似 Lapsus$ 黑客组织的主谋

彭博社报道,网络安全研究人员在调查 Lapsus$ 黑客组织针对微软和英伟达等科技公司的攻击时,发现这些攻击与一名住在英国牛津附近的 16 岁少年有关,他们认为这名少年是主谋。他的个人信息,包括他的地址和他父母的信息,被对手发布在网上。Lapsus$ 的另一名成员被怀疑是一名居住在巴西的青少年,很可能还有其他人参与了该组织的行动。

老王点评:真是“无畏”的少年,不过,可笑的是,一些世界级的大公司就这样被攻破了。

微软采用新的机器学习技术改善其 AI 翻译

微软宣布 基于其 Z-Code 项目对其翻译服务进行更新,该项目采用了“备用专家混合”的方法,这些新的模型在盲评中得分高出了 3% 到 15%。“混合专家”并不是一项全新的技术,但它在翻译方面特别有用。在其核心,该系统基本上将任务分解为多个子任务,然后将它们委托给更小、更专业的模型,这称为“专家”。然后,系统根据自己的预测,决定将哪个任务委托给哪个“专家”。

老王点评:讲实话,现在无论是谷歌还是微软的必应,其翻译质量还是一般,甚至有时候可笑。

以太坊创始人说,加密货币的目标不是用百万美元的猴子图片玩游戏

最近,在接受《时代》杂志 采访 时,以太坊创始人 Vitalik Buterin 说,“加密货币存在越来越多的危险,包括过度渴望的投资者和飙升的交易费用。”他对无聊猿游艇俱乐部等热门 NFT 进行了明显的抨击,“危险的是你有这些 300 万美元的猴子,它变成了一种不同的赌博”,他认为,“最终加密货币的目标不是用百万美元的猴子图片玩游戏,而是做在现实世界中完成有意义的事情”。

老王点评:虽然 V 神很清醒,但是以太坊上的很多人其实都是为了钱来的。

Lapsus$ 黑客泄露了 37GB 的微软产品源代码

曾经高调披露入侵了英伟达、LG 的黑客组织 Lapsus$ 又 宣称入侵 了微软内部的 Azure DevOps 服务器,随后公开了一个据称包含了超过 250 个微软项目的压缩包种子。在解压后有 37GB 大小,其中包括了 Bing 90% 的源代码,Bing 地图和“小娜”项目 45% 的源代码。研究人员认为它们是真实的内部源代码。泄露源代码不涉及微软的 Windows、Office 等桌面软件。微软确认了被入侵,称它的“一个单一账户被入侵,给予了有限的访问权。”微软表示他们“并不依赖代码的保密性作为安全措施,查看源代码并不会导致风险的提升。”

老王点评:其实我是不怎么相信微软的源代码泄露不影响微软的产品安全的。

谷歌的短信和电话应用一直悄悄向谷歌发送短信、通话信息

根据一份 研究报告,安卓上的“谷歌信息”(短信)”和“谷歌拨号器”(电话)应用一直在向谷歌游戏服务 Clearcut 记录器服务和谷歌的 Firebase 分析服务发送用户通信数据。“谷歌信息“发送的数据包括时间戳和信息文本组合的哈希值,“谷歌拨号器”发送的数据包括通话时间和持续时间,通过这些数据可以关联起来发件人和收件人。此外,电话号码也会被发送到谷歌。而且,谷歌没有提供选择退出这种数据收集的方法。虽然谷歌要求第三方开发者提供所收集的数据范围,但是谷歌预装的第一方应用却缺乏具体的隐私政策。“谷歌信息”和“谷歌拨号器”被预装在超过 10 亿部安卓手机上。谷歌确认了遥测信息的收集,并表示将做出改变。

老王点评:谷歌肯定想的是,我拿点数据那能叫偷么?读书人的事情……

新的 BitB 攻击形式仿造 OAuth 窃取用户凭证

成千上万的网站使用 OAuth 协议,让访问者使用他们在谷歌、Facebook 或苹果等公司的现有账户登录。“浏览器中的浏览器”(BitB)技术利用了这个方案。BitB 不是真正打开第二个浏览器窗口,以连接到用于登录或付款的网站,而是使用一系列 HTML 和 CSS 技巧,显示一个欺骗窗口。其显示的 URL 可以显示一个有效的地址,也有一个挂锁和 HTTPS 前缀。窗口的布局和行为看起来与真实的东西完全一样,除了不能不能被调整大小,完全最大化或拖到主窗口之外。

