分类 新闻 下的文章

谷歌的量子计算机首次展示了“时间晶体”

在一篇有待评审的预印本论文中声称,谷歌的研究人员与物理学家们合作使用谷歌的量子计算机首次展示了一个真正的“时间晶体”。

“时间晶体”是一个物体,其部件在一个有规律的、重复的循环中移动,在不燃烧任何能量的情况下维持这种不断变化。这打破了热力学第二定律。“时间晶体”既稳定又不断变化,具有在时间的周期性间隔中出现的特殊时刻。时间晶体是“物质相”的一个新类别,扩大了对“相”的定义。所有其他已知的相,如水或冰,都处于热平衡状态。时间晶体是第一个“非平衡”相。

虽然感觉有些不明所以,但是量子计算机真的做到了难以想象的事情。

PyPI 上的恶意软件被下载了 3 万次

安全研究人员在 PyPI 中发现了 8 个软件包,它们进行了一系列的恶意活动,估计这些恶意软件包被下载了大约 3 万次。这些软件包有的用于收集 Discord 账户的认证 cookies 和电脑信息,也有的用于提取浏览器存储的任何密码或支付卡数据。还有的试图连接到攻击者指定的 IP 地址,然后执行套接字中的任何 Python 代码。这些恶意软件包会感染开发者的计算机,但不会让开发者写的代码沾上恶意软件。

这种开放式的组件存储库,在其设计之初对安全的考虑是不足的,因此,对这种基于开源组件的软件的安全需要慎重评估。

RISC-V 开发者继续开发 KVM 支持

KVM 虚拟化的 RISC-V 架构支持工作已经持续了一年多,这对于 RISC-V 处理器最终能够在服务器领域获得提升非常重要。目前,KVM RISC-V 支持工作已经进行到第 19 次修订,但还不清楚是否已经准备好进行主线。目前已经能够在 RISC-V 硬件上用多个虚拟 CPU 启动 32 位和 64 位的 RISC-V 访客应用。

如果能有完善的 KVM 支持,RISC-V 会得到更大的发展。

微软:Windows 11 将重构操作系统体验

微软纳德拉对 Windows 11 给予了非常高的期望,他希望通过 Windows 11 来“重新构建操作系统的全部”。纳德拉说,“Windows 11 是我们操作系统十年来最大的一次更新。我们正在重新构想一切 —— 从 Windows 平台到商店 —— 以帮助人们和组织提高生产力和安全性,并为开发者和创作者建立一个更加开放的生态系统。”

微软表示,Windows 11 预览版的下载量超过了 Windows Insider 计划中的其它 Windows 系统。Windows 11 在被调查 PC 中比重已经接近于 1%。微软刚刚发布了 Windows 11 的第一个 Beta 测试版,预计将在今年秋季推出正式版。

不能不说微软的 Windows 曾经改变了操作系统的定义,但是 Windows 11 是否能续写传奇,还需要时间来验证。

新的安卓恶意软件通过 VNC 记录智能手机以窃取密码

其他安卓恶意软件通常依靠漂浮在合法应用程序上的假登录屏幕来收集受害者的凭证,这款名为 Vultur 的恶意软件在受感染的手机上打开一个 VNC 服务器,并将屏幕截图广播给攻击者的命令与控制服务器,Vultur 操作员在那里提取所需应用程序的密码。

这真是“有创意的” VNC 用法。

NTFS3 内核驱动发布了第 27 个版本,但仍未推向主线

Paragon 公司的 NTFS3 驱动以前是由该公司提供商业支持的,但他们现在一直在积极工作,使该驱动进入内核主线,并承诺将继续维护它。这个 NTFS3 驱动比现有的树上内核驱动要好,有更可靠的读写支持和其他没有的功能,也比基于 FUSE 的 NTFS 驱动工作得要好。

之前 Linus Torvalds 曾呼吁 Paragon 发送 NTFS3 的拉取请求。但目前还没有人提出拉动请求,而是发布了这个驱动程序的第 27 个轮转版本。如果没有别的阻碍,这个新的 NTFS 驱动有可能在一个月后的 Linux 5.15 合并窗口中进入主线。

