分类 硬核观察 下的文章

洋葱新闻:“Linus 发现 Windows XP 很棒”

Linux 创始人 Linus Torvalds 在 GitHub 上的 Linux 仓库的 README 中写道:“我删除了Linux,因为我讨厌它,现在我认为它很糟糕。你应该去使用这个很棒的操作系统,它叫 Windows XP,我刚刚发现它很棒。”,这个文件的 URL 是 https://github.com/torvalds/linux/tree/8bcab0346d4fcf21b97046eb44db8cf37ddd6da0 ,没错,看起来是 Linux 的仓库地址。好吧,这是一个洋葱新闻。事实上,这是一个 GitHub 的 bug,任何人都可以通过伪造 URL 而看起来像是另外的仓库和另外的作者。而这个 Bug 由来已久,但是 GitHub 从未准备修复。

老王点评:无论 GitHub 基于什么理由不修复,但是通过这个漏洞可以制作出以假乱真的钓鱼信息,大家一定要注意。

最新版 macOS 12.3 终于移除了 Python 2 的支持

苹果释出了 macOS Monterey 12.3 Beta,一个主要变化是 不再捆绑 Python 2.7。苹果建议开发者使用 Python 3 或替代语言。Python 语言项目在 2020 年 1 月 1 日停止支持 Python 2 分支,接替 Python 2 的 Python 3 早在 2008 年就已经发布,但由于它不向后兼容,导致许多用户仍然停留在 Python 2 分支。但 macOS 也没有预装 Python 3,开发者可选择安装捆绑 Python 3 的 Xcode 开发工具。

老王点评:如果 Python 3 能对 Python 2 提供更多的兼容性,而不是弃之如敝履,就不会有这么多的产品和服务还留在 Python 2。

OpenSea 称其上免费创建的 NFT 80% 都是垃圾或剽窃作品

占有绝对垄断地位的 NFT 市场 OpenSea 宣布,它将限制用户在平台上使用其工具免费创建 NFT 的次数为 50 次。这些免费创建的 NFT 可以跳过支付区块链燃料费用,而在售出时由买家支付。之后在社区的反对之下,OpenSea 又宣布取消这一限制,同时也给出了做此限制的 理由:用这个免费工具创建的项目中,超过 80% 是抄袭作品、虚假收藏和垃圾内容。

老王点评:其实我觉得这种对免费创建的限制是有道理的,要不 OpenSea 可能会沦为垃圾场。

量子计算机距离破解 BTC 加密还差百万级

量子计算机可借助量子的特性来加速某些计算,科学家们正在研究“到底需要多大规模的量子计算机”才能攻破 BTC 网络。他们发现,如果将破解 BTC 加密的时间窗口限制在 BTC 网络的出块时间 10 分钟,将需要动用规模达到 19 亿个量子比特的超级计算机。但若放宽到半小时,就只需要动用具有 1300 万个量子比特的量子计算机。IBM 创纪录的超导量子计算机,目前也只达成了 127 个量子比特。而将量子比特扩大百万倍,看起来在十年内不大可能做到。

老王点评:即便量子计算机真的发展到那么强大,也有比破解 BTC 更重要的事情要做。

可以训练 AI 的 AI

深度神经网络在 10 年前开始超越传统算法,这是因为我们终于有了足够的数据和处理能力来充分利用它们。训练神经网络需要仔细调整数百万甚至数十亿的参数值,这些参数是这些网络的特征,目标是为它们找到近乎理想的值,这个过程被称为优化,但训练网络并不容易。科学家们构建了一种“超网络”以 加快训练过程,即训练神经网络的神经网络。给出一个为某些任务设计的新的、未经训练的深度神经网络,超网络可以在几分之一秒内预测出新网络的参数,理论上可以使训练不再必要。

老王点评:虽然还不是最可怕的情况,但是这无异于给了 AI 一种自我进化的能力。

影响 12 年来所有 Linux 发行版的本地提权漏洞

Polkit 是一个 SUID 程序。它被默认安装在每个主要的 Linux 发行版中。任何普通用户都可以通过利用其默认配置中的这个 漏洞,在有漏洞的计算机上获得完全的 root 权限。这个漏洞自 2009 年 5 月创建以来一直存在,即使 polkit 守护程序本身没有运行,它也可以被利用。

