2023 12 15 HackerNews

Trains were designed to break down after third-party repairs, hackers find #

https://arstechnica.com/tech-policy/2023/12/manufacturer-deliberately-bricked-trains-repaired-by-competitors-hackers-find/

一群名为 Dragon Sector 的道德黑客被一家火车修理店(Serwis Pojazdów Szynowych,SPS)请来分析火车软件。他们发现,火车制造商 Newag 在控制系统中输入了代码,导致火车在独立修理店停放数天后无法启动。Dragon Sector 团队声称,这些代码还会使火车无法启动,如果某些组件更换时没有经过制造商批准的序列号。他们认为,这是 Newag 故意的行为。

Newag 否认开发任何所谓的“车间检测”软件,导致“故意故障”,并威胁要起诉 Dragon Sector 诽谤和违反黑客法律。然而,Dragon Sector 坚持认为他们的调查结果是正确的,并且提供了证据支持他们的结论。

尽管 Newag 威胁要起诉,但 Dragon Sector 成功地修复了这些火车,并在社交媒体上发布了相关视频。他们计划在德国汉堡举行的第 37 届混沌通信大会上进行更详细的演讲。

Newag 声称 Dragon Sector 的报告不可信,因为它是由 Newag 的竞争对手委托进行的。然而,目前尚未证实 Newag 的安全声明。

Dragon Sector 团队对 Newag 是否会真的提起诉讼表示怀疑,认为 Newag 的辩护理由非常薄弱。

这是一起关于火车制造商故意破坏竞争对手修理的火车的事件,引发了关于“权修”(right-to-repair)的争议。权修是指消费者能够自行修理或选择第三方修理服务,而不受制造商限制的权利。


HN 评论 215 comments | 作者:Stratoscope | 17 hours ago #

https://news.ycombinator.com/item?id=38638865

一些评论者对制造商故意设计列车在第三方维修后出现故障的行为表示愤怒和不满。他们认为制造商应该对列车的安全负责,并承担个人责任。

有人指出,列车的故障并不会导致人员受伤或死亡,但会对交通和紧急救援产生影响,可能导致财产损失和生命危险。

一些评论者提到铁路行业对国会的控制力,以及在员工罢工期间如何得到国会和总统的支持。

还有人讨论了列车维修的权利问题,认为制造商不应该通过设计来限制第三方维修,这会损害用户的权益。

有人提到了类似“柴油门”的事件,认为制造商故意安装有缺陷的软件来破坏竞争对手的维修服务,这是一种不道德和不公平的行为。

这些是帖子评论中的主要观点摘要。请注意,这些观点是根据评论者的个人意见和观点形成的,并不代表所有人的观点。


Mozilla expands extension support for Firefox for Android #

https://blog.mozilla.org/en/mozilla/new-extensions-youll-love-now-available-on-firefox-for-android/

这篇文章是关于 Mozilla 在 Firefox for Android 上推出了 450 多个新扩展的消息。这些扩展可以为用户提供新的功能和功能,开放了一个新的移动扩展生态系统,开发人员可以自由创建和发布扩展,用户可以轻松访问和安装它们。

Mozilla 在 Firefox for Android 上推出新扩展生态系统的目标是为了让用户能够个性化和定制他们的移动互联网体验。扩展是一种强大的工具,可以提供各种功能,包括隐私工具、广告拦截器、生产力工具、标签管理器、翻译工具等等。尽管移动扩展生态系统需要时间来发展和丰富,但已经有一些主要的桌面扩展可以在 Firefox for Android 上使用,例如隐私保护的内容拦截器 uBlock Origin 和 Ghostery,反跟踪工具 Privacy Badger 以及颜色自定义工具 Dark Reader 等。

文章还介绍了一些可用的扩展,以帮助用户在移动设备上获得更好的体验。例如,Midnight Lizard 可以改变页面的颜色、亮度和对比度,以保护用户的眼睛;Dark Background and Light Text 可以将网页渲染为黑色背景和浅色文本,适合喜欢暗模式或有视力问题的用户;Worldwide Radio 可以让用户从 Firefox for Android 浏览器中访问全球超过 5 万个广播电台。

