密码管理软件 LastPass 承认遭到黑客入侵

全球用户数超过 3300 万的密码管理软件公司 LastPass 表示，最近一名黑客在侵入其开发系统后窃取了部分源代码和一些专有信息。LastPass 将密码存储在“加密的保险箱”中，只有使用客户的主密码才能解密。LastPass 表示在这次网络攻击中主密码没有被泄露，用户不需要采取行动来保护他们的账户。

消息来源：Bleeping Computer

老王点评：理论上客户的主密码不会被泄露，因为 LastPass 也没有。但是其软件的源代码被泄露，或许一些潜在的缺陷就会被利用。总之，这个事情可能还需要进一步评估。

iPhone 的锁定模式会导致被识别

iPhone 的“锁定模式”禁用了一系列可用于入侵 iPhone 用户的功能。但是，如果用户打开锁定模式，他们将很容易被打上指纹和识别。据一位开发者说，他创建了一个概念验证网站，可以检测你是否启用了锁定模式。任何网站或在线广告都可以检测到一些常规功能是否缺失，比如加载自定义字体，这是锁定模式禁用的功能之一。

消息来源：VICE

老王点评：这是安全和隐私之间的一个权衡，选择了极致安全却丢失了隐私。也许，会有更好的权衡方案。

微软称 80% 勒索软件攻击都是由于服务器错误配置导致

微软最近发布的《Cyber Signals》报告指出，勒索软件即服务（RaaS）日益猖獗，但是常规的软件设置就能应对，可以阻止大部分勒索软件攻击。此外，报告中还发现客户错误配置云服务、依赖不可靠的安全软件，以及通过默认宏设置的流量勒索软件，这导致微软制造了某种勒索软件攻击，即人为操作的勒索软件。

消息来源：Onmsft

老王点评：问题是，依靠人总是有各种疏漏，所以如何用软件或机制来保障这 80% 的情况才是最重要的。

关于 Fedora 37 及其新特性、发布细节等等。

Fedora 37 的开发工作已经结束，Beta 测试版即将来临。在这个阶段，Fedora 37 的功能和软件包已经最终确定。

在这篇常规的功能指南页面中，我总结了你应该知道的关于 Fedora 37 的基本功能，让你对预期的功能有一个概念。但是在这之前，先看看暂定的时间表：

• 测试版的发布日期是 2022 年 9 月 13 日。后备日期是 2022 年 9 月 20 日。
• Fedora 37 最终版计划于 2022 年 10 月 18 日发布。后备日期是 2022 年 10 月 25 日。

Fedora 37 的主要新功能

内核

首先是构成核心的关键项目。Fedora 37 采用了 Linux 内核 5.19，这是目前最新的主线内核。Linux 内核 5.19 带来了一些基本功能，比如修复了 Retbleed 漏洞、支持 ARM、支持苹果 M1 NVMe SSD 控制器以及许多此类功能，你可以在我们的 内核功能指南 中了解更多。

使用最新内核的好处是，你可以保证你使用的是此时此刻最新、最好的硬件支持。

其次，桌面环境在这个版本中得到了更新。

桌面环境

Fedora 37 是第一个带来令人惊叹的 GNOME 43 桌面的发行版，它带来了一些优秀的功能，比如：

• 重新改版后的快速设置功能，带有药片式按钮
• 移植了 GTK4 和 libadwaita 的文件管理器 v43（nautilus）
• 带有橡皮筋、徽章、响应式侧边栏等功能的文件管理器
• 更新了 GNOME Web，支持 WebExtension API

还有许多你期待了多年的功能。请查看我的 GNOME 43 功能指南 以了解更多。

Fedora 37 带来了 KDE Plasma 5.26 桌面环境，包括大量的新功能、性能改进和错误修复。KDE Plasma 桌面最值得注意的功能包括：

• 一个更新的概览屏幕
• 深色和浅色主题的动态墙纸
• 更新的 KDE 框架和应用程序

由于轻量级桌面 LXQt 更新了稳定版 1.1.0，它来到了 Fedora 37 中。LXQt 1.1.0 为深色主题带来了一个外观统一的默认调色板、应用程序菜单的两个变体（简单和紧凑）和重新排列的 GTK 设置。此外，LXQt 1.1.0 也开始了 Qt 6.0 桌面组件移植的初始工作。所有这些 bug 修复和增强功能都在 Fedora LXQt 版本中出现。

