近三分之一的英国人使用宠物或家庭成员的名字作为密码

英国国家网络安全中心对一千多名英国成年人的调查显示，15% 的人使用宠物的名字，而 14% 的人使用家庭成员的名字作为密码。而 “123456” 和 “password” 仍然各占英国人使用的登录短语的 6%。英国国家网络安全中心说，“我们可能是一个动物爱好者的国家，但使用你的宠物的名字作为密码，可能会使你很容易成为冷酷的网络罪犯的目标。”他们建议使用由三个随机词组成的密码。

当然，我觉得最好的实践还是使用密码管理器。

DuckDuckGo 发布扩展程序阻止谷歌 FLoC 跟踪

隐私搜索引擎 DuckDuckGo 刚刚更新了面向 Chrome 浏览器用户的 Privacy Essentials 扩展，以阻止谷歌新推出的基于 FLoC 的跟踪方法。FLoC 的全称为“ 联合队列学习 Federated Learning of Cohorts ”，但这套旨在取代第三方 Cookie 的追踪系统还是引发了极大的争议。DuckDuckGo 称，“这种不经过任何人同意就强加上去的追踪机制根本不利于隐私，因为 FLoC 会在默认情况下开展行为跟踪。”不过，该扩展目前仍在等待谷歌扩展商店的审批才能被用户下载。

本质上，谷歌就是一个广告商，所以，这个会“伤害”谷歌的 FLoC 的扩展能不能得到通过，还尚未可知。

Linux 5.13 考虑为每次系统调用引入随机化的内核堆栈偏移量

该功能可以增强内核安全性、以阻止依赖内核堆栈确定性的漏洞利用。该功能已经经历了十轮的代码审查，预计会在 Linux 5.13 中发布。若这项功能顺利完成交付，那未来针对 Linux 内核堆栈的攻击将变得更加困难。不过在默认情况下，这项特性仍处于关闭的状态。因为即便在 x86\_64 平台上，该选项仍会造成约 1% 的系统资源开销。

相对于在安全方面更激进的 FreeBSD 内核，以及一些专门针对 Linux 内核安全强化的项目，Linux 内核在安全方面的举措更加保守。

外媒呼吁美国不要打压中国智能电话

在美国，消费者购买的手机主要是 iPhone 和三星手机。而这些产品往往也是在中国生产的。但是由于美国的政策，中国的华为、OPPO、小米等手机在美国的市场受到了打压，而与此同时，这些中国手机在欧洲、中东和非洲拥有大量的用户群。

外媒 ZDnet 对中国智能手机取得的技术优势表示了欣赏，比如 Oppo 在其 Find X3 Pro 屏幕上的显示屏不仅引入了 120Hz 刷新频率，而且还引入了精确的 10 位色彩表现，以及一个“微透镜”。在叹息美国消费者不能享受到这些新产品的同时，作者也认为华为和中兴的情况对多个方面都是不幸的，因为不能使用这些价格较低且极具竞争力的产品的不仅仅是消费者，还有那些试图在更多农村地区建设 5G 网络的运营商。

从全球化到对抗，受伤的不仅仅是中国人民。

AWS 可以帮你清理糟糕的 Python 代码，但是要收费

AWS 表示，其自动代码审查工具 CodeGuru 可以通过检测难以发现的缺陷来提高源代码质量，已经更新了对 Python 编程语言的支持。该服务使用 AWS 的机器学习算法来寻找应用程序开发过程中的错误，目前支持 Python 和 Java。在这个版本中，CodeGuru 增加了代码可维护性和输入验证的检测器，同时改进了资源泄漏的检测器。CodeGuru 定价是根据仓库的大小按代码行数计算的。前 10 万行代码的费用是每月 10 美元。每增加 10 万行代码，每月费用为 30 美元。

所以，代码写的烂不要紧，只要花点钱就行了。以后估计连烂代码也没得写了，AI 就可以帮你写好了。

曾经的容器编排三巨头 Mesos 项目落幕

4 月 7 日，Apache 基金会宣布开始投票，准备将 Mesos 项目移至 Attic 下。Mesos 项目起源于 Google 的数据中心资源管理系统 Borg，曾经解决了 Twitter 面临的可伸缩性和性能上的挑战。但是在后来的容器编排系统之战中，Mesos 和 Docker Swarm 不敌谷歌的 Kubernetes，纷纷落败。

Mesos 落败的原因有很多，无论是技术、战略还是大公司的倾轧，总之，短短不到十年，曾经红极一时的 Mesos 落下了帷幕。

Redis Labs 最新一轮融资估值突破 20 亿美元

这个流行的开源数据库背后的公司 Redis Labs 周三宣布完成 G 轮融资，获得 1.1 亿美元的融资，使其估值超过 20 亿美元。Redis Labs 成立于 2011 年，目前已净融资 3.47 亿美元。本轮融资后，较去年 8 月的融资后估值翻了一倍。Redis Labs 目前拥有超过 8000 家付费客户，其中包括 31% 的财富 100 强企业。

