微软允许第三方浏览器在其商店上架

随着 Windows 11 的推出，微软商店也进行了彻底重构，其中最大的变化之一是微软解除了一些限制。微软已经改变了 关于浏览器引擎的政策，允许浏览器使用自己的引擎在微软商店发布。Mozilla 对这一变化表示赞赏，并说 Firefox 将在今年年底前在微软商店中提供。其他大型浏览器也有可能在微软商店上线，虽然 Google 还没有对此发表看法。此外，微软不再阻止第三方商店在微软商店中上市，所以像 Epic 游戏商店这样的“店中店”也可以下载了。

老王点评：微软是越来越开放了，与之形成鲜明对比是水果铺子了。

Canonical 推出适用于嵌入式显示器的 Ubuntu Frame

这款新产品旨在为开发者提供一种方法，使其能够轻松地在信息亭等嵌入式显示器上构建和部署应用程序。据该公司称， Ubuntu Frame 意味着开发者不需要集成和维护部分解决方案，如 DRM、KMS、输入协议或安全策略。Ubuntu Frame 与 Flutter、Qt、GTK、Electron 和 SDL2 等工具包兼容，它还为基于 HTML5 和 Java 等的应用程序提供了解决方案。Canonical 称，“它的可靠性已经在现场得到了广泛的测试，相关技术已经开发了 7 年多。”为确保设备在其整个生命周期内得到支持，Ubuntu Frame 将被支持 10 年。

老王点评：相比其手机版本，我觉得这种瞄准信息亭的解决方案更有前景。

微软官方提供绕过 TPM 检查安装 Windows 11 的方法

为了避免人们通过使用非标准化的第三方脚本来破坏他们的系统，微软发布了一个 新的支持网页，提供了一个官方方法来绕过 TPM 2.0 和 CPU 检查。但微软一再提醒，在不支持的硬件上安装 Windows 11 伴随着一些隐患。这一方法至少需要 TPM 1.2，但是如果你连这个都没有，还是需要一个第三方的方法来 绕过所有 TPM 检查。

老王点评：强制限制硬件这种做法并不好，如果因为缺乏某些硬件，导致功能和安全性降级，用户应该有自行承担的决定权。

微软的 .NET 基金会受到辞职的前董事抨击

微软的 .NET 基金会是为了管理和支持开源的 .NET 和相关项目而设立的，但其作用受到了 一位前董事会成员的质疑，这位成员因沮丧而辞职。该成员认为，“基金会对社区的任何事情都不透明”，并质疑，“你们是来执行微软对 .NET 开源的意志，还是来帮助培养和促进一个健康的社区？对于后者来说，成绩看起来并不理想。”他对基金会提出的“成熟度模型”意见很大，“它看起来太微软的官僚主义，……更多关注的是监督和命令，而不是培养和帮助。”

老王点评：被单一官方支持的基金会，往往和社区主导的基金会的行为模式大相径庭。似乎我们确实没有感受到 .NET 基金会发挥的作用。

Firefox Focus 迎来重大更新

Firefox Focus 推出于 2016 年，是一个以隐私为重点的移动浏览器。这次的更新 增加了新的外观标识、快捷键和更多隐私控制。此外它还带来了一个新的盾牌图标，让用户可以直接从图标上快速打开和关闭跟踪器，并增加了一个新的全局计数器，向用户显示他们被屏蔽的所有跟踪器。

老王点评：在 FireFox 市场份额急剧丢失的今天，似乎 Firefox Focus 还值得一观。

科学家可以在几分钟内将数据记录到 DNA 上

西北大学的研究人员设计了一种 将信息记录到 DNA 的新方法，只需几分钟而不是几小时或几天。目前依赖于将新信息与现有 DNA 序列相结合的多部分过程，这可能需要超过 10 小时才能完成。他们发现的新方法利用一种新的酶系统合成全新的 DNA，而不是复制它的一个模板。该方法使数据能够在几分钟内被记录到遗传密码中。

老王点评：随着技术的进步，人类越来越对 DNA 缺乏“敬畏”了，我觉得或许有一天会发现我们那么多静默的 DNA 片段里面记录了些什么。

Facebook 宕机 6 小时，工程师一度无法远程和现场排除故障

美国东部时间周一上午 11:30 左右，Facebook 旗下的主要应用，包括 Facebook、Instagram、WhatsApp、Messenger 等从互联网上全部消失了 6 个小时左右。据 外界分析，是 Facebook 错误的 BGP 更新导致了问题，并因此阻止了对工程师们远程访问，无法及时进行恢复工作。不仅如此，其内部通信平台 Workplace 也因而下线，使他们之间难以及时联络。甚至工程师们无法接触到受影响的服务器，因为他们的数字身份认证系统同时也停止了工作。