Mozilla 感谢所有与他们合作使扩展兼容于 Firefox for Android 的开发人员,并表示随着更多开发人员创建移动优化内容,未来几个月将会有更多的 Firefox for Android 扩展问世。


HN 评论 138 comments | 作者:rebelwebmaster | 7 hours ago #

https://news.ycombinator.com/item?id=38644608

有人认为这是一件好事,因为现在所有被开发者标记为与 Android 兼容的扩展都会显示在 AMO 上。

有人对此感到困惑,认为为什么这么久才实现扩展支持。他们指出,Firefox for Android 从一开始就支持插件,但在 2020 年进行了用户界面的重写,这需要一些时间来重新实现扩展支持。然而,在重写后,扩展支持被隐藏起来,只有一小部分推荐的扩展被启用,其他扩展则逐渐添加到列表中。

有人回忆起在 Fenix(新版 Firefox for Android)中整合 Web 扩展支持的过程。他们提到了团队面临的巨大工作量、不切实际的截止日期和高期望值。为了支持最受欢迎的 Web 扩展,他们决定只支持一组有限的 API,其中包括广告拦截器。

有人认为这种延迟可能是由于产品管理决策而导致的,他们选择了限制扩展的完整性和支持范围。

还有人提到了 Firefox for Android 之前的扩展支持以及关于 Google 与 Mozilla 之间的合作的猜测。然而,其他人表示这些猜测是没有根据的。


Barcelona Supercomputing Center presents Sargantana: new open-source RISC-V chip #

https://www.bsc.es/news/bsc-news/bsc-presents-sargantana-the-new-generation-the-first-open-source-chips-designed-spain

巴塞罗那超级计算中心(BSC-CNS)在 2023 年 12 月 13 日推出了新一代的 Sargantana 芯片,这是西班牙首款开源芯片的第三代。Sargantana 基于 RISC-V 开放硬件技术,是欧洲实现技术主权、减少对大型跨国公司依赖的重要进展。该芯片具有比其前两代(Lagarto Hun 和 DVINO)更好的性能,并且是 Lagarto 系列中首个突破千兆赫频率的处理器。这些新处理器的指令集架构(ISA)是开源的,因此非专有且对所有人可访问,通过促进公司和机构的合作,减少了对大型跨国公司的技术依赖。这种基于 RISC-V 的自由硬件架构可能会像 Linux 在软件领域一样,在硬件领域引发技术革命。

该项目由 BSC 的研究人员协调,其他大学和研究中心的研究人员也参与了 Sargantana 的开发。Sargantana 是一个实验性芯片,用于测试 RISC-V 技术的应用和加深对其的了解,但目前还不适用于计算机或其他设备。该项目得到了来自欧洲区域发展基金(ERDF)的资助,并在 Catalonia 2014-2020 操作计划的框架内得到了加泰罗尼亚政府的支持。Sargantana 的研发结果将用于半导体行业的战略转型项目(PERTE Chip)。

这一举措旨在将巴塞罗那打造成国际处理器设计的标杆,促进公司和就业机会的创造。Sargantana 的发布仪式是在巴塞罗那 BSC 设施举行的,作为西班牙开放硬件联盟(SOHA)首日活动的一部分。SOHA 是一个旨在促进开放计算技术和架构研究的西班牙大学和研究中心联合会,为培养人才、创造高质量就业机会做出贡献。

资料来源:BSC-CNS


HN 评论 135 comments | 作者:pimterry | 13 hours ago #

https://news.ycombinator.com/item?id=38640406

该帖子讨论了欧洲开源 RISC-V 芯片的发布,强调了安全性和经济本土化的重要性。

有评论指出,建立 40-20 纳米级别的芯片制造工厂可以大幅降低风险,增加小国家本地制造芯片的可能性,并解决大部分芯片需求。

大部分芯片需求并非高端 AI 等领域,而是用于屏幕控制器、USB 连接器等的控制芯片。建立即插即用的替代品将给本地制造商提供选择,并提供激励。

安全性是最大的收益。对于敏感公司的 CEO、安全机构负责人和采购负责人来说,他们是否使用来自可信国家制造的开源芯片制造的键盘、CPU、主板和显示器?挑战者坦克的 BOM 中有多少芯片是由谁制造的?

