2024 04 14 HackerNews

2024-04-14 Hacker News Top Stories #

一句话摘要 #

  1. XZ backdoor story – Initial analysis 卡巴斯基分析了在XZ压缩工具中发现的恶意后门,该后门通过多阶段操作影响全球SSH服务器。
  2. The FCC needs to stop 5G fast lanes 文章呼吁美国联邦通信委员会制止5G快速通道的出现,以保护网络中立性。
  3. Japanese police arrest man for tampering with Pokémon Violet save data 日本警方逮捕一名男子,因其非法修改并销售《宝可梦紫罗兰》游戏存档数据。
  4. I continue to no longer attend vintage computer festivals 作者因个人物品处理问题,决定不再参加复古计算机节,并分享了与VCF管理员的交流经历。
  5. Microsoft starts testing ads in the Windows 11 Start menu 微软开始在Windows 11的开始菜单测试广告,推广Microsoft Store的应用程序。
  6. Ubisoft is stripping people’s licences for The Crew weeks after its shutdown Ubisoft在关闭《The Crew》游戏后,撤销了玩家的游戏许可,突显了数字所有权的不稳定性。
  7. Tree-shaking, the horticulturally misguided algorithm (2023) 文章讨论了WebAssembly中的tree-shaking算法,强调其在网页开发中的重要性和实现挑战。
  8. Defeated CEOs are now conceding hybrid working is here to stay 美国CEO们接受混合工作模式将成为常态,预计未来三年内员工不会全面返回办公室。
  9. Is .NET just miles ahead or am I delusional? Reddit帖子讨论.NET技术的优势,比较了.NET与其他编程语言的特性和开发体验。
  10. “Strong focus on aesthetics” contributed to collapse of Norway timber bridge 挪威一座木结构桥梁因设计和施工缺陷倒塌,调查指出过分强调美学是导致事故的原因之一。

XZ backdoor story – Initial analysis #

https://securelist.com/xz-backdoor-story-part-1/112354/

这篇文章是关于卡巴斯基对 XZ 中发现的后门进行的分析。在 2024 年 3 月 29 日,Openwall OSS-security 邮件列表上发布了一条消息,对信息安全、开源和 Linux 社区来说是一项重要的发现:在 XZ 中发现了一个恶意后门。XZ 是集成在许多流行的 Linux 发行版中的压缩实用程序。

这个后门的特别危险之处在于它被 OpenSSH 服务器进程 sshd 使用。在包括 Ubuntu、Debian 和 RedHat/Fedora Linux 在内的几个基于 systemd 的发行版上,OpenSSH 被修补以使用 systemd 功能,结果对这个库有依赖(需要注意的是 Arch Linux 和 Gentoo 不受影响)。攻击者的最终目标很可能是为 sshd 引入远程代码执行功能,而其他人无法使用。

与我们在 Node.js、PyPI、FDroid 和 Linux 内核中看到的其他供应链攻击不同,这次事件是一个多阶段操作,几乎成功地在全球范围内威胁到了 SSH 服务器。

后门在 liblzma 库中的引入分为两个级别。生成最终软件包的构建基础设施的源代码稍作修改(引入了一个额外的文件 build-to-host.m4),以提取隐藏在一个测试用例文件(bad-3-corrupt_lzma2.xz)中的下一阶段脚本。这些脚本又从另一个测试用例文件(good-large_compressed.lzma)中提取了一个恶意的二进制组件,该组件在编译过程中与合法库链接,然后被发送到 Linux 存储库。主要供应商随后在 beta 版和实验性构建中发布了这个恶意组件。XZ Utils 的妥协被分配了 CVE-2024-3094,最高严重性评分为 10。

文章还详细介绍了事件的时间线、初始感染分析、二进制后门分析、后门代码入口点、后门代码行为等内容。文章指出,这个后门非常复杂,采用了复杂的方法来规避检测,包括在 XZ 存储库中的多阶段植入,以及二进制代码本身的复杂性。文章提到,卡巴斯基产品将与此攻击相关的恶意对象识别为 HEUR:Trojan.Script.XZ 和 Trojan.Shell.XZ。此外,卡巴斯基 Linux 终端安全产品还会在 SSHD 进程内存中检测到恶意代码,识别为 MEM:Trojan.Linux.XZ。文章还提供了一些相关的威胁指标和已知的受影响库。