在基础软件领域，几个开源企业都显得非常有活力，其公司估值也非常可观。

特斯拉否认使用摄像头监控车主

针对近日流传特斯拉通过车内摄像头监控车主的讨论，特斯拉周三回应称，驾驶室内的摄像头目前在北美以外的市场并没有激活；即使在美国，车主也可以自由选择是否开启使用。特斯拉官方微博账号表示，特斯拉用户使用的车辆不存在通过车内摄像头侵犯用户个人隐私的行为。所有中国市场上的特斯拉用户车辆均未开启车内摄像头，也不涉及 FSD Beta 的测试。

用户被采集什么数据、数据存放在哪里和对数据的控制权，缺少足够的透明度，这是问题的症结所在。

超 5 亿用户信息遭泄露，但 Facebook 并不打算通知相关用户

上周，据报道，大量 Facebook 用户的电话号码及其他个人信息被公布于一个公共数据库中。随后 Facebook 承认，黑客通过同步联系人工具中的一个漏洞获取了 2019 年 9 月之前的用户数据，Facebook 已于在 2019 年修复了该漏洞。但 Facebook 表示，考虑到这不是用户可以自行修补的漏洞，而且这些用户的数据已经被公布于网络，因此决定不再专门通知相关用户。

现在的互联网简直就是筛子，所有在网络上活动的人的个人信息，都被泄露了一遍又一遍。虽然说出现这样的问题也是 Facebook 所不乐见的，但是这样的反应态度也确实让网民心寒。

50 岁大叔用 FaceApp 冒充“超人气美少女骑手”，揭穿后却得到了更多支持

一位日本车手“宗谷の苍氷”经常在 Twitter 上晒自己的“超人气美少女骑手”照片，“她”在几个月内收获了 1.7 万粉丝。然而，最近“她”参加了一期综艺节目，揭穿了自己其实是一位 50 岁的大叔，所贴出来的照片都是使用著名的换脸应用 FaceApp 处理过的。原因是他一直在 Twitter 分享自己玩机车的照片，但是关注寥寥。在发现 FaceApp 后，他想，人们应该更爱看一个“年轻美丽的女人”，而不是一个“中年大叔”。于是就在几个月内变身成了一位“超人气美少女骑手”，获得了大量关注和互动，有的推文能获得上千点赞。

或许你会觉得被揭穿后，这位“超人气美少女骑手”会被网友们唾弃取关。不料，该节目播出后不仅没有引起观众反感，粉丝数还增加了，一周就新增了 8000 粉丝。网友们表示，这属于 Deepfake 技术的“善意”使用。

看到这篇新闻，想到我主持的“硬核观察”寥寥无几的数据，我不禁陷入了深深的思考。

谷歌支持使用 Rust 编写安卓代码

安卓操作系统大量使用了 Java，有效地保护了安卓平台的大部分内存错误。但是，对于操作系统的下层来说，Java 和 Kotlin 并不适用。虽然谷歌投入了大量精力，防止了大量的 bug 进入安卓操作系统，而适用于此场景的 C 和 C++ 中的内存安全漏洞仍然是最难解决的不正确性来源。

因此，谷歌刚刚宣布，Android 开源项目（AOSP）现在支持 Rust 编程语言来开发操作系统本身。Rust 在实现这种安全性的同时，还能提供与 C 和 C++ 相当的性能。当然，这并不意味着谷歌会用 Rust 重写数百万行安卓代码，而是会逐渐使用 Rust 编写新的代码，因为随着时间的推移，旧代码中的 bug 也在逐渐减少。

看来 Rust 进一步蚕食 C/C++ 领域的机会已经出现了，C/C++ 程序员们，是时候考虑学习 Rust 了。

苹果向 FreeBSD 基金会捐赠了不到 250 美元

根据 FreeBSD 基金会的记录，苹果公司在 2021 年向该基金会捐赠了 100 到 249 美元。而微软捐赠了 500 到 999 美元，思科、Google、英特尔和 NetFlix 捐赠了 1000 到 4999 美元。

为什么世界市值最高的企业只捐赠如此少的钱？苹果的做法其实是基于一项政策：匹配雇员的捐赠。有很多公司采用类似的政策，苹果是其中之一。

感觉 FreeBSD 基金会没有得到应有的关注。

谷歌赢得十年之久的甲骨文版权战

在甲骨文以 72 亿美元收购了 Sun 微系统公司之后，就对谷歌发起了高达 60 亿美元的诉讼，这一数字后来增加到 90 亿美元。甲骨文认为，谷歌将 37 个 Java API 的“结构、顺序和组织”复制到 Android 中，侵犯了甲骨文的版权。这大约涉及到 11500 行代码。