此外，其他主要的桌面版本由于没有重要的新的更新到来，仍然保持在当前版本，即 Xfce 4.16 和 MATE 1.24 用在各自的 Fedora 定制版中。

让我们看看这个版本中影响所有 Fedora 定制版的系统级变化是什么。

系统级的变化

最重要的变化是对树莓派 4 的正式支持。得益于多年来的努力，你现在可以在最喜欢的树莓派上享受到开箱即用的 Fedora 37 了。

Fedora Linux 一直是推动技术发展的先锋，在其他发行版之前就采用了最新的功能。因此，现在在 KDE Plasma（和 Kinoite）和不同的定制版中，SDDM 显示管理器默认采用了 Wayland。这样，从 Fedora 发行版方面就完成了 Wayland 各个定制版的过渡。

正如我 之前的报道，Fedora Linux 37 计划为我们提供 Anaconda 的网页安装程序的预览镜像。它可能不会在发布后立即可用，但它应该在发布后的几天内出现。

其他值得注意的功能包括将默认的主机名从 fedora 改为 localhost，以避免一些第三方系统配置检测问题。

除此之外，Fedora Core OS 被打造为 Fedora 官方版本，现在与服务器版、物联网版和云计算版同列，以便你可以更好地发现和采用它。最小资源占用的 Fedora Core OS 主要用于容器工作负载，并带来了自动更新和额外的功能。

遵循传统，这个版本也有一个 全新的墙纸，有夜间和白天两个版本。我必须得说，它看起来很棒（见上面的桌面图片）。

最后，在这个版本中，Fedora 删除了 32 位的 Java 包，包括 JDK 8、11 和 17，因为使用率很低。此外，openssl 1.1 软件包也被弃用。

工具链、应用程序和编程栈更新如下：

• Glibc 2.36 和 Binutils 2.38
• Node.js 18.x
• Perl 5.36
• Python 3.11

Fedora 37 功能摘要

那么，这个版本的功能就到此为止了。下面是对 Fedora 37 功能的总结：

• Linux 内核 5.19
• GNOME 43
• KDE Plasma 5.26
• Xfce 4.16
• MATE 1.24
• LXQt 1.1.0
• 新的基于网页的安装程序的预览镜像
• SDDM 显示管理器默认采用 Wayland（在 KDE Plasma 和其他桌面环境中）。
• 官方支持树莓派 4
• Fedora Core OS 成为官方版本
• 一些关键软件包放弃了 32 位支持
• 还有相关的工具链和编程语言更新。

如果你有空闲时间，你可以 体验一下。虽然，它是非常不稳定的，不推荐运行测试版之前的开发版。

那么，这个版本中你最喜欢的功能是什么？请在评论区告诉我。

via: https://www.debugpoint.com/fedora-37/

作者：Arindam 选题：lkxed 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Python 虽然是最受欢迎的编程语言，但是找工作还是要会点 SQL

在 IEEE 的最新年度调查榜单中，Python 名列榜首，然后是三种 C 语言的变体（C、C++ 和 C#），接着是 Java、SQL 和 JavaScript。但涉及到找工作时，SQL 爬到了列表的顶端，其次是 Java、Python。该榜单的编辑称，“SQL 信号的强度并不是因为有很多雇主只寻找 SQL 程序员，……他们想要一种特定的语言加上 SQL。”

消息来源：The Register

老王点评：复杂的 SQL 不会，简单的 SQL 总是会一点的，所以，请在简历上大大的写上 SQL。

微软发现一个 ChromeOS 的高危漏洞

微软在 ChromeOS 中发现了一个漏洞，并给它打出了 9.8 的评分。在报告给谷歌后，该漏洞不到一周就得到了修复，只用了一个月就提供给了用户。这个问题源于 D-Bus，它是 Linux 中使用的一种进程间通信机制，使用了一个标准库中的典型的危险函数 strcpy()，稍有安全经验的 C 程序员都知道这个函数容易出现缓冲区溢出安全漏洞。这个漏洞为安全研究人员得到了 25000 美元的奖金。比较有趣的是，以往经常是谷歌的 Project Zero 团队提醒微软的产品漏洞，并且，如果在三个月内没修复就会不管不顾地公开漏洞细节。有时候让微软特别上火。