根据 Facebook 二季度的财报，其每小时大约收入 1330 万美元，这意味着该事故导致 Facebook 至少损失了 8000 万美元的收入。并因此导致该公司股票被抛售，股票价格下跌了近 5%。据估计，该事故对全球经济总影响成本约为 9.68 亿美元。

老王点评：网络出问题时，一般都把锅丢给 DNS，但是其实更大的锅往往是 BGP 的，这个协议屡屡造成超大规模的网络问题。

Windows 11 正式发布，微软解释为何限制硬件

微软表示，符合 Windows 11 升级条件的现有 Windows 10 设备将从今天开始能够升级。

关于 Windows 11 最大的争议来自于其对硬件的硬性要求：需要较新的 CPU 和 TPM 2.0。微软对此解释称，“保证所有用户的计算机包含 TPM 也意味着可以确保每个应用程序开发人员现在都可以在硬件中存储证书和密钥。更多的应用程序可以默认支持无密码；更多的应用可以进行数据加密；更多的应用程序可以有零信任保护，因为我们已经有了基于虚拟化的能力来报告他们的完整性。”

此外，关于在 Windows 11 中默认开启的“基于虚拟化的安全”（VBS）功能，微软解释说，“我们从 Windows 10 中学到的是，如果你让安全设定变得可有可无，人们就不会把它们打开。这是一个很大的教训。有鉴于此，我们在 Windows 11 中将默认保护用户的安全。”他们在 Windows 11 中采用了和云计算相同的做法，即使有人获得了最高级别的权限，他们仍然无法读取独立的虚拟机中的内容。

老王点评：虽然我部分认同微软的安全观点，但是我觉得有一层微软没说的意思是，他们想推动人们买新的硬件。

Android 12 正式发布

谷歌宣布，已经将 Android 12 源代码推送到 Android 开源项目（AOSP），这也意味着 Android 12 正式发布。接下来的几周内到今年晚些之后，从 Pixel 开始，三星、一加、OPPO、realme、传音、vivo、小米等品牌设备将陆续升级 Android 12。Android 12 提供了更快、更高效的系统性能，改进了应用程序启动时间并优化了 I/O，以加快应用程序加载速度。此外，还提供了重新设计的小部件，更新了通知设计等界面变化。

老王点评：看来今天都是大消息，不过 Android 12 的影响要几个月甚至更长才能推送到终端用户。

超人、蝙蝠侠、蜘蛛侠频频出现在密码中

Mozilla 对密码泄露数据库的数据进行研究发现，数十万人使用他们最喜欢的超级英雄作为密码。在这些密码泄露事件中，“超人（Superman）”出现了 36 万次，“蝙蝠侠（Batman）”出现了 22 万次，“蜘蛛侠（Spider-Man）”出现 了 16 万次。金刚狼和铁人也出现了几千次。甚至连这些角色的扮演者的名字也经常被用于密码，尤以金刚狼的扮演者詹姆斯·豪利特受欢迎。

老王点评：在密码方面，超级英雄也不能给你力量，还是微软现在的无密码策略比较好。

REvil 被发现其勒索软件含有秘密后门

REvil 是近年来最臭名昭著的勒索软件攻击团伙之一，该组织还提供了“勒索软件即服务”，以通过租赁的方式从下游恶意攻击者那里抽成。安全研究人员在对地下论坛进行分析后发现，REvil 勒索软件还植入了秘密后门，能让上线的黑客接管与受害者的协商，不给下线提成。在俄语的地下论坛，有人表示早就怀疑 REvil 的策略，他们与一名受害者讨论 700 万美元赎金时，协商突然结束了，他们认为是 REvil 使用后门接管了赎金谈判。地下论坛上的另一位也抱怨称，他们已经厌倦了这个“不被信任”的勒索软件团伙提供的“糟糕的合伙应用程序”。

老王点评：怎么说呢，这就是黑吃黑啊。

PostgreSQL 14 正式发布

广泛使用的 PostgreSQL 发布了 14.0，带来了许多性能改进，特别是围绕并行查询、重度并发工作负载、分区表、逻辑复制和吸尘等方面进行了新的优化。

老王点评：这是我用过的第一个开源数据库，虽然一度其风头被 MySQL 盖住，但是现在越来越呈现出一种繁荣景象，值得关注学习。

Linus Torvalds 在采访中再次提及一些观点

Linux 创始人参加了今年的北美开源峰会，并按惯例接受了采访，就一些经常被问到的问题发表了一些并不算新的观点：

• 在关于使用 Rust 编写 Linux 内核模块的讨论中，他说，从技术角度有没有意义不重要，重要的是要有趣。
• 他表示真的很喜欢 C 语言，它是一种伟大的语言，当然，他也承认 C 语言存在容易被所有人忽视的陷阱，并认为 Rust 可能真的是一种解决方案。
• 关于社区，他说，社区使 Linux 保持了活力，要不是社区，Linux 可能早被他扔在脑后了。