这些观点主要涉及到欧洲开源 RISC-V 芯片的安全性、经济本土化以及对不同领域芯片需求的讨论。


Mitchell reflects as he departs HashiCorp #

https://www.hashicorp.com/blog/mitchell-reflects-as-he-departs-hashicorp

这是 HashiCorp 联合创始人 Mitchell Hashimoto 离开 HashiCorp 公司后写的一封告别信。Mitchell 在这篇文章中回顾了他在 HashiCorp 度过的超过 11 年的时光,并表达了对公司的深情告别。

在这封信中,Mitchell 提到他离开 HashiCorp 是他长期以来的计划。他创办 HashiCorp 的初衷就是建立一个不需要他日常参与运营的公司,让其他领导者能够承担起责任。他在过去的几年中一直非常注重这一点,先是在 2016 年辞去了 CEO 职务,然后逐渐建立了一种领导自主权的文化,不需要他的参与就能做出决策。最后,在 2021 年他离开了领导团队和董事会,全职担任工程师。他作为一名工程师的热情超越了基础设施,他一直知道在某个时刻,当公司和他准备好的时候,他会离开并接受新的挑战。最近,他的家庭迎来了他们的第一个孩子,他在休假期间反思自己的时间,觉得现在是完成这个转变的合适时机。虽然他离开 HashiCorp 正是他计划中的事情,但这仍然是一个令人感慨的时刻。几乎他整个成年生活都围绕着这家公司展开,他的很多重要回忆都发生在这个公司的背景下。

Mitchell 还回顾了他与 HashiCorp 的合作伙伴 Armon Dadgar 和 Dave McJannet 的历史。他们一起领导了公司近 15 年,他对他们的领导能力充满信任,并会非常怀念与他们一起工作的时光。

在文章中,Mitchell 还提到了 HashiCorp 的成就和影响。HashiCorp 的创始理念,如多云等,现在已经成为主流并得到广泛接受。他帮助创建的软件被行业内从业者广泛使用,从业余爱好者到世界上最大的公司的专业人士。此外,GitHub Octoverse 报告还发现,HashiCorp Configuration Language (HCL) 再次成为开源项目中使用最多的语言之一。这些都是 HashiCorp 在行业中取得的影响、增长和有前途的未来的一部分。Mitchell 对自己在实现这一切过程中所扮演的小角色感到自豪。

最后,Mitchell 向整个公司表达了最诚挚的祝福,并表示将继续关注 HashiCorp 的发展,并期待看到他们接下来会做些什么。


HN 评论 79 comments | 作者:manojlds | 3 hours ago #

https://news.ycombinator.com/item?id=38647484

jamestimmins 表示祝贺 Mitchell 在 HashiCorp 取得的成就,并希望他未来的工作仍然与黑客相关。

ezekg 提到 Mitchell 正在开发一个被称为 Ghostty 的终端,建议大家去了解一下。

dylanz 回忆起与 Mitchell 一起在 Ruby 项目和 Erlang 世界中工作的经历,并祝贺他的成就。

denysvitali 感谢 Mitchell 对基础设施领域的贡献,并表示期待他未来的工作。

philbert101 感谢 Mitchell 开发的 Vagrant、Packer、Consul、Vault 和 Terraform 等工具,并表示在 DevOps 工作中使用过这些工具。