HN 评论 226 comments | 作者:kryster | 1 day ago #

https://news.ycombinator.com/item?id=40017310

这篇帖子中的评论观点主要包括:对于 XZ 后门事件的操作成功和技术实现的关注,对于错误和过度工程化部分的深入分析,对于构建系统的重要性和安全性的讨论,以及关于如何提高代码供应链安全性的建议。


The FCC needs to stop 5G fast lanes #

https://cyberlaw.stanford.edu/blog/2024/04/harmful-5g-fast-lanes-are-coming-fcc-needs-stop-them

这篇博文讨论了有关 5G 快速通道的问题,强调了即将到来的有害 5G 快速通道,并呼吁美国联邦通信委员会(FCC)采取行动制止这一趋势。

文章指出,FCC 计划于 4 月 25 日投票,恢复其对我们支付上网费用的公司的监管权,并恢复特朗普政府在 2017 年废除的联邦网络中立保护措施。网络中立保护旨在确保我们而不是我们支付上网费用的互联网服务提供商(ISP)决定我们在线上做什么。

FCC 在 4 月初发布了其草案规则,其中有很多值得庆祝的地方。移动运营商如 T-Mobile、AT&T 和 Verizon 一直在降低移动用户的视频质量,他们将不得不停止这种做法。

FCC 保留了州级网络中立保护措施,如加利福尼亚州的网络中立法,允许各州制定自己的网络中立规定。


HN 评论 211 comments | 作者:rsingel | 7 hours ago #

https://news.ycombinator.com/item?id=40024062

  • 竞争对于保护网络中立性不足,需要网络中立法保护;
  • 竞争市场中,ISP 更容易违反网络中立原则,竞争对于保护初创企业和小用户群体不足;
  • 透明度和信息披露对于解决问题至关重要;
  • 美国互联网市场竞争状况尚可,但仍需要网络中立法保护;
  • 网络中立法的重要性不可低估,可促进竞争和保护用户权益。

Japanese police arrest man for tampering with Pokémon Violet save data #

https://www.ign.com/articles/japanese-police-arrest-36-year-old-man-on-suspicion-of-tampering-with-pokemon-violet-save-data

根据 IGN 的报道,日本警方逮捕了一名 36 岁男子,涉嫌在网上向顾客出售非法修改过的《宝可梦紫罗兰》存档数据,这种行为违反了日本 2019 年的《不正竞争预防法》。据日本 NHK 新闻网报道,警方网络巡逻人员在 4 月 9 日发现证据后逮捕了这名嫌疑人,发现他使用特殊工具非法修改了《宝可梦紫罗兰》的存档数据,以更改宝可梦的招式。

这名 36 岁男子被指控出售非法修改过的宝可梦存档数据。据称,这名 36 岁男子在 2022 年 12 月至 2023 年 3 月期间接受定制订单制作稀有宝可梦,并在一个视频游戏资产和物品市场的网站上以每次高达 13000 日元(84 美元)的价格出售修改后的数据。他还提供了一项交易,以大约 30 美元的价格制作六只宝可梦。

据 Automaton 报道,这名 36 岁男子据称承认了正在进行的调查核心的犯罪行为,同时提出他这样做是为了谋生的辩解。根据 Automaton 的报道,这名嫌疑人可能面临最高五年的监禁和/或最高 500 万日元(超过 32600 美元)的罚款。

这并非犯罪分子首次试图从 Game Freak 极受欢迎的系列游戏中赚钱。例如,2021 年,一次注定失败的宝可梦卡盗窃案中,一名绝望的男子试图从东京一家商店偷走一批交易卡和现金。2022 年,这一趋势继续,东京的犯罪分子实施了一系列高价值的宝可梦盗窃案,其中一次盗窃行动中,窃贼带走了价值超过 6 万美元的卡片。值得注意的是,对于宝可梦的热情以及可能导致的麻烦,不仅仅局限于犯罪团伙。例如,2022 年 1 月,洛杉矶两名警察因无视一起入室盗窃的呼叫而追逐《口袋妖怪 Go》中的卡比兽而被解雇。