消息来源：The Register

老王点评：居然会犯这么低级的错误，这钱也太好挣了吧 —— 我寻思是不是写个扫描器，当这些有钱的企业的代码一旦发布，就触发对这种经典漏洞的扫描。

利用手机陀螺仪窃取物理隔离系统的数据

物理隔离在物理上是隔离的，用于对安全要求特别高的环境中，它无法与其他计算机或网络设备进行无线或物理连接。之前有研究利用物理隔离系统上的扬声器发出特定频率的声波，从而通过手机接受声波而窃取数据。现在安全专家发现陀螺仪也可用于此用途。陀螺仪用于检测智能手机的旋转速度，被广泛认为是一种安全的传感器，因而 iOS 或 Android 没有提供阻止访问的选项。安全专家利用这种方法，可以在“几米远”的范围内从物理隔离的计算机中窃取敏感信息。这些听不见的频率会让陀螺仪产生微小机械振荡，从而将其转换为数据。

消息来源：Tech Crunch

老王点评：真是无孔不入，我觉得这种物理隔离环境就不该让人带手机进去。?

布莱恩·克尼汉在 80 岁的时候还在积极为他的原始项目 AWK 增加代码贡献。这真是鼓舞人心！

布莱恩·克尼汉 Brian Kernighan 因其与 Unix 的创造者 肯·汤普森 Ken Thompson 和 丹尼斯·里奇 Dennis Ritchie 一起的工作而广为人知。他对 Unix 的发展做出了重大贡献。

不仅如此，布莱恩·克尼汉还提出了 “Unix” 这个名字，并创造了 “Hello, world” 作为程序的测试短语。

他也是《C 编程语言》一书的共同作者（另一位是丹尼斯·里奇）。因此，可以说他是你所知道的关于 Unix、Linux、BSD 和 C 编程语言的演变的重要组成部分。

而且，作为一位如今已 80 岁的老人家，他似乎投入了一些时间来为 AWK（一种他在上世纪 70 年代共同创造的脚本语言）增加了一个新的功能。

? 这真是妙极了，对吗？而且，听起真是鼓舞人心！

注：AWK 仍然是一个处理文本和提取数据的强大工具，忠实于它的最初目的。如果你感到好奇，你可以在 freeCodeCamp 上了解更多关于它的信息。

为 AWK 添加 Unicode 支持

最近，The Register 通过一篇发表在 YouTube 上的近期采访，发现了这个功能的增加。

从技术上讲，这项贡献早在几个月前就有了，但现在它才得到人们的关注。

当然，这个功能的增加对很多人来说可能不是什么大事。但是，它背后的努力，以及谁贡献了它，就有了天壤之别。

此外，有趣的是，他并不完全了解 Git 的工作原理。所以，考虑到这一点，我认为他在这里的提交做得相当好。

在这个提交 “附上 BWK 的邮件 - onetrueawk/awk@9ebe940” 中，他提到：

一旦我搞清楚了（并做了一些检查，我将尝试提交一个拉取请求。我希望我更了解 git，但尽管有你的帮助，我仍然没能正确地理解，所以这可能需要一段时间。

如果你对 Unix 的原始创造者和贡献者以及一路走来的许多重要创新有好奇心，我建议你观看上面链接的采访。

你也可以在 普林斯顿大学网站 上查看他的更多工作和最近的书籍。

? 那么，你对这位 80 岁的 Unix 传奇人物的代码贡献有何看法？你有什么特别佩服他的地方吗？请在下面的评论中分享你的想法。

via: https://news.itsfoss.com/unix-awk-unicode/

作者：Ankush Das 选题：lkxed 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Tornado Cash 代码在 GitHub 上重新上传

美国财政部本月早些时候宣布制裁混币器 Tornado Cash，禁止美国个人或组织与 Tornado Cash 有任何交易往来。GitHub 随即下架了该代码库，删除了开发者账号。荷兰还逮捕了一名参与它的开发的开发者。本周，美国约翰霍普金斯大学计算机科学教授 Matthew Green 以教学和研究的目的在 GitHub 上重新上传了 Tornado Cash 代码。电子前哨基金会（EFF）宣布将代表 Green 教授捍卫发布源代码的权利。EFF 称美国宪法第一修正案保护了 GitHub 托管代码的权利，也保护了 Green 教授重新发布代码的权利。

