分类 硬核观察 下的文章

去年全球最大盗版网站访问量来源为美国

Akamai 最新的《互联网安全状况》研究报告显示,盗版网站的访问量在 2021 年 1 月至 9 月期间总计达 1320 亿次;其中 61.5% 会直接通过访问盗版资源网站来获取资源,而 28.6% 的人群则为主动搜寻盗版内容。全球前 5 大盗版网站访问量来源分别为美国(135 亿)、俄国(72 亿)、印度(65 亿)、中国(59 亿)和巴西(45 亿) 。

老王点评:美国总是指责中国的知识产权问题,不如先查查自己。

苹果正在开发新操作系统 realityOS

苹果正在开发一个 混合现实平台,已经开发了数年,团队成员多达数千人。苹果混合现实平台经历了多次延期,据报道曾计划在 2019 年发布混合现实设备,目前还不知道苹果何时发布运行 realityOS 的设备,也许是今年,也许是明年。

老王点评:说实话,现在的 VR/AR 设备还比较原始,或许苹果准备推出一个完全不同的产品来,才不断延期。

英特尔发现 16 个 BIOS 新漏洞

英特尔发布了一份 新的安全公告,其中包含了 16 个与 BIOS 相关的新漏洞。攻击者可以利用这些漏洞,在本地主机上使用拒绝服务和特权升级进行攻击,而且可以绕过操作系统和其相关的安全措施。其中有 10 个漏洞的严重程度被评为“高”,这意味着允许不受限制地访问。不过这些漏洞只能在本地有物理访问权的情况下才能被利用,不能用于远程攻击。

老王点评:由于大部分情况下 BIOS 漏洞不能远程利用,所以很多人对 BIOS 漏洞是不在意的。

价值 36 亿美元的被盗比特币被追回

美国司法部终于找到了在 2016 年加密货币交易所 Bitfinex 被黑期间被盗的几乎所有比特币,它们在一位音乐创作人和说唱歌手及其区块链创业公司创始人的丈夫手中。一个不确定身份的黑客将近 12 万枚比特币从交易所盗走转移到一个外部钱包,该钱包由上述夫妻控制,他们试图通过“迷宫般的加密货币交易”来 清洗被盗资金。在 2016 年这笔被盗的比特币总价值 7100 万美元。美国司法部扣押了仍在钱包中的近 95000 枚比特币,当前价值 36 亿美元。据悉,这些比特币将返还原持有者。

老王点评:就像历史上其它追回的被盗比特币一样,这相当于变相锁仓了。

默认使用双因素认证后用户信息泄漏情况减少一半

2021 年 10 月,谷歌宣布计划为目前未使用双因素认证的 1.5 亿谷歌用户默认开启,并要求 200 万 YouTube 创作者使用该服务。谷歌最近说它观察到该测试用户群中账户被泄露的情况 减少了一半。2018 年,谷歌曾透露超过 90% 的活跃 Gmail 账户没有使用双因素认证,从那时起,谷歌在一直教育用户使用双因素认证。

老王点评:双因素认证就是安全和便利的最好折中。

利用空闲的云计算来训练 AI

大规模的数据中心和云计算服务商尽管拥有大量的实例,但是也经常会有空闲的处理能力。莱斯大学的一个团队和 ThirdAI 的 研究表明,即使在网络通信不畅和低带宽互连的情况下,近 10 亿个参数的大规模网络也可以在简单的 4 到 16 个核心的 CPU 节点上进行训练,其效果与一些最好的硬件加速器相当。秘诀在于利用他们开发的算法中的哈希稀疏性,该算法被称为 D-SLIDE,是对现有 SLIDE 算法的一种改造。

老王点评:这种算法好,云服务商应该很欢迎。

回音

英伟达收购 ARM 交易失败

英伟达在当地时间 2 月 7 日的董事会上决定放弃收购 ARM。此前美国、英国和欧盟监管机构就此交易对全球半导体行业竞争的影响提出严重关切。这笔交易是芯片行业有史以来规模最大的一笔交易,最高曾达 870 亿美元。ARM 的技术是全球大多数移动设备的核心。高通和微软等几家依赖 ARM 芯片设计的大型科技公司曾反对此次收购。软银将获得最高 12.5 亿美元的 交易终止费,它将寻求在年底前对 ARM 进行 IPO。

老王点评:很多国家和 IT 企业并不希望 ARM 被收购,这毕竟这对别人来说都不算什么好事。

英特尔加入 RISC-V 国际

虽然英特尔已经有了基于 RISC-V 的处理器,但看来英特尔短期内不会用 RISC-V 取代 x86\_64。英特尔加入了 RISC-V 国际,成为首席成员,这一举措 应该是希望吸引更多的客户加入英特尔代工服务,领先的 RISC-V 芯片设计公司 SiFive 已经是其客户。英特尔还将赞助一个开源软件开发平台,帮助 RISC-V 发展其开源软件。

老王点评:不能消灭就拥抱,这很熟悉,对吧?

