2024-06-05 Hacker News Top Stories #
- 作者发现调制解调器被黑客入侵,涉及网络钓鱼网站和恶意活动,Cox 已修复漏洞。
- 作者对 LeetCode 风格的面试感到厌倦,认为它不反映软件工程师的实际责任。
- 陶哲轩讨论了 Guth 和 Maynard 在解决黎曼猜想方面的重大突破。
- 加州大学伯克利分校的研究人员开展了“Tree Diffusion”项目,为程序合成提供新方法。
- 文章讨论了如果英语像汉语一样用汉字书写的情况,并提出了两种可能的方法。
- 作者 Garry Tan 探讨了大型科技公司的问题,前往华盛顿成为小型科技的代言人。
- 文章探讨了电子元件数值奇怪的原因,指出它们遵循一定的规律。
- 文章探讨了《霍比特人》和《指环王》中夏尔地区的道德经济。
- Koheesio 是 Nike 基于 Python 的框架,用于构建高效的数据管道。
- 文章讨论了静态加密的威胁模型,强调了加密数据存储的重要性。
Hacking millions of modems and investigating who hacked my modem #
https://samcurry.net/hacking-millions-of-modems
这篇文章讲述了作者在家中网络工作时遇到的一系列奇怪事件。作者发现自己的网络流量被拦截并重放,最终发现自己的调制解调器可能被黑客入侵。作者通过调查发现,一台 DigitalOcean IP 地址的服务器涉及到一系列网络钓鱼网站和恶意活动。作者还发现了一些暴露的 API,使得黑客可以访问数百个 Cox 设备,包括修改设置和执行命令。
最终,作者向 Cox 通报了这些漏洞,Cox 迅速修复了问题。这些漏洞揭示了黑客如何利用漏洞执行命令并修改数百万台调制解调器的设置,访问任何企业客户的个人信息,并获得与 ISP 支持团队几乎相同的权限。整个事件展示了网络安全中的一些漏洞,以及如何通过 API 访问设备并执行恶意操作。
HN 评论 220 comments | 作者: albinowax_ | 18 hours ago #
https://news.ycombinator.com/item?id=40560010
- 评论中有人认为作者应该更加关注安全问题,而不是只关注谁入侵了他的调制解调器。
- 有人认为作者的方法可能会引起一些法律问题,建议作者小心处理。
- 评论中也有人认为作者的行为可能会对他人造成困扰,应该更加谨慎。
- 有人认为作者应该向 ISP 报告这种行为,而不是自行调查。
- 有人认为文章很易懂,赞扬了 Cox 的负责任的安全响应态度
- 一般用户可能会误认为自己的设备被黑客入侵,这会给公司带来额外的成本,因此公司可能难以有效处理类似事件。
- 前线支持人员可能无法准确判断设备是否遭受黑客攻击,因此处理此类事件可能会变得复杂。
- 也有评论提到了公司对于漏洞披露的奖励制度,以及在面对贫困时金钱对于行为选择的影响。
- 还有人提出了关于出售漏洞给最高出价者的伦理和道德问题。
I am sick of LeetCode-style interviews #
https://nelson.cloud/i-am-so-sick-of-leetcode-style-interviews/
这篇文章的作者是 Nelson Figueroa,标题是《我对 Leetcode 风格的面试感到厌倦》。作者在 2023 年底因健康原因辞去了在 Robinhood 的工作,之后参加了各种面试。他提到,他对 Leetcode 风格的面试感到厌倦,因为这种面试并不反映真实世界中软件工程师工作的实际责任。
许多公司都采用这种面试方式,仅仅是因为像谷歌、Facebook、亚马逊等大公司都在使用。作者认为这种面试方式让人感到荒谬,因为面试题目往往是那些可以轻松通过谷歌搜索得到的知识,而不是需要记住的知识。他表示对这个问题没有解决方案,但认为这是一个问题。
如果需要具有 AWS、Kubernetes 和 Ruby on Rails 经验的软件工程师,并且不进行愚蠢的测验,欢迎联系作者。