如果您有兴趣,可以查看 IGN 对有史以来最佳宝可梦视频游戏的排名,或者了解我们的读者在 2021 年评选的有史以来最好的宝可梦是哪个。Anthony 是 IGN 的自由撰稿人,负责报道科学和视频游戏新闻。他有超过八年的多个科学领域突发事件报道经验,绝对没有时间应付你的恶作剧。您可以在 Twitter 上关注他 @BeardConGamer。


HN 评论 223 comments | 作者:josephcsible | 22 hours ago #

https://news.ycombinator.com/item?id=40019124

这篇帖子中的评论观点可以归并为以下几点:

    1. 有人认为修改 Pokémon 存档数据并出售违反了日本的不正当竞争预防法,虽然法律可能看似荒谬,但至少明确规定了这种行为是非法的;
    1. 有人认为不公平竞争是指他人通过破坏游戏体验来牟利,而不是简单地修改个人游戏存档;
    1. 有人提到这项法律类似于日本的 DMCA,旨在保护商业竞争;
    1. 有人认为修改游戏存档可能侵犯版权,违反作者意愿;
    1. 也有人质疑法律对于修改个人游戏存档的合理性,认为这种行为并未造成实质损害。

I continue to no longer attend vintage computer festivals #

http://ascii.textfiles.com/archives/5591

这个链接是关于一篇名为《我继续不再参加复古计算机节》的博文。作者描述了一些人对初始博文做出的回应。作者强调博文中描述的一切都是发生过的事实。

他联系了一个 VCF 管理员,被告知所有东西都被处理掉了,而他们保留了箱子。作者提到有人对他需要更仔细地描述“哪个”VCF 实体有过失表示担忧,但他认为这些 VCF 的命名、地理品牌和内部公司实体对于外部人来说毫无意义。他还澄清了自己并非永远不再参加任何计算机历史会议或活动,但目前 VCF East 是他最容易参加的活动。作者认为这一事件对他的工作和项目来说相对较小,但带来了一些愤怒,不过他认为这是一堂“生活课”。

最后,作者表示这一声明标志着事件的结束,他与人和组织之间的对话变得更长、更深入,也更多变,事情变得更好了。


HN 评论 187 comments | 作者:ehPReth | 23 hours ago #

https://news.ycombinator.com/item?id=40018990

  • 有人认为很多老物品对任何人都没有价值,包括老木家具和旧 PC 或 Byte 杂志;
  • 有人认为老 PC 杂志仍然重要,可以数字化保存,成为未来研究者的重要资源;
  • 有人指出数字化并非所有内容都已完成,而且质量可能不佳,需要重复扫描;
  • 有人讨论了保存和数字化历史资料的重要性,以及一些特定杂志尚未被数字化的情况;
  • 有人提到了保存和分享数字化资料的重要性,以及一些组织对待捐赠物品的态度。

Microsoft starts testing ads in the Windows 11 Start menu #

https://www.theverge.com/2024/4/12/24128640/microsoft-windows-11-start-menu-ads-app-recommendations

根据《The Verge》的报道,微软开始在 Windows 11 的开始菜单中测试广告。软件制造商将使用开始菜单的“推荐”部分,通常显示文件推荐,来推荐来自 Microsoft Store 的应用程序。

微软在一篇博客文章中表示:“这将仅适用于美国 Beta 频道中的 Windows Insider,并不适用于商用设备(由组织管理的设备)。用户可以在 Windows 11 的设置部分中禁用应用程序推广,但似乎微软将默认启用这些广告。微软正在寻求关于这些变化的反馈,因此如果有足够的反馈表明这些广告不会成为受欢迎的添加,公司可能会决定在 Windows 11 的开发版本中放弃这些广告。

去年,微软开始在 Windows 11 的文件资源管理器中测试广告,然后在 Windows 11 的测试版中禁用了这一实验。微软在 Windows 内部广告方面已经进行了超过 10 年的实验。在 Windows 10 的锁屏和开始菜单中已经有推广位,因此看到它们出现在 Windows 11 中并不奇怪。