awsanswers 表示自己的职业生涯是在追随 Mitchell 的愿景,对他表示感谢。

jtreminio 表示自己的第一个重要的开源项目就是基于 Vagrant 的,并且感谢 Mitchell 的工作。

umur 祝贺 Mitchell 并期待他未来的工作。

gigapotential 表示祝贺 Mitchell,称他已经改变了整个行业。

leetrout 祝贺 Mitchell 的成就,并期待他未来的工作。

fishnchips 开玩笑说 Mitchell 应该将公司名字改为"Just Corp",并表示 Mitchell 是他的榜样。

tiffanyh 表示对 Mitchell 的印象是他是一个非常优秀的工程师,只想构建出色的产品,并对他的决定表示尊重。

purpleidea 表示对 Mitchell 的最大尊重是他经常亲自编码,而不仅仅是说说而已。

cgopalan 表示对 Mitchell 的尊敬,并表示他对 Zig 的写作对自己非常有帮助。

bitwrangler 提到另一个曾经做过类似转变的人是 John Walker。

gtirloni 表示 Mitchell 目前正在开发一个名为 Ghostty 的项目,并提供了链接。


Maybe getting rid of your QA team was bad #

https://davidkcaudill.medium.com/maybe-getting-rid-of-your-qa-team-was-bad-actually-52c408bd048b

这篇文章讨论了在软件开发过程中是否应该废除质量保证(QA)团队的问题。作者指出,过去几年中,随着 DevOps 的发展,我们不断优化交付流程和实践,将低价值的活动自动化或优化,以提高软件交付的速度。然而,这种优化的结果是测试成为软件交付过程中最慢的环节。因此,有些人认为测试可能不是瓶颈,而是 QA 团队本身。这导致了对 QA 团队的贬低和不公平对待,以及对软件质量的影响。

文章指出,废除 QA 团队是一种管理错误,这种选择摧毁了 QA 团队多年来的发展成果,并可能在多年后才会感受到影响。现在很多组织并不清楚在软件质量方面应该由谁负责,而那些保留了 QA 团队的组织也面临着困难,因为 QA 团队已经受到了损害。

文章提出了一些管理软件质量的工作,包括缺陷跟踪、缺陷分类和处理、缺陷调查和端到端测试。作者强调,质量保证是一项工作,需要有专门的人员负责。没有认识到和组织这些活动将导致糟糕的情况。

总而言之,文章认为废除 QA 团队是一种错误的管理决策,管理者应该认识到质量保证是软件开发过程中不可或缺的一部分,并采取相应的措施来管理软件质量。


HN 评论 195 comments | 作者:nlavezzo | 6 hours ago #

https://news.ycombinator.com/item?id=38645856

有人分享了自己在 IBM 工作时的经历,他们的 QA 团队编写了测试用例并对系统进行测试,然后将问题的一般描述提供给开发团队。这种方法可以估计剩余的错误数量。

有人提到了在没有 QA 团队的组织中引入“嗅探测试”的概念。这是一个短暂的测试会议,鼓励公司/部门的任何人对新功能进行测试。这种方法通常会发现许多问题。

有人指出,好的 QA 人员是对实际生产用户的边缘情况的具体化。他们了解用户如何使用应用程序,而开发人员则更关注预期的功能。

有人讨论了测试团队在决定发布是否进入生产环境方面的重要性。

有人提到了自动化测试的重要性,但也指出自动化测试无法完全取代人工测试。

这些是帖子中的一些观点摘要。希望对您有所帮助!


The AI Trust Crisis #

https://simonwillison.net/2023/Dec/14/ai-trust-crisis/

Dropbox 最近推出了一些新的人工智能(AI)功能,但引发了大量批评。人们担心自己在 Dropbox 上的私人文件被传送给 OpenAI 用于训练模型,尽管 Dropbox 坚决否认了这一说法。

尽管 Dropbox 在解释这些功能的工作原理方面做得还可以,但在涉及数据隐私和人工智能方面,稍微做得还不够好。特别是考虑到 Dropbox 保存了如此多人们的私人数据!有两个细节尤为重要。

首先,Dropbox 有一个 AI 原则文件,其中包括以下内容:“客户的信任和数据的隐私是我们的基础。我们不会在没有同意的情况下使用客户数据来训练 AI 模型。”