HN 评论 521 comments | 作者:nelsonfigueroa | 16 hours ago #
https://news.ycombinator.com/item?id=40571395
- 面试有助于筛选候选人,但对申请者来说是痛苦的过程;
- 面试问题不应过于“花哨”,应关注候选人的思维方式;
- 争论面试形式或拒绝问题可能导致面试失败;
- 面试应该考察候选人解决实际问题的能力,而不仅仅是算法题;
- 面试过程应该考虑公司文化和团队偏好;
- 面试问题应该更贴近实际工作,而不仅仅是算法练习。
A breakthrough towards the Riemann hypothesis #
https://mathstodon.xyz/@tao/112557248794707738
数学家 陶哲轩 讨论了 Guth 和 Maynard 在解决黎曼猜想方面取得的重大突破,他们首次实质性改进了 Ingham 关于黎曼 ζ 函数零点的经典 1940 年界限。
文章指出,1940 年 Ingham 获得的界限是 N(3/4,T) ≪ T^(3/5+o(1)),而 Guth 和 Maynard 将这一界限改进到了 N(3/4,T) ≪ T^(13/25)。这一改进对解析数论领域带来了许多相应的进展,例如,我们现在可以在几乎所有短区间内证明素数定理的范围也得到了改善。
文章介绍了他们所采用的傅立叶分析方法,以及他们在控制关键矩阵相位、处理复杂的傅立叶积分、划分不同情况等方面所做的巧妙举措。这些方法的精确性对于利用解析数论中产生的指数和的特殊特性至关重要。
文章强调了他们的方法如何利用了指数和的特殊特性,而不是在谐波分析中可能遇到的更一般的指数和。
HN 评论 107 comments | 作者:pera | 14 hours ago #
https://news.ycombinator.com/item?id=40571995
- 该帖子讨论了对黎曼猜想的突破性进展,提出了改进的界限,尽管不一定会直接导致全面证明;
- 评论中有关于黎曼猜想的解释和讨论,以及对作者 Terence Tao 的赞誉和期待;
- 评论区涉及了数学家的评价、研究方法和可能的影响,展示了对数学领域的关注和热情。
Diffusion on syntax trees for program synthesis #
https://tree-diffusion.github.io/
该网站是关于“Tree Diffusion”项目的页面,该项目由加州大学伯克利分校的 Shreyas Kapur、Erik Jenner 和 Stuart Russell 开展。该项目旨在通过对程序语法树进行扩散,为程序合成提供新的方法。传统的大型语言模型在生成代码时一次只生成一个标记,缺乏观察程序输出的反馈。为了解决这一问题,他们提出了神经扩散模型,该模型可以在任何上下文无关语法的语法树上操作。
与图像扩散模型类似,他们的方法也可以逆转应用于语法树的噪声。与顺序生成代码不同,他们的方法通过迭代编辑代码,同时保持语法有效性,这使得很容易将这种神经模型与搜索结合使用。他们将这种方法应用于逆向图形任务,使模型能够将图像转换为生成这些图像的程序。
结合搜索,他们的模型能够编写图形程序,查看执行结果,并调试以满足所需规范。此外,他们还展示了他们的系统如何为手绘草图编写图形程序。整个项目的代码和权重可在网站上找到,该网站还提供了论文和代码。
HN 评论 85 comments | 作者:pouwerkerk | 22 hours ago #
https://news.ycombinator.com/item?id=40569531
- 一些评论提到了与 Racket 和 MOOC 提示生成相关的工作,建议将这些知识与新的机器学习方法相结合。
- 有人提到了遗传算法在程序树生成方面的研究,指出与 Koza 和 Adamı 在 90 年代的工作有关。
- 有评论讨论了遗传编程的一些挑战,包括生成的结果难以理解,而现代语言模型在这方面表现更好。
- 有人提到了最近一些与 Koza 的遗传编程不同的搜索机制,以及对遗传编程/进化算法的改进方向。
- 有评论讨论了反向扩散的束搜索概念,以及如何将束搜索与反向扩散集成。