现在,由 Windows 测试人员提供反馈,以查看微软是否可能被迫不在 Windows 11 的最终版本中包含这些广告。


HN 评论 185 comments | 作者:ashton314 | 23 hours ago #

https://news.ycombinator.com/item?id=40018948

评论中的观点归纳如下:

    1. 有人认为微软在 Windows 11 开始菜单中加入广告的时间巧合,并开始阻止第三方开始菜单替代品;
    1. 一些人对微软不断恶化产品感到失望,认为这是离开 Windows 工作环境的更多动力;
    1. 有人提到他们使用自定义开始菜单替代品,但微软似乎在故意阻止这些定制化工具;
    1. 一些人认为微软可能会在用户反馈不佳的情况下考虑取消这些广告;
    1. 还有人指出苹果也在 iPhone 上显示广告;
    1. 有人提到 Linux 作为一个替代选择。

Ubisoft is stripping people’s licences for The Crew weeks after its shutdown #

https://www.pcgamer.com/games/racing/ubisoft-is-stripping-peoples-licences-for-the-crew-weeks-after-its-shutdown-nearly-squandering-hopes-of-private-servers-and-acting-as-a-stark-reminder-of-how-volatile-digital-ownership-is/

根据 PC Gamer 的报道,Ubisoft 在关闭其开放世界多人在线赛车游戏《The Crew》几周后,进一步采取措施剥夺了玩家的许可证,几乎破坏了粉丝私人服务器的希望,并成为数字所有权多变性的鲜明提醒。《The Crew》于去年 12 月停止销售,Ubisoft 透露将于 4 月初关闭服务器。尽管游戏的大部分内容可在单人模式下完成,但《The Crew》在其长达十年的生命周期中始终是一项仅限在线的尝试。这使得游戏已经无法游玩,但似乎 Ubisoft 决心进一步采取措施,以杜绝任何继续游玩游戏的尝试。

粉丝们本周早些时候开始注意到他们的游戏许可证被收回。游戏库页面顶部显示的消息是:“您不再可以访问此游戏。为什么不查看商店继续您的冒险呢?”游戏也已被移至玩家库中的独立部分,列在“非活跃游戏”下。据称,直接从安装目录启动游戏仍会启动游戏,但仅以演示模式运行。

这一消息不出所料地引起了极大反感。一位 Reddit 用户在该网站上的截图开始传播后评论说:“这是我在游戏史上见过的最悲伤和最无情的决定。”另一位 Reddit 用户称其为“真正可憎的行为,需要停止合法化”,另一位写道:“在理想的情况下,像这样撤销许可证应该使购买者有资格获得退款。我不确定他们为什么要这样做。游戏已经无法游玩了,那么保留游戏供购买者下载有什么害处呢?服务器空间?Ubisoft 真的那么吝啬吗?”

幸运的是,服务器仿真仍然是可能的。但由于 Ubisoft 在游戏中设置了大量数字版权管理(DRM),其他修补程序是不可能的。这是一个不断提醒数字所有权是多么脆弱的例子。去年,视频游戏历史基金会的一项研究发现,大约 87% 的游戏无法在没有进行某种形式的盗版或粉丝创建的存档的情况下进行游玩,而随着实体光盘逐渐消失,这一数字甚至可能会恶化。保存正在变得越来越重要,这个话题现在被更认真地对待,作为保存这一媒介的手段。

YouTuber Ross Scott 本月初发起了一个名为“Stop Killing Games”的活动,以《The Crew》为主要例子。他希望最终能赢得一场法律胜利,要求发行商在结束支持后保持其在线服务游戏以某种形式可玩,例如通过发布私人服务器。


HN 评论 123 comments | 作者:croes | 16 hours ago #

https://news.ycombinator.com/item?id=40020961

评论中的观点归纳如下:

    1. 数字所有权不稳定,需立法明确购买与租赁;
    1. 公司可能限制老游戏使用,促使购买新版本;
    1. 公司可能起诉提供老游戏补丁的人;
    1. 游戏产业走向数字市场,可能导致老平台游戏无法再玩;
    1. 俄罗斯允许软件适配到新硬件;
    1. 人们需对当前非所有权模式有所不满;
    1. 版权应在公司倒闭时过期,软件源码公开;
    1. 软件版权应在不再得到支持时过期。