老王点评:其实 Linux 世界中这种早期潜伏的危险应该还不少,因为那时候 Linux 显然没现在这么重要。

微软推出中国特供版的“微软电脑管家”

微软专门针对国内用户发布了一款“微软电脑管家”的软件。官方介绍称:“微软电脑管家聚合了微软 Windows 系统强大的底层研发能力,搭配微软独有反病毒引擎,全面构建您的电脑防护体系。主打低占用、不打扰、干净、不捆绑的产品特点,为用户提供电脑体检、反病毒、主页反劫持、电脑垃圾清理等功能。”不过,虽然该软件的开发商是世纪互联的子公司北京蓝云公司,但是微软表示该软件隶属于微软

老王点评:真是熟悉的配方。

波士顿动力的机器人从 DHL 获得 1500 万美元的工作机会

去年 3 月,波士顿动力公司公布了其第二款商业机器人 Stretch。该机器人建立在箱子搬运概念之上,旨在将该公司的先进机器人技术带入仓库/物流环境中。最近,波士顿动力公司 宣布,物流巨头 DHL 已经承诺与其达成一项为期多年、价值 1500 万美元的合作,它将在未来三年为 DHL 物流中心带来一支机器人队伍,首先它将负责从卡车上自动卸货,随后还将增加更多的任务,以进一步实现包裹处理过程的自动化。

老王点评:看来以后这种体力活都是机器人的了。

Let's Encrypt 错误签发数百万张证书

Let's Encrypt 工程师称在 2022 年 1 月 26 日 00:48 UTC 部署修复程序时发现,所有通过 TLS-APLN-01 质询颁发和验证的证书都是错误的,需在 5 天内让错误证书失效,计划 从 1 月 28 日 16:00 UTC 开始吊销错误证书。但并非所有证书都受此问题影响,预计不到 1% 的活跃证书受此问题,影响当前已经向相关用户发送邮件通知。

老王点评:保险起见,无论是否收到邮件,还是重新签发一下比较好。

美国部分企业关键芯片的库存只能支持数天

美国商务部称,芯片短缺的情况将会持续,企业部分关键零部件的库存只能支撑不到五天。调查显示,关键芯片库存中值已从 2019 年的能够支撑 40 天下降到 2021 年的不到五天。与此同时,对芯片的需求也比 2019 年高出约 20%。调查显示,芯片供需存在严重、持续的错配,受访者认为这个问题在未来六个月内不会消失。

老王点评:看来未来的日子还将继续艰难。

谷歌宣告放弃 FLoC

谷歌两年来一直计划用其他技术来取代 Cookie,以向用户提供有针对性的广告,其使用的是一个名为 FLoC 的系统。FLoC,即“群组联合学习”,将通过使用一个浏览器内的算法来取代 Cookie。该算法将分析用户的浏览历史以确定用户的“兴趣群组”,而广告商根据群组精准投放。其设计初衷是为用户提供一定程度的隐私,但谷歌表示 FLoC 可能不足以保护用户的身份。此外,该系统也遭受到广告商的强烈反对,并在欧盟受到投诉。多家基于 Chromium 的浏览器开发商也都决定禁用 FLoC。周二,谷歌表示向有关拟议的投诉让步,转而计划采取 不同的方法

老王点评:本质上,谷歌就是一家广告公司,所以它设计的方案自然得不到信任。

由于积极行动,大规模的 Log4j 攻击没有到来

Sophos 认为,因为该漏洞的严重性使数字和安全社区团结起来,激励人们采取行动,攻击者大规模利用 Log4j 漏洞的直接威胁 被避免了。该公司指出,在 12 月 20 日至 23 日期间,被其防火墙阻止的 Log4j 攻击达到顶峰,然后在 1 月期间逐渐减少。