- 有人提出了关于将 HTML 生成从设计转换的可能性,特别是结合多个视口大小同时生成流体 HTML 布局的想法。
If English was written like Chinese (1999) #
https://zompist.com/yingzi/yingzi.htm
这篇文章讨论了如果英语像汉语一样用汉字书写会是怎样的情况。作者提出了两种可能的方法:一种是直接使用汉字,另一种是发明一种新的系统,称为“英字”,用于准确地书写英语。在“英字”系统中,每个音节都有一个对应的“英字”,并且通过一些基本原则和规则来简化书写过程。
文章还讨论了如何处理多音节单词、外来词、词形变化等问题,以及如何组织字典和解释未知字符的发音。最后,作者还通过比较英字系统和汉字系统的异同点,探讨了两者之间的复杂性和效率问题。
HN 评论 259 comments | 作者:watercooler_guy | 1 day ago #
https://news.ycombinator.com/item?id=40565060
- 评论指出中文继续使用象形文字的原因是传统和实用性;
- 西方语言学家认为中国语言是不同语言,而不是统一的语言;
- 语言是一种方言,只有当主权国家宣布时才成为语言,否则是方言;
- 葡萄牙语和西班牙语的比较不如苏格兰英语和美国英语的相互理解程度高;
- 葡萄牙语和西班牙语之间的相互理解程度较低,尤其是在发音方面;
Why YC went to DC #
https://www.ycombinator.com/blog/why-yc-went-to-dc/
在这篇名为"Why YC went to DC"的文章中,作者 Garry Tan 探讨了大型科技公司在本世纪大部分时间内被允许在少有监管或监督的情况下运营,导致社交媒体危害、反竞争行为等问题。尽管近年来有一些努力对其进行限制,但少数几家巨头公司仍在经济和华盛顿拥有巨大权力,而现在,华盛顿在人工智能方面面临重复过去错误的风险。
作者表示,他前往华盛顿与政策制定者接触,成为小型科技的代言人,为保持经济的活力而发声。他们会见了两党领导人和负责科技政策的白宫官员,并与他们讨论了开源人工智能的重要性、通过移民获得人才、通过反垄断行动获得市场准入以及消除非竞争性协议等议题。
文章强调,除了倾听大公司在人工智能等领域的看法外,我们还需要为成千上万的初创公司腾出空间,以确保人工智能的好处得到广泛分享,美国在技术领域的领导地位得以延续。这些初创公司的创始人对开源与封闭开发、国家安全问题、创新威胁等关键问题有着重要的观点。
作者强调了小型科技公司的重要性,指出 Y Combinator 社区现在由来自美国几乎每个州的 11,000 名创始人和 5,000 家初创公司组成。他们将资助超过 500 家与人工智能相关的公司,致力于帮助培育下一代伟大公司,这些创新者对推动可能性的边界、确保人工智能的好处得到广泛分配至关重要。
文章呼吁制定促进公平、开放和竞争市场的人工智能政策,为小型科技提供支持。作者提出了三点政策建议:优先采用开源模型和更具针对性的人工智能应用、采取有力措施促进市场竞争、确保新进入者能够开展业务而不必担心报复,以及禁止所有员工非竞争性协议。
最后,文章强调,在新的创新时代来临之际,我们需要给小型科技公司成功的机会,这将使我们所有人受益。文章呼吁政策制定者在书写政策时考虑初创公司的观点和利益,以避免损害他们的机会。
HN 评论 355 comments | 作者:todsacerdoti | 1 day ago #
https://news.ycombinator.com/item?id=40564639
- 软件研发摊销税 - 对虚构利润征税
- 专利法 - 保护小企业免受专利流氓侵害
- 自动化政府驱动的合规标准 - 使小企业能够向大公司/政府实体销售,使用预先批准的云解决方案自动获得认证
- 医疗保险 - 小型企业员工自动获得医疗保险
- 合规标准 - 应该消失,没有证据表明它们在任何公司提供有意义的安全性,大多数合规标准似乎只是理发执照,现有实体巩固自己的地位