老王点评:真是防不胜防,一时不注意还真难以发现。

高通公司正在计划为其芯片增加 AV1 支持

发布于 2018 年的开放视频编解码器 AV1 的普及一直很慢,主流视频供应商在等待更广泛的设备支持,而设备厂商则在等待视频供应商提供更多的 AV1 视频。但现在这种情况已经在逐步改变。据称 高通公司正计划在其即将推出的旗舰产品 Snapdragon 移动处理器中加入对 AV1 的原生支持。预计该芯片最早将在今年年底推出。除了高通之外,三星、联发科、博通也都推出了支持 AV1 解码的芯片组,而像谷歌等流媒体设备厂商也在推动其设备增加 AV1 的支持。

老王点评:AV1 什么都好,就是不普及,希望能看到普及吧。

老式 IPv6 设备会泄露你的隐私

在 IPv6 网络中,每个设备都有一个公开的 IPv6 地址。这些地址应该定期换成新的地址。这样当你再次访问一个网站时,仅从你的 IPv6 地址来看,网站并不清楚你的设备已经回来了,这可以给予你一定程度的隐私。在分配地址时,路由器会发送一个网络前缀给客户,然后客户选择一个主机地址。曾经这个主机地址基于设备的硬件 MAC 地址编码,这被称之为 EUI-64。但早在 2007 年就提出的 IPv6 隐私扩展要求随机化地址的主机部分,也就是禁用 EUI-64。而在 研究中发现,大约不到 1/5 的设备仍然默认使用 EUI-64,这造成了隐私泄露。同时,许多 Linux 发行版并没有默认启用隐私扩展,使用 Linux 的产品很可能在不知不觉中将其用户的隐私置于危险之中。

老王点评:协议设计的很好,奈何现实比较可怜。

Firefox 拦截了中国用户下载广告拦截扩展

蓝点网报道,Firefox 中国版以及国际版均已阻止了中国大陆用户访问其广告拦截扩展的下载页面,而在其它地区则没有被屏蔽。当用户尝试访问时会提示“此页面在您的地区不可用”,返回代码为 “HTTP 451 出于法律原因不可用”。但通过其它方式安装的拦截扩展目前可以正常工作。受影响的广告拦截扩展包括 uBlock Origin、AdGuard AdBlocker 等多款知名广告拦截器。据悉,此次屏蔽可能与芒果 TV 和酷 6 网对 Mozilla 基金会的中国子公司谋智的起诉有关。诉讼原因是 Firefox 安装广告拦截程序后可以屏蔽上述视频网站的片头广告,给原告方带来严重经济损失。Mozilla 在败诉后,提起上述,依然败诉。

老王点评:万恶的广告(商)!

以消除密码为己任的 FIDO 联盟

FIDO 联盟成员包括各大科技公司,其使命为减少世界上“对密码的过度依赖”,以最终实现大规模采用 替代密码的技术。无密码的 FIDO 标准依靠设备的生物识别扫描器(或你选择的主密码)来对你进行本地认证,而不需要将你的任何数据通过互联网传送到网络服务器上进行验证。其主要思路是让操作系统实现一个“FIDO 凭证”管理器,这有点类似于内置的密码管理器。这种机制是存储可以在设备之间同步的加密密钥,并由你的设备的生物识别或密码锁进行保护。

老王点评:密码系统因其屡屡成为安全短板而被人诟病,但是密码系统的结构非常简单,而这种无密码系统似乎又过于复杂了。我总觉得没有银弹,无密码系统或许也有它的问题。

Linux 内核的随机数生成器获得十余年来的重大改进

Linux 内核的 随机数生成器(RNG)不仅在 5.17 中最终废除了 SHA-1,转而使用 BLAKE2s,而且还将在 5.18 中将 /dev/random/dev/urandom 统一起来,使它们之间没有任何区别。所以现在选择哪一个都是正确的,社区的争吵可以停止了。目前还没有改变 RNG 行为方式的任何根本。它仍在计算熵位,并拥有与以前相同的熵源集。但是,将这些熵源转化为加密安全的随机数的底层算法已经被彻底修改了。

老王点评:终于在 WireGuard 创始人的出手后,Linux 的 RNG 开始追上其它操作系统了。

商业软件早期版本的复刻不能称自己是“开源替代品”

Neo4j EE 在 2018 年 5 月放弃了 AGPL 许可证,并采用了一个新的许可证。这个新许可证禁止软件的非付费用户转售代码或提供一些支持服务,因此不是开源倡议所定义的“开源”。于是,图基金会和另外两家公司从 Neo4j EE 中复刻了 ONgDB,作为 Neo4j 的“自由而开源”的版本提供。在 2018 年和 2019 年,Neo4j 就商标和版权侵权等问题向它们提出了法律索赔。美国法院裁定,图基金会和另外两家公司不得声称 ONgDB 是 Neo4J EE 的“100% 自由开源的版本”。受到这一系列影响,图基金会撤下了 ONgDB 3.4、3.5 和 3.6。从 AGPLv3 许可的 Neo4j EE 3.4.0.rc02 复刻了 ONgDB,并从 1.0 版本重新开始,取代了它们。