其次,他们在设置中隐藏了一个复选框,如下所示:更新:在我发布这篇文章后的四个小时内,该链接停止工作了。这是我在自己的账户上截取的屏幕截图。它被切换为 “打开” 状态,但我从未自己打开过它。这是否意味着我被标记为 “同意” 将我的数据用于训练 AI 模型?我不认为是这样的:我认为这是混淆用语和在人们同意条款和条件的情况下术语 “同意” 的永恒模糊性的结合。

但是很多人得出结论,这意味着他们支付给 Dropbox 保护的私人数据现在正被引导到 OpenAI 的训练深渊中。人们不相信 OpenAI。


HN 评论 256 comments | 作者:simonw | 9 hours ago #

https://news.ycombinator.com/item?id=38643046

需要明确可行的、法律定义的同意概念,以适用于网站隐私政策。有人认为当前的同意定义不够明确或不够具体,导致用户在不知情的情况下已经被收集、处理或转移数据给第三方。

有人认为,如果欺骗用户签署合同,那么该合同就是欺诈。他们认为司法系统失去了保护公民的能力。

有人提到了 GDPR(通用数据保护条例),认为 GDPR 已经规定了同意的要求。然而,也有人指出 GDPR 的执行不够严格。

有人认为,数字合同不应该具有与纸质合同相同的约束力,因为数字合同可以任意更改,而且很难证明用户同意了哪个版本的合同。

有人认为,用户对于谁可以信任其数据和隐私有更好和更差的选择,但很难判断哪些公司是可信的。


Security Issue: Cloud Site Manager presented me your consoles, not mine #

https://community.ui.com/questions/Security-Issue-Cloud-Site-Manager-presented-me-your-consoles-not-mine/376ec514-572d-476d-b089-030c4313888c

这篇文章是关于一个安全问题的讨论。作者在登录 https://unifi.ui.com/consoles 时发现自己被呈现了来自另一个账户的 88 个控制台,他可以完全访问这些控制台。问题只有在强制刷新浏览器后才得到解决。作者对此表示担忧,并询问是否有其他人遇到过类似的问题。

文章中还有其他用户的回复,其中一些用户对 Ubiquiti 公司的回应表示不满,认为这是一个严重的安全问题,需要得到正式的确认和处理。其他用户则表示对 Ubiquiti 的安全团队有信心,并希望他们能够解决这个问题。

总的来说,这篇文章是关于一个用户在登录 Ubiquiti 的控制台时发现安全问题的描述,以及其他用户对此问题的回应和讨论


HN 评论 240 comments | 作者:amaccuish | 8 hours ago #

https://news.ycombinator.com/item?id=38643348

一位前 Ubiquiti 员工表示,公司在 CEO 将其重心放在波特兰和中国办公室后开始稳步衰落。波特兰的 UX 设计师试图重新设计产品外观,但并不了解客户如何使用产品。中国的办公室制造了一个名为 FrontRow 的产品,但它失败得如此惨重,以至于几乎没有人听说过它。这些人原本应该成为公司的未来领导者,但他们所做的一切都是灾难性的。许多人离开了公司,云计算负责人因敲诈公司而入狱后,所有在 Ubiquiti 从事云计算的人要么辞职要么被解雇。

另一位评论者提到了 Ubiquiti 的 FrontRow 产品,并指出它可能被重新用于 Access Reader Pro。

有人询问 Ubiquiti 在成为知名品牌之前的规模。

一些评论者讨论了其他网络设备品牌,如 MikroTik、TPLink 和 Aruba。


Moderna Melanoma Vaccine Cuts Death Rate in Half #

https://www.reuters.com/business/healthcare-pharmaceuticals/benefits-moderna-merck-melanoma-vaccine-plus-keytruda-extend-three-years-2023-12-14/