- SOC2 - 主要创造了一个数十亿美元的业务,主要是从可能没有这些资源的公司中抽取资源,没有保证您实际上是安全的
- SOC2 - 创造了一个数十亿美元的业务,主要是从可能没有这些资源的公司中抽取资源,没有保证您实际上是安全的
- SOC2 - 创造了一个数十亿美元的业务,主要是从可能没有这些资源的公司中抽取资源,没有保证您实际上是安全的
- SOC2 - 类似于保护勒索集团
- ISO 27001 - 对于初创公司来说,比 SOC2 更轻松
Why do electronic components have such odd values? (2021) #
https://digilent.com/blog/why-do-electronic-components-have-such-odd-values/
这篇文章探讨了为什么电子元件的数值看起来如此奇怪。文章指出,电阻、电容、稳压二极管和电感等元件的数值并非随机选择,而是遵循一定的规律。
文章提到了首选数的概念,起源于 1877 年的法国,当时法国军方使用气球,并需要各种尺寸的系留电缆。查尔斯·勒纳德提出了一系列 17 种电缆尺寸,这些尺寸覆盖了各种气球的系留需求,并成为后来电子元件中的首选数体系的基础。首选数体系通过 E 系列数值来标记电子元件,如 E6、E12、E24 等,这些数值之间的关系遵循一定的规律,使得元件数值之间有一定的重叠,以满足不同的设计需求。
文章还介绍了 E 系列数值的误差容限,以及不同 E 系列的数值范围和误差容限的关系。最后,文章指出任何数值都可以通过组合元件来实现,同时提到了在计算串联和并联元件时的规则,使得元件的组合方式变得多样化。
HN 评论 95 comments | 作者:mtm | 7 hours ago #
https://news.ycombinator.com/item?id=40576132
- 电子元件的奇怪数值是由于标准化的电阻值系列,方便替换和设计。
- 作者混淆了元件值选择和制造公差,E 系列旨在使用完美电阻,但实际电阻有制造公差。
- Renard Numbers 利用“使用公差”原理,将 400 种电缆长度替换为 17 个“标准”电缆。
- 电阻供应商若有 5% 公差,需寻找其他供应商。
- 薄膜电阻设计取决于值和几何形状,0.5 欧姆电阻器的公差最佳为 5%。
- 大多数情况下,电阻器制造商不会测量电阻器,而是通过统计检查批次。
- 电阻器通常不使用线,而是在非导电体上涂覆碳膜或金属膜。
- 电阻器的公差是制造商的规范值,保证最大偏差。
- 电阻器的公差不会减少,因为工程设计需要最坏情况下的值。
The Moral Economy of the Shire #
https://nathangoldwag.wordpress.com/2024/05/31/the-moral-economy-of-the-shire/
这篇名为《The Moral Economy of the Shire》的文章探讨了《霍比特人》和《指环王》中夏尔地区的道德经济。
文章首先讨论了夏尔地区政府的构成,指出夏尔地区政府几乎没有实质性的管理,家庭自行管理事务,主要以种植和食用食物为主。政府主要通过桥梁和道路通行费、关税以及理论上的来自精英家族的自愿捐赠来筹集资金,而非征税。
文章进一步探讨了霍比特社会的社会和经济结构,指出大部分霍比特人是农民或享受休闲时光,但主要角色如比尔博、弗罗多等实际上是土地所有阶级的成员,控制着经济生产手段,维持社会统治地位。霍比特社会主要围绕家族和氏族动态展开,权力不是来自官职,而是来自人际关系、恩惠和债务网络。
文章还讨论了霍比特政治中的客户关系,即强大的“赞助人”和依赖他们的“客户”之间的互相义务关系。最后,文章探讨了现代市场经济对传统社会安排的破坏,以及霍比特社会中现代力量对传统秩序的影响。文章指出,尽管黑暗势力被击败,但三个精灵戒指的力量也被打破,旧世界的美丽逐渐消失。
最终,山姆继承了巴金斯家族的财富和声望,成为米歇尔德尔文的市长,展示了社会变革的必然性。文章强调了通过了解夏尔地区的运作方式,我们可以开始理解我们自己过去的运作方式,以及其中的复杂性和矛盾性。