老王点评：这些观点我们都知道了，但是我们还是一次次不厌其烦的愿意听到 Linus 讲它们。这就是精神领袖。

上百万人遇到 Let's Encrypt 根证书到期问题

Let's Encrypt 之前使用的根证书于 9 月 30 日到期，可能受到证书过期影响的设备是那些不定期更新的设备。它早在 5 月就通知大家这一消息，并提供替代方案和变通办法，以确保设备在转换期间不受影响。周四晚上，至少有 200 万人在他们的手机、电脑或智能小工具上遇到了由于证书问题导致的一些互联网连接问题。数十种主要科技产品和服务受到证书过期的严重影响，如亚马逊、谷歌和微软的云计算服务；思科的 IT 和云安全服务；Shopify 的卖家无法登录；以及一些游戏和工作流平台等等。

老王点评：Let's Encrypt 几乎是以一己之力推动了 HTTPS 的普及，但是由于历史原因，其根证书的有效期并不很长，所以 Let's Encrypt 越成功，这种遗留问题就越大。

亚马逊、谷歌、微软和 IBM 等签署“可信云原则”

这些技术巨头联合起来建立了“可信云原则”，声称这是对保护客户权利的承诺。具体主要包括：除“特殊情况”外，政府应首先直接向企业客户而非云供应商索取数据；当政府试图直接从云服务供应商处获取客户数据时，客户应有权获得通知；云供应商应有明确的程序来质疑政府对客户数据的访问请求，包括通知相关数据保护机构，以保护客户的利益。此外，该原则还提出，政府应建立机制，提出并解决彼此之间的冲突，使云服务提供商在一国的合法合规性不等于在另一国的违法行为；政府应支持跨境数据流动。他们承诺支持允许政府通过遵守人权标准的透明程序索取数据的法律，支持在国家和国际层面改进规则和条例，以保护云客户的安全、隐私和安保以及他们对数据的所有权。

老王点评：这种业界共识需要更多方的参与，目前看起来想落地没那么多容易。

二十年后，ATI Radeon R300 的 Linux 驱动仍有零星改进

ATI R300 图形处理器推出于 2002 年.虽然 AMD 的开源 Linux 开发者在很长一段时间内不再关注这个 R300g 驱动，但由于开源的性质，社区能够对这个传统的硬件支持进行偶尔的改进。仅今年就已经提交了 14 个补丁。当然，大多数与这个近 20 年历史的 GPU 驱动有关的提交都是围绕着错别字和普通修复。顺便说一句，R300g 并不是 ATI/AMD 官方的硬件 Linux 驱动，但正是通过这种逆向工程和业余工作，导致这些开源开发者中的几个人陆续加入了 AMD，并受雇于该公司为其开发更多现代驱动。

老王点评：这就是开源的好处，各种意义上的。

谷歌赞助 Linux 基金会的安全开源计划 100 万美元

安全开源（SOS）试点计划会奖励广泛的改进措施，主动加强关键开源项目和支持基础设施，以应对针对应用程序和供应链的攻击。为了补充现有的奖励漏洞管理的计划，还会直接支持项目开发者。奖励范围从 10000 美元以上的复杂、高影响和持久的改进，几乎可以肯定地防止受影响的代码或支持的基础设施中的重大漏洞，到 500 美元的小改进，但至少从安全的角度来看需要有好处。谷歌初期向该计划投资 100 万美元，并计划根据社区反馈扩大该计划的范围。

老王点评：主动去加强开源软件的安全，我觉得谷歌这钱花的值。

Telegram 机器人正试图窃取你的一次性密码

虽然双因素认证（2FA）这样的一次性密码可以改进单独使用密码的安全性，但威胁者很快就开发出拦截这些 2FA 的方法，如通过恶意软件或社会工程。根据英特尔 471 团队的消息，自 6 月以来，一些用于规避 2FA 的服务正在滥用 Telegram 的消息服务。由 Telegram 驱动的机器人正被用来窃取 2FA 安全中所要求的一次性密码。

老王点评：虽然 2FA 是一个好的安全实践，但是安全最薄弱的环节往往是人。