Tree-shaking, the horticulturally misguided algorithm (2023) #

https://wingolog.org/archives/2023/11/24/tree-shaking-the-horticulturally-misguided-algorithm

这篇文章讨论了 WebAssembly 中的“tree-shaking”算法以及其在网页开发中的应用。作者首先提到了 WebAssembly 在网页上的成功有限,并列举了一些成功案例,如 Photoshop 等。他指出 WebAssembly 在将大型 C++ 程序带入网页方面表现出色,但对于 DOM-heavy 应用并不成功。文章探讨了 WebAssembly 在不同语言(如 C、Rust)中的应用情况,并指出随着浏览器对引用类型和垃圾回收的支持,WebAssembly 将在网页开发中取得更大成功。

作者强调了编译器生成紧凑代码对于 WebAssembly 在网页开发中的胜利至关重要。他详细解释了 tree-shaking 的概念,指出编译器需要生成小巧的 Wasm 文件以提高用户体验。文章还讨论了 Hoot Scheme 编译器如何通过 GC 实现对 Wasm 的目标,以及在实现最佳 tree-shaking 算法时所面临的挑战。作者提到了在 Python 中实现最佳 tree-shaking 的困难之处,包括动态查找和面向对象的调度等问题。

总的来说,文章强调了随着 GC 的支持,WebAssembly 有望在网页开发中取得成功,但需要不同语言的有效工具链和高效的 tree-shaking 算法。最后,作者鼓励开发者投入更多精力在语言工具链的优化上,以实现小型 Wasm 模块,从而推动 WebAssembly 在网页开发中的广泛应用。


HN 评论 102 comments | 作者:andsoitis | 8 hours ago #

https://news.ycombinator.com/item?id=40023319

评论中的观点归纳如下:

    1. 避免使用浮点数、哈希映射和字符串以减小二进制文件大小;
    1. 设计算法时考虑大小,使用小型分配器和少量实例化类型;
    1. WASM 允许在其他语言中进行 DOM 编程;
    1. “Tree-shaking"一词在 JavaScript 世界中很流行,但"dead code elimination"是更传统的术语。

Defeated CEOs are now conceding hybrid working is here to stay #

https://fortune.com/2024/04/12/kpmg-study-us-ceos-accept-hybrid-working-employee-return-to-office/

根据《财富》网站的报道,美国首席执行官们现在相信混合办公模式将会长期存在。经过一年的严格要求员工全面返回办公室,并对那些在疫情期间改变生活方式的员工施加压力后,这些首席执行官们终于接受了混合办公的现实。

KPMG 对至少营业额达到 5 亿美元的美国公司的首席执行官进行了调查,发现只有三分之一的人预计未来三年内员工会全面返回办公室。这意味着那些认为员工将在不久的将来每周五天都回到办公桌前的领导者现在已经成为少数。去年,62% 的首席执行官预测在 2026 年前居家办公将结束,但现在近一半的首席执行官已经认识到未来的工作模式将是混合办公。一些首席执行官甚至不仅仅是接受周五在家办公,而是考虑实行四天工作制。

许多首席执行官在过去一年里一直试图摆脱居家办公的习惯,召回员工回到办公室,但他们的要求遭到了抵制。一些公司实施全面返回办公的命令后,员工流失率高于预期,有 29% 的公司在招聘方面遇到困难。因此,首席执行官们现在意识到未来的工作可能是混合办公的最佳选择。他们逐渐认识到灵活性是吸引和留住顶尖人才的关键因素。


HN 评论 198 comments | 作者:safaa1993 | 1 day ago #

https://news.ycombinator.com/item?id=40018087

这篇帖子中的评论观点大致可归为以下几类:

    1. 混合工作模式既有利又有弊,有人认为避开交通、办公室拥挤和分散注意力等方面是优势,但对于需要搬迁到高成本生活区的人来说,这可能是一种损失;
    1. 有人主张将混合工作重新构想为每季度的团队聚会,提供住宿和其他便利,以促进团队凝聚力和解决工作问题;
    1. 也有人认为远程工作对于某些人群(如 ADHD 和自闭症患者)更有利,但新员工入职时可能需要更多面对面的指导和培训。