老王点评:但这并不意味着我们已经摆脱了风险,在未来几年会持续有黑客利用这些漏洞发起攻击。

Meta 正在建造世界上最快的 AI 超算

Facebook 母公司 Meta 宣布 它正在建造世界上最快的 AI 超算 RSC。Meta 研究人员表示,新超算将能处理有数万亿参数的神经网络,相比之下 OpenAI 的自然语言处理神经网络 GPT-3 有 1750 亿个参数。新超算计划在今年年中完成建造,将使用 16000 个 GPU,储存容量达到 1 EB,能每秒处理 16 Tbps 的数据。

老王点评:这是为 Meta 宇宙准备的吧。

俄罗斯自研操作系统 Phantom OS 预计今年问世

俄罗斯花了 12 年研发的 Phantom OS 始于 2010 年,计划在今年推出原型操作系统,并创建基于 Genode 微内核的操作系统。其定位于 Linux 系统的竞争者,主打更好的性能,主要用于可穿戴及嵌入式设备。它有一个独特的“永不停机”的设计理念,可以将指定状态的快照存储到永久性存储设备中,一旦断电或者出现其他意外情况,系统可以回滚到最后一次状态并继续工作,好像一切都没发生过。

老王点评:所有宣称取代 Linux 的,最终都不了了之。

去年发生的数据泄漏事件远超历史记录

据一份 新发布的《2021 数据泄露报告》,在过去一年中总共发生了 1862 起数据泄露事件,刷新了 2020 年(1108 起)和 2017 年(1506 起)的最高记录。报告还指出,涉及勒索软件的攻击在过去两年中每年都增加一倍,占 2021 年报告的网络攻击总数的 22%,按照这种增长速度,勒索软件攻击将超过网络钓鱼。

老王点评:勒索软件威胁已经成为了头号威胁,不过似乎国内企业对此的感受不深。

以后可以在 Linux 应用中看到(很多)广告了

Qt 宣布支持客户端应用程序中的广告,应用程序开发人员现在可以在桌面应用程序中提供 广告服务,而这通常是 Windows 用户的待遇。Qt 被广泛使用在桌面应用程序开发中,KDE 就是基于 Qt 框架开发的。虽然估计不会在 KDE 的核心应用程序中看到广告,但有可能一些急于挣钱的发行版会将这些应用程序分叉,在其中放置广告。根据其文档,该广告插件支持所有主流平台,包括 Windows 和 Linux 等等。

老王点评:这个消息让我一时不知道该怎么说,一方面确实可以补贴一些开源开发团队,另外一方面充斥着广告的 Linux ,怎么都感觉不对劲。

自毁代码库的作者要求恢复其发布到 NPM 的能力

Faker.js 的原作者在 自毁 了其两个重要的开源代码库之后,GitHub 和 NPM 一度封禁了他的账户并回滚了其提交的恶意版本。之后 GitHub 恢复了他的账户,而一些社区贡献者 复刻 了他的 Faker.js 项目,并提出了积极的发展路线图。而该作者在 Twitter 上 抱怨称,GitHub 取消了他向 NPM 发布和修复错误的能力,一直没有恢复。他称其还有一百多个包要维护,并委婉地承认了错误:“每个人都会时不时地犯编程错误。没有人是完美的。”

老王点评:公平的讲,虽然该作者的行为不合情理,但是 GitHub 和 NPM 也没有强行封禁的权利和理由。

Linux 供应商固件服务考虑为老旧设备提供开源固件

开发者提议,由 Linux 供应商固件服务(LVFS)这样的实体为已经过了保修期的硬件提供自由开源的固件。这涉及到一些法律问题,而且这样的举动可能不会得到硬件供应商的认可。到目前为止,由于法律要求、良好的安全模式等原因,LVFS 完全依赖于 ODM/OEM 为其硬件上传固件。对于没有经验的用户来说,通常不是很容易自己操作闪存。而采用 LVFS 可以使你更容易地关闭系统的专有固件,并在支持的情况下切换到自由固件。如果用户接受采用第三方固件的风险,这样也为挽救过保的硬件提供了可能。

老王点评:我觉得这是一种有益的尝试。
  1. 1
  2. ...
  3. 120
  4. 121
  5. 122
  6. 123
  7. 124
  8. 125
  9. 126
  10. ...
  11. 208