一种由 Moderna 和 Merck & Co 开发的实验性信使 RNA 癌症疫苗与 Merck 的 Keytruda 联合使用,在三年内将黑色素瘤的复发或死亡几率减少了一半,证明了一年前展示的效益在时间上得以保持。Moderna 股价在早盘交易中上涨 11%,此前由于对 COVID 疫苗需求的减少以及对其 mRNA 流感疫苗与目前标准疫苗的比较以及癌症疫苗是否成功的质疑,其股价今年已经下跌了 50%。

两位分析师表示,这些数据是积极但渐进的一步。Merck 的股价在早盘交易中下跌 0.6% 至 105.70 美元。这种个性化癌症疫苗与 Merck 的畅销免疫疗法联合使用,与单独使用 Keytruda 相比,将最致命的皮肤癌的复发或死亡风险降低了 49%。

这项中期试验涉及 157 名患有 III/IV 期黑色素瘤的患者,他们的肿瘤在手术切除后接受了药物 / 疫苗联合治疗或仅使用 Keytruda 的治疗,目的是延缓疾病复发。一年前的研究显示,复发或死亡率降低了 44%。Moderna 总裁 Stephen Hoge 在接受采访时表示:“这些反应的持久性非常强大,在这段时间内基本上是稳定的。这是一个相当显著的改善,相对于仅使用 Keytruda 的标准治疗来说是相当戏剧性的改善。”

Morningstar 分析师 Karen Andersen 表示,新的结果可以帮助 Moderna 和 Merck 根据中期数据向美国食品和药物管理局提出加速批准的申请。这种联合治疗已获得美国突破性疗法和欧洲药物管理局 PRIME 计划的认可,这些监管计划旨在加速创新治疗的开发。

不过,Hoge 表示,即使有了新的数据,公司在申请批准治疗之前还需要一些时间。该疫苗是根据患者手术切除后肿瘤的分析而定制的。这些疫苗旨在训练免疫系统识别和攻击癌细胞中的特定突变。Moderna 目前正在马萨诸塞州建设一个专门的设施,以商业规模生产该疫苗,希望在明年完成。

Hoge 表示,公司正在与全球监管机构就该产品的批准路径进行沟通。他们已经开始了一项证实性的晚期试验,用于黑色素瘤的联合治疗,以及一项已经招募患者的非小细胞肺癌试验。


HN 评论 84 comments | 作者:boiler_up800 | 10 hours ago #

https://news.ycombinator.com/item?id=38642273

这篇帖子是关于 Moderna 公司的黑色素瘤疫苗的新闻报道。以下是评论的观点摘要:

有人分享了个人的亲身经历,他的父亲在 1996 年因恶性黑素瘤去世,他强调了预防措施的重要性,如涂抹防晒霜和定期检查痣。

有人对化学防晒霜成分引发癌症的观点提出了质疑,并提到了非纳米氧化锌矿物防晒霜的推荐。

有人指出,关于黑素瘤的研究已经发现了年轻人和老年人之间的不同,以及普通化学防晒霜成分引发癌症的说法已经过时。

有人讨论了如何预防黑素瘤,包括逐渐增加阳光暴露时间以建立皮肤的深层保护,但也强调了防晒霜的重要性。

有人分享了个人的经历,他的父母都患有黑素瘤,但他的家庭医生认为他不需要定期检查,这引发了关于医生建议和保险支付的讨论。

有人分享了自己患有黑素瘤的经历,并提供了关于如何预防和检查黑素瘤的实用建议。

有人讨论了黑素瘤疫苗的个性化制备和治疗过程中的一些技术细节。

有人讨论了药物批准过程的效率和延迟对患者的影响。

有人分享了个人的经历,他的朋友的孩子患有一种罕见的儿童黑素瘤,这引发了对疫苗的希望和对现代医学的赞赏。

有人分享了澳大利亚皮肤癌的高发率,并对现代医学的进展表示赞赏。

有人提问关于疫苗是否可以作为预防性措施使用的问题,并得到了回答,该疫苗是根据患者手术切除的肿瘤进行定制制备的。