Is .NET just miles ahead or am I delusional? #

https://old.reddit.com/r/dotnet/comments/18gpl24/is_net_just_miles_ahead_or_am_i_delusional/

这个 Reddit 帖子讨论了关于 .NET 技术的一些观点和比较。帖子作者表示自己在职业生涯中主要使用 C# 语言,但最近开始涉足其他编程语言。作者提到了一些观点和比较,例如其他语言中的一些技术和功能在 .NET 中早已存在,以及一些开发体验和工具的比较。

作者提到了一些具体例子,比如在 JavaScript 中的 ORM 实现和配置相对复杂,而在 .NET 中则更加简单直接。作者还谈到了在其他语言中的一些开发体验,如调试和配置相对繁琐,而在 .NET 中则更加便捷。此外,作者还提到了一些其他语言的特性,如 React 中的组件开发体验和 TypeScript 中的类型系统,以及对 .NET 中某些特性的思考和比较。

帖子中还有其他开发者对这些观点进行了讨论和回复,涉及到了不同编程语言的特性和开发体验的比较,以及对 .NET 技术在开发者社区中的地位和发展前景的看法。整体来说,帖子展现了对 .NET 技术的一些看法和比较,以及对不同编程语言特性和开发体验的讨论。


HN 评论 234 comments | 作者:popcalc | 13 hours ago #

https://news.ycombinator.com/item?id=40021758

  • .NET 被认为在自身领域表现出色,但在 Web 生态系统中存在问题;
  • JavaScript 在浏览器中的应用是历史原因,不一定是最佳选择;
  • C 和 C++ 用于操作系统开发是因为其薄层次的汇编语言覆盖;
  • Erlang 在并发性方面表现出色,Python 因易学易用而被广泛应用于学术领域;
  • Python 易学易用的优点被认可;
  • Haskell 等语言的抽象数学推理难度较大;
  • Python 3 升级带来的痛苦和收益;
  • TypeScript 被认为是一种优秀的语言,具有强大的类型系统和行业应用;
  • F#和 Fable 被提及作为潜在替代方案;
  • .NET Core 的向前兼容性问题引起讨论。

“Strong focus on aesthetics” contributed to collapse of Norway timber bridge #

https://www.dezeen.com/2024/04/11/tretten-bridge-collapse-norway-timber/

根据 Dezeen 网站上发布的文章,挪威一座名为 Tretten Bridge 的大型木结构桥梁在 2022 年 8 月发生倒塌事件。这座桥梁由挪威建筑工作室 Plan Arkitekter 和工程公司 Norconsult 设计,于 2012 年建成,主要由胶合木和钢构成。倒塌事件发生时,一辆重型货车正在桥上行驶,两名司机被成功营救。调查报告指出,桥梁设计和施工存在缺陷,且在规划、设计、检查和批准过程中未充分考虑与其非传统设计相关的风险因素。

此外,早前的报告认为桥梁倒塌的原因可能是由于其中一根木质对角支撑在时间推移中变得脆弱而导致的。调查还发现,在 2016 年 Perkolo Bridge 类似结构桥梁倒塌后,对 Tretten Bridge 进行的调查虽然发现了严重缺陷,但挪威道路管理机构却未采取有效行动。调查结果提出了六项安全建议,以供挪威及其他国家相关组织参考。

此次倒塌事件引发了对桥梁安全性的关注,挪威公路管理机构正在采取措施改善桥梁安全性,并计划重建四座类似结构的桥梁。这起事件突显了在桥梁设计和管理中必须充分考虑安全因素的重要性。


HN 评论 133 comments | 作者:rntn | 1 day ago #

https://news.ycombinator.com/item?id=40015851

评论中的观点归纳如下:

    1. 工程师应该重温 1895 年的钢桁梁桥设计经验;
    1. 钢桥会因潮湿导致腐蚀;
    1. 涂漆可以保护钢结构;
    1. 木结构桥设计需谨慎;
    1. 新设计应先过度设计再逐步优化;
    1. 桥梁设计需考虑经验和新材料;
    1. 美学导致新桥设计失败;
    1. 建筑应注重工程质量而非美学。