虽然 Linus 有点迫不及待了,但是可能 NTFS3 的开发人员觉得他们的驱动仍然距离进入主线尚有距离吧。

“编程难”这一说法是有害的

在《ACM 通讯》上发表的一篇文章认为,人们普遍认为“编程本身很难”,这一点缺乏足够的证据。该文章的作者是一位计算机科学教授,他说,“为什么做这样一个笼统的、明确的声明似乎是常规的、可接受的,可以说是流行的?为什么这些声明往往不附带支持性的证据?有什么经验性的证据可以表明,广义上的编程本质上是困难的,或者说比数学中的微积分等更难?”作者认为这种认识会产生不良的影响,可能会产生严重的意外后果,包括不公平的做法。

那么你觉得编程难不难?或者说,比什么事情更难?

美国希望通过加密货币征收 280 亿美元税收

据报道,美国国会的准备投票的一项基础设施法案中,提议对交易所和其他各方适用新的信息报告要求,任何转让数字资产的经纪人都需要根据修改后的信息报告制度提交报告。现行规则要求企业报告超过一千美元的现金支付,包括加密货币在内的数字资产也被添加到其中,这可能会使该法案的“支付费用”高达约 280 亿美元。

这才叫敛财有术,正视它,规范它,并从中受益。

恶意程序开发者转向新兴编程语言

根据黑莓研究人员公布的一份报告,恶意程序开发者转向新兴编程语言去躲避检测或解决开发流程中的难点。Go 语言吸引了 APT 组织和商业恶意程序开发者的极大兴趣,使用 Go 语言编写的恶意程序样本日益常见。另一种被用于编写恶意程序的新兴语言是 D 语言。恶意程序开发者在利用新技术更新技能方面是很擅长的。

经济利益驱动的恶意软件开发者才会更积极拥抱新技术。

谷歌宣布新的游戏化漏洞赏金平台

谷歌的漏洞奖励计划(VRP)共发现 11055 个漏洞,奖励了 2022 名研究人员,总奖励金额近 3000 万美元,并有近 20 名漏洞猎人加入了谷歌 VRP 团队。为了纪念该计划的 10 周年,他们宣布了一个新的平台:bughunters.google.com,这个新网站将谷歌所有的 VRP(谷歌、安卓、滥用、Chrome 和 Play 商店)更紧密地联系在一起。该平台将具有游戏化功能,提供更多互动或竞争的机会。将有每个国家的排行榜,并有机会获得特定错误的奖励或徽章。

加入游戏化元素后,真成了赏金猎人打怪模式了。

中国 IPv6 活跃用户数已达网民半数

网信办在回答记者问时提到:截至 2021 年 5 月,我国 IPv6 地址拥有量达到 59030 块(/32),位居世界第一,我国 IPv6 活跃用户数达 5.28 亿,占互联网网民总数的 53.39%。

按网信办《通知》要求,到 2023 年末,IPv6 活跃用户数达到 7 亿,物联网 IPv6 连接数达到 2 亿。到 2025 年末,IPv6 活跃用户数达到 8 亿,物联网 IPv6 连接数达到 4 亿。之后再用五年左右时间,完成向 IPv6 单栈的演进过渡。

在 IPv4 地址得不到满足的情况下,转而拥抱 IPv6 反而走在了其它 IPv4 富裕国家前面。

微软新提案让 Chrome 页面加载速度更快

在一个新的 Chromium 提案中,微软正通过 chrome://protocol 为获取的脚本开发新的“代码缓存”。在启用之后,能提高 Chrome 在 Windows、Linux、macOS 和其他桌面平台上的页面加载速度。在加载和执行一个脚本后,V8 可以将为该脚本生成的解释器字节码序列化。之后,如果 Blink 告诉 V8 再次运行相同的脚本,并提供以前的序列化字节码,那么 V8 可以跳过最初的解析步骤,脚本运行得更快。这对于页面加载时间来说非常重要。在使用新功能之后,微软已经观察到在新标签页上首次绘制内容的时间减少了 11%-20%。

自从微软使用 Chromium 作为 Edge 内核之后,Chromium 的改进速度就明显加快了。

“不再索取赎金” 项目的免费解密工具节省了 10 亿美元

不再索取赎金” 项目提供了 121 个免费的勒索软件解密工具,可以解密 151 个勒索软件家族。他们已经帮助 600 多万勒索软件受害者免费恢复了他们的加密文件。该网站允许用户上传加密文件,以帮助确定他们成为哪种形式的勒索软件的受害者,然后在有免费解密工具的情况下将他们引向该工具。