这场打了十年之久的版权诉讼，已经在巡回法庭和基层法庭之间来回拉锯多次。周一，美国最高法院最终裁定，谷歌在 Android 操作系统中使用甲骨文的编程代码时，并没有侵犯版权。法院表示，“谷歌复制 API 来重新实现用户界面，只取其所需，让用户将其积累的才能投入到一个新的、变革性的程序中，构成了对该材料的合理使用。”

很多人担心甲骨文胜诉或造成 API 版权问题，因而对软件行业造成极大破坏。但是，事实上这次裁决是在假定 API 具有版权的前提下，裁定谷歌属于合理使用而已。

因此，虽然这个决定并没有直接排除 API 可以受版权保护的可能性，但它明确了根据合理使用原则，你不能阻止其他开发者自由使用你的 API 来构建新程序。换句话说，程序员可以继续在他们的项目中使用 API，就像之前几十年一样。

有公司为勒索软件支付了数百万美元后没有及时补救，又被再次勒索

英国国家网络安全中心披露了一则警示性的故事：这家未提及名字的公司成为勒索软件攻击的受害者，以比特币支付了赎金（以当前汇率接近 650 万英镑），以恢复网络和文件。然而，该公司就这样不了了之，没有分析网络犯罪分子是如何渗透到网络中的。不到两周后，当同一个勒索软件团伙用同样的勒索软件感染网络时，该公司最终第二次支付了赎金。

对于大多数受害者来说，他们的首要任务是拿回他们的数据。然而，真正的问题是，勒索软件往往只是一个更严重的网络入侵的可见症状。为了安装勒索软件，网络犯罪分子可能已经能够获得网络的后门访问权。因此，如果没有亡羊补牢的话，他们可以随时回来部署另外一次勒索。

开车即可挖矿，智己汽车正式公布了用户数字资产“原石”挖矿方式

由上汽集团、浦东新区和阿里巴巴集团三方联合投资超过 100 亿元的智己汽车，发布了它的“原石”挖矿方式。购车用户将通过“里程式开采”和“养成式开采”两种方式获取“原石”。所谓的“里程式开采”是指，购车用户基于日常用车产生授权使用的“车辆与驾驶行为数据”获取“原石”。而“养成式开采”是指用户参与 APP 互动任务、品牌共创任务等任务获得抽取“盲盒”。“原石”可被用于兑换各种硬件升级或软件空中升级服务，乃至金融及保险产品；还可享有公司升值的巨大红利。

虽然理论上，通过授权数据使用权而换得一定权益是符合逻辑的，但是这种在危险边缘试探的举动，很难说会不会被喊停。

研究人员教会机器人如何逃离熊孩子殴打

在日本的一家商场里，一帮没有人监管的熊孩子反复对机器人拳打脚踢、摇晃……

日本一个研究小组开发了一个计算机模拟和统计模型，显示熊孩子们对机器人的虐待主要发生在他们成群结队且附近没有成年人的时候。他们设计了一种躲避虐待的算法，帮助机器人避免这些熊孩子可能结伙攻击它的情况。机器人会计算出被虐待的概率。如果机器人在统计上处于危险之中，它就会改变路线，走向更拥挤的区域或更高的人。

根据阿西莫夫三定律，机器人不能伤害人类，而随着各种智能机器人出现在我们的身边，我们是时候教会机器人如何保护自己了。

Node.js 的竞争对手 Deno 成立商业公司

Deno 的创建者们已经成立了 Deno 公司，这是一家围绕 JavaScript/TypeScript 运行时的商业企业，也是 Node.js 的竞争对手。他们表示，虽然他们计划追求 Deno 的商业应用，但 Deno 本身仍将保持 MIT 授权。Deno 的创始人们认为，服务器端 JavaScript 被委员会统治，没有创新的动力，停滞不前。他们希望能够为不同的应用程序创建自定义运行时环境。

我认为，Deno 的出现和商业化，会有力的推动 JavaScript 的发展。

微软的 Linux 版 Edge 浏览器现在支持跨设备同步功能

微软最近在开发通道发布的 Linux 版 Edge 浏览器，可以让 Linux 用户在设备之间同步他们的书签、扩展、设置和历史记录。

微软决定放弃支持自己的 Edge 浏览器引擎，而选择开源的 Chromium 浏览器引擎，至少在支持 Linux 上，有着先天的优势，因为 Chromium 浏览器引擎已经在 Linux 上证明了自己。