老王点评:如果一个曾经的开源软件变成了商业软件,而你做了一个开源的复刻,那么小心了,你有可能不能说是它的开源替代品。

运行在 M1 芯片上的 Asahi Linux 发布 alpha 版本

Asahi Linux 终于宣布了 alpha 版本,它可以在 M1、M1 Pro 和 M1 Max 等苹果硅 Mac 上测试运行。它基本上是建立在 Arch Linux ARM 之上的,添加了几个相关的软件包。它支持 macOS 和 Linux 双重启动。苹果硅平台完全没有公开文档,这需要开发者们对苹果的 GPU 架构进行逆向工程,并为其开发一个开源的驱动程序。有趣的是,苹果公司允许在无需越狱的情况下在苹果硅 Mac 上启动无签名的或定制的内核,这不是一个黑科技或无意的疏忽,而是苹果在这些设备中内置的一个实际功能。只要不从 macOS 中提取代码来建立对 Linux 的支持,其结果是完全合法的,可以分发和供终端用户使用。事实上。最近发布的 macOS Monterey 12.3 使这个过程 更加简单

老王点评:首先恭喜这个连 Linus 都关注的项目终于迈过了新的里程碑;另外,也为这次苹果的开放态度点赞。

微软的杀毒软件将 Office 更新标记为勒索软件

前两天,微软 Defender 最新推送的的一个更新,让 Windows 管理员们手忙脚乱,微软自己的 Office 更新被标记为勒索软件。在某些情况下,它触发了“大量的勒索软件警报”。这不是微软 Defender 第一次误伤自家产品了,去年 11 月,它还阻止了 Office 文档的打开和一些 Office 可执行文件的启动。

老王点评:据说 Defender 在相关测评中得分还很高。

每一次下载的 Firefox 安装包都含有唯一识别码

你每次从 Mozilla 官网下载的 Firefox 安装文件都不同,它会含有一个 唯一识别码,因而你查看其 MD5、SHA-1 等校验码会发现各个不同。Mozilla 内部将该识别码称为 dltoken,可以用二进制分析工具检查软件包找到它。该数据用于 Firefox 内部分析。所有分发通道的 Firefox 都含有该识别码。如果你不想下载带识别码的 Firefox,可以从 Mozilla 的 HTTPS 资源库(以前的 FTP 资源库)或第三方下载网站下载。虽然 Mozilla 指出,选择退出的机制是标准的遥测选择退出,但用户如何在安装 Firefox 浏览器之前选择退出?

老王点评:这就是号称保护用户隐私的 Mozilla 吗?

开源软件包 node-ipc 植入反俄代码遭到抨击

node-ipc 是一个流行的 Node.js 基础软件包,被包括 Vue.js 在内的许多大型软件和框架所依赖,其周下载量超过百万次。然而最近,该维护者发布了名为 peacenotwaroneday-test 两个模块,并作为依赖项而包含在 node-ipc 的代码中。其中包含了作者本人对俄乌战争的观点和呼吁,“作为一种非暴力的抗议形式,以反对当前俄乌冲突造成的威胁”。这些模块会在用户的电脑桌面上放置一个文件来宣传其倡议。然而,更糟糕的是,作者还发布了一个特定版本,它采用混淆代码以隐藏其真实目的,针对俄罗斯和白俄罗斯用户的 IP 而 破坏用户的文件。此事招致了开发者们大量的抨击。

老王点评:我一直没有点评俄乌战争以来开源界或更广泛的技术领域的表态,但是这件事让我感觉突破下限了。抛开这些恶意行为不说,Node.js、Python 等依赖开源公共仓库模式的语言,必须有个切实的解决方案来应对这些有意或无意的破坏了。

Mozilla 和 Open Web Docs 在 MDN 上携手合作

Mozilla 在裁员时将其著名的 MDN 团队也裁掉了,并在此基础上和谷歌、微软等公司共同建立了 Open Web Docs(OWD)。但是,前不久 Mozilla 又 推出了新版 的 MDN,并推出了收费的 MDN Plus 服务。这让人迷惑其与 OWD 关系如何。现在 Mozilla 撰文澄清 了它与 OWD 的关系:双方保持密切合作,OWD 会向 MDN 贡献内容,是其重要的贡献项目之一;但是 Mozilla 不参与 OWD 的决策,双方也不向对方提供财务支持。

老王点评:我觉得,其实背后还是 Mozilla 分割出去 MDN 之后又舍不得了。