它建议,尽管勒索软件攻击造成了破坏,但受害者不应该屈服和支付。这不仅是因为没有理由相信犯罪分子会提供合法的解密密钥,而且支付赎金只是表明勒索软件的作用,鼓励进一步的攻击。

这是一个非常有意义的措施,而且已经看到了很好的效果。

谷歌搜索返回的 PHP 教程一半含有 SQL 注入漏洞

在谷歌上搜索 PHP 编程问题,返回的结果包含了教程、技巧和代码片段,但绝大部分结果包含了有缺陷的数据库语句。据研究,30 个结果中有 16 个含有 SQL 注入漏洞。如果搜索者将这些代码包含在其编写的程序中,那么最后产生的程序将是不安全的。

可能很多刚刚学习编程的人都有过 “ICP”(互联网复制与粘贴)编程阶段,但是这应该只是一个提示思路的方法,而不是编程方法。

BLAKE3 哈希算法发布,比 SHA 算法更快更安全

去年宣布的 BLAKE3 是基于其前身 BLAKE2 的加密哈希函数,现在其官方实现发布了 1.0 版本。BLAKE3 比 BLAKE2 快得多,也比 SHA-1/SHA-2/SHA-3 甚至 MD5 等快得多,同时更加安全。它在如今拥有 SIMD 指令集扩展和高核数的 CPU 上是高度可并行的。

虽然比 SHA 哈希更好,但是得到推广依然需要 SHA 像 MD5 一样逐渐被淘汰才行。

可维修的模块化“框架笔记本电脑”开始发货

作为“维修权运动”的一部分,“框架笔记本电脑”被设计为在技术上尽可能地可定制、可升级和可维修。它有四个扩展卡插槽、可卡入 USB-C 连接器的滑入式模块、插座式存储和内存、一个可更换的带有固定的 CPU 和风扇的主板模块、电池、屏幕、键盘等。这款笔记本电脑现在正在美国和加拿大进行预购,起价 999 美元。它还发布了所有必要的信息,让维修店或 IT 部门不仅可以交换零件,还可以进行维修,PCWorld 称其为“终极维修权笔记本电脑”。

最初电脑就是组装起来的,到了笔记本时代逐渐变成一体化的而不可拆卸,现在又回到了组装时代。

首位公众人物因在线活动的聚合数据而暴露

移动运营商会向数据中介出售位置数据,数据中介在聚合不同来源的数据之后将其出售给不同类型的买家。一家报道天主教的新闻媒体获得了 24 个月的应用使用和应用位置数据,其中就包括了 Grindr。这些数据并不是真正的匿名数据,因为其中包含唯一标识符。大多数人在他们的生活中基本上都有一个位置指纹。他们的家庭地址、工作地点,他们去的某些有限的地方。已经有研究表明,仅仅根据我们在某一周内去的几个关键位置点,我们就可以被唯一识别。

进行去匿名化之后,从中发现美国天主教主教会议的秘书长在其经常活动的位置频繁登录 Grindr,这些位置包括了天主教主教会议办公室、住宅和会议室等等。该媒体通知了天主教主教会议,该会随后宣布了秘书长辞职

大数据之下,人人无可遁形。

Twitter 删除了对 FLoC 的支持

Twitter 是为数不多的支持谷歌 FLoC 广告技术的网站之一,尽管这种利用 Chrome 浏览器浏览习惯来描述用户的跟踪技术受到广泛的抨击。美国 15 位总检察长已经指责谷歌试图将其“ Chrome 置于跟踪和定位的中心”;服务于世界上 40% 网站的 WordPress 已经宣布,他们将把 FLoC 视为一种安全风险。在遭到监管机构的强烈反对后,谷歌自己也放弃了在短期内强制实施 FLoC 的计划,推迟到 2023 年。根据对 Twitter 网站的分析,Twitter 从其网站上删除了对 FLoC 的支持。

谷歌在推行 FLoC 的道路上过于暴露太多的私心。