消息来源：EFF

老王点评：这让我想起来当年 PGP 源代码以出版书籍的方式被带出美国的事情。

亚马逊使用为将来保留的 IPv4 240/4 地址段

称之为 E 类地址的 240/4（240.0.0.0 - 255.255.255.255）被保留供未来使用。但 IPv4 地址资源的稀缺促使 IETF 开始讨论使用这些地址空间。主要操作系统从 2008 年起就支持将 240/4 地址空间作为单播地址使用。调查发现，亚马逊等公司已经在没有和国际互联网机构协调的情况下，在其 AS 内使用 240/4 地址块。

消息来源：RIPE

老王点评：就算是这几亿个 IP 地址释放出来，也很快就会耗尽，所以倒不如像现在这样，当成私有地址使用好了。

美科技巨头收集了大量用户数据，谷歌最多

研究人员分析了谷歌、苹果、Facebook、亚马逊和 Twitter 等主要科技公司收集的用户的大量敏感数据。其中，谷歌从用户那里收集的数据最多，有 39 种。接下来是 Twitter，24 种；亚马逊，23 种；Facebook，14 种。排名最后的是苹果，它收集了 12 种。报告称，“用户没有耐心、时间或精力来发现网站存储了哪些信息，以及如何利用这些信息来获取利益。这意味着，用户通过接受隐私政策，能够让这些公司获取他们所需要的所有信息。”

消息来源：Stock Apps

老王点评：这些商业公司不收集用户隐私反而会是奇怪的事情，所以，现在开始比谁最过分了，不出预料，果然是广告公司谷歌拔的头筹。

现代公司的电动汽车在其车载系统使用教程上的示例密钥

一位开发者发帖称，他想要修改汽车上的车载信息娱乐系统，他的汽车是现代公司 2021 款的“全新未来移动生活概念的电动汽车 IONIQ”。在试图找出如何为汽车更新定制固件时发现，其中用来为某些部分签名的 RSA 公钥可以在网上搜索找到。更离谱的是，正如这位开发者说的，“如果运气好的话，他们不仅留下了公钥，还留下了私钥”，它是一个常见的密钥对，出现在“使用 OpenSSL 进行 RSA 加密和解密的 C 语言示例”之类的在线教程中，在这些教程中列出了使用的示例公钥和私钥。现代公司对此没有置评。

消息来源：The Register

老王点评：这可真是按照教程来的，连示例的密钥对都一起学习了。

AI 被用于通过监控视频中的行人步态识别和分类行人

据报道，马里兰大学的一个明星教授研究团队在资金的支持下，开发了一种城市监控软件，可以根据行人的独特步态特征来识别他们。然后，该算法将使用这些步态特征将行人分为“好斗”、“害羞”、“冲动”和其他性格。“这些能力将被用来预测每个行人的行为，对监视很有用”。他们在赞助方提供的视频上进行了测试，并提供了该软件的 C++ 代码库和原始数据集作为交付品。该团队还进行了“模拟大规模异质人群的有效计算模型”等类似研究。这一研究引发了对“关于机器学习研究中的严重道德问题”的关注。

消息来源：The Daily Beast

老王点评：AI 究竟该用于什么地方，该如何用，这里面不仅仅是道德问题，还应该是法律问题。我只能说这么多了。

苹果公司的服务成为其收入的重要来源

迄今为止，苹果公司已将 18 亿台设备装入世界上一些最富裕的消费者的口袋和办公桌上。现在，它正在向其他公司出售这些客户的使用权，并说服那些拥有其设备的人注册自己的订阅服务。去年，苹果的服务带来了 680 亿美元的收入，占苹果总收入的 19%。在最近一个季度，服务收入的份额甚至高达 24%。据估计，最大的一块是来自其应用商店的费用，去年的费用可能达到 250 亿美元。其次是谷歌为 iOS 中的默认搜索引擎付出的费用，2020 年付出了 100 亿美元，据估计现在接近 200 亿美元。而其广告服务今年估计是 70 亿美元。剩下的是一系列订阅服务：iCloud 存储、苹果音乐和苹果护理保险等等。

消息来源：Economist

老王点评：成功的硬件和软件带来的大量用户，其附加服务也是日进斗金。