谷歌云增加加密挖矿检测能力

这项名为“虚拟机威胁检测”(VMTD)的 新功能 是一个无代理系统,它会持续扫描部署在谷歌云环境中的虚拟机内存,以发现 CPU 或 GPU 使用量增加的蛛丝马迹,尤其是加密运算。该功能默认是禁用的,客户需要自行启用。该功能只对非敏感内存起作用,VMTD 不会检查来自标记为“机密”的节点的内存。

老王点评:这个功能对谷歌云及其客户都是有意义的,我想其它的云服务商也应该有类似举措。

美国要替换华为和中兴设备,却没钱没设备

为替换华为和中兴的设备,美国联邦通信委员会的“安全可信通信补偿计划”为拥有 1000 万以下用户的运营商提供补偿,预算为 19 亿美元。然而在三个月的申请期间收到了 56 亿美元的申请,这就需要美国国会重新解决资金问题了。此外,除了 资金问题之外,准备提供替换设备的思科、Juniper 也不能及时提供设备产能,他们表示可能要 1-2 年的时间才能生产出来。

老王点评:如果真的有后门,这么长时间想做什么都做完了吧。

Meta 正考虑退出欧洲市场

伴随着《欧洲通用数据保护条例》(GDPR)的生效,美国的隐私保护法规被认为不符合规定。在欧盟法院的一项重要裁决之后,宣告欧盟-美国之间的有关个人数据的隐私盾协议无效。这一裁决影响到每一家美国公司,包括 Meta、谷歌、微软和亚马逊等。在近日提交的一份 SEC 文件中,Meta 说如果它不能与美国的业务、应用程序和数据中心分享欧洲用户的数据,将对其有针对性的在线广告能力产生破坏性影响,它或将干脆完全 撤出欧洲

老王点评:或许广告盈利模式会有一些新的变化和博弈,但是我想本质上不会变,用户获得免费服务的代价总是以某种形式支付。

AI 已经威胁到有声书行业的从业者

传统的人工配音 相比,AI 配音的有声书成本要低得多。但是将失去工作的不仅仅是配音员,而是整个有声书配音生态。根据美国音频出版商协会的最新数据,美国 2020 年出版的有声书超过 7.1 万本,但只占当年出版的印刷书籍数量的一小部分。专业的配音员认为自己所从事的是艺术,然而这并不能阻止出版商越来越多的采用 AI 来配音。

老王点评:和很多即将被 AI 取代的工作一样,我觉得与其抱怨和反对,倒不如想想如何让 AI 更好的配音,重新定位自己的角色。

GitHub 推出赞助商专属存储库

几年前,GitHub 引入了赞助功能,允许任何人财务赞助开源开发者。而现在,GitHub 推出了 赞助商专属存储库,也就是只有赞助商才能访问的私人存储库。这些存储库可以分为不同的赞助级别。有了赞助商专属仓库,开发者不仅可以募集捐款,还可以更好地与赞助商(企业或其他)进行更深入、更个性化的接触。

老王点评:虽然这样使受益和付出更一致,但是,与开源的关系呢?我觉得将来的发展未必是人们所期望的。

Go 语言正在测试对泛型和模糊处理的支持

Go 1.18 本周发布了 第二个测试版。在 1.18 中,通过 Go 语言服务器和 VSCode 扩展可以支持泛型。此外,还引入了模糊处理和新的 Go 工作区模式。Go 1.18 的测试版被证明是非常可靠的,谷歌称,“事实上,我们已经在谷歌这里的生产中运行它”。候选发布版也有望在本月晚些时候发布,最终的 Go 1.18 版预计在 3 月发布。

老王点评:Go 这样活跃开发的语言,只要坐等就可以预期不断有很多新特性和性能提升。

GNU/Hurd 使用 NetBSD 驱动程序来支持硬件

GNU/Hurd 的硬件支持一直处于非常粗糙的状态,缺乏完整的 x86\_64 支持,缺少 USB 支持,最近才有一定程度的对声音的支持。即使它比 Linux 内核存在的时间更长,仍然还有漫长的道路需要走。它的开发者在 FOSDEM 2022 上说,他们在微内核环境中重新使用 NetBSD 内核驱动,以扩大 Hurd 的硬件支持范围。

老王点评:Hurd 发展的太慢了,不过这样可以利用其它系统的硬件驱动倒是一个好主意。

苹果改变隐私设置将导致 Meta 明年损失一百亿美元

之前,苹果默认允许广告商在移动设备上跟踪用户,但用户可以手动关闭跟踪。去年苹果以隐私保护的理由改变了这一行为,要求应用向用户询问是否愿意被跟踪。调查显示,54% 的苹果用户在看到该通知之后选择不要跟踪。苹果的这一变动降低了定位广告的准确度,进而降低了对广告商的吸引力。Meta 称,这将导致该公司在 2022 年 损失一百亿美元,占到了 2021 年收入的 8%。而雪上加霜的是,谷歌也准备在安卓中引入了类似的变动。

顺便说一句,Facebook 18 年历史上它的 日活用户首次下降

老王点评:虽然这保护了隐私,但是我觉得广告商们不会这样坐以待毙,或许我们会见到更多广告位?

Meta 将引入虚拟现实形象之间的强制性距离

Meta 公司 VR 应用“地平线世界”的测试用户抱怨在网上被摸,呼吁在他们的虚拟现实形象周围建立一个保护性的气泡。Meta 公司 周五宣布,它正在旗下两个 VR 应用上引入个人界限,人与人之间的距离将相当于 VR 中的四英尺。

老王点评:不过,某些场景下我们需要更近的距离,或许可以设置个亲密白名单。

微软正式禁用 MSIX 应用安装协议

微软 正式宣布,它已经禁用了 MSIX 应用安装程序协议(ms-appinstaller:)以防止恶意攻击。该协议允许用户直接从网络服务器上安装各种应用程序,而不需要先将其下载到本地。然而,这种 Windows 应用程序安装方式后来被发现用来分发恶意的 PDF 文件。微软表示,它正在研究如何在未来某个时候以安全的方式重新启用该协议,比如添加某些组策略。

老王点评:本意是出于方便,但是却被利用。很多事情都是这样,便利和安全彼此抵触。

回音

  • 之前我们 报道过 ,GitHub 上可以冒充其它用户伪造仓库 URL。虽然 GitHub 不承认这是漏洞,但现在对这种类型的伪造 URL 给出了一个 提醒:“这个提交不属于这个版本库的任何分支,可能属于版本库以外的复刻。”