HN 评论 230 comments | 作者:thecosas | 1 day ago #
https://news.ycombinator.com/item?id=40566142
- Tolkien 深刻关注他的世界的现实性,但并未详细阐述,而是通过故事间接展现。
- Aragorn 是传奇国王,而非封建国王,Tolkien 刻意创造神话般的过去。
- Tolkien 将奇幻元素与古老联系在一起,强调人们与古老事物的联系。
- 中土世界的旅程是对更深层传说的探索,从拿破仑时代的夏尔走向文艺复兴的瑞文戴尔,再到中世纪的罗翰和古典的刚多尔。
- 中土世界的君王形象强调了忠诚关系和道德品质的重要性。
- 君王的权力基于与臣民的关系,道德品质对于成功的贵族至关重要。
- 《指环王》中的君王形象展现了中世纪贵族的价值观。
- 君王的权力建立在与臣民的关系上,道德品质对于成功的贵族至关重要。
- 《指环王》中的君王形象强调了忠诚关系和道德品质的重要性。
Koheesio: Nike’s Python-based framework to build advanced data-pipelines #
https://github.com/Nike-Inc/koheesio
这个 GitHub 项目是关于一个名为 Koheesio 的 Python 框架,用于构建高效的数据管道。该框架鼓励模块化和协作,使得可以从简单、可重用的组件创建复杂的管道。Koheesio 旨在支持多种实现方式,并与各种数据处理库或框架无缝配合,确保可以处理任何数据处理任务,无论底层技术或数据规模如何。
Koheesio 使用 Pydantic 进行强类型、数据验证和设置管理,确保在管道组件内部具有高水平的类型安全性和结构化配置。
该框架的目标是通过经过充分测试的稳固代码基础和丰富的功能集,确保可预测的管道执行,使其成为寻求构建健壮且适应性强数据管道的开发人员和组织的绝佳选择。
Koheesio 与其他库的不同之处在于,它融合了多年的数据工程经验,促进了协作和创新社区。Koheesio 专注于数据管道、与 PySpark 集成以及针对数据转换、ETL 作业、数据验证和大规模数据处理等任务的特定设计。
该项目还提供了一些额外功能,如 Spark Expectations(用于 Spark DataFrame 的数据质量检查)和其他功能,可在特定场景下提供帮助。
HN 评论 60 comments | 作者:betacar | 18 hours ago #
https://news.ycombinator.com/item?id=40570892
- Nike 内部数据工程很糟糕,大部分是临时承包商,文档废弃,SQL 和数据架构复杂。
- 管理层不愿冒风险重新开始或简化技术栈,导致工程不成熟。
- 管理层不愿冒风险重新开始或简化技术栈,导致工程不成熟。
- 一些公司内部构建类似工具,为开发人员提供一致的结构,Nike 决定公开他们的工具。
- Koheesio 提供了一种结构化的方式,封装了 Spark,使得 ETL 作业一致性更高。
Encryption at Rest: Whose Threat Model Is It Anyway? #
https://scottarc.blog/2024/06/02/encryption-at-rest-whose-threat-model-is-it-anyway/
这篇博文是关于应用密码学的,重点讨论了在数据库或文件系统中加密数据的网络和云应用。作者指出,在加密数据存储时的威胁模型通常是未定义的。大多数软件开发人员在咨询密码学专家之前,对他们面临的风险没有清晰而简明的理解,更不用说加密数据存储如何帮助保护他们的客户了。作者认为虽然有些信息安全领域的专家坚称静态加密是安全剧院,但在这种说法中确实有一些真理。
文章探讨了为什么应该关注这个主题,作者介绍了自己在加密数据存储方面的经验和贡献。他强调了加密数据存储对于保护敏感数据的重要性,特别是在网络应用和云服务的狭窄背景下。作者还详细讨论了加密数据存储的安全考虑,包括客户端加密、数据加密技术、以及如何防范混淆副手攻击等问题。
文章还提到了一些加密数据存储的设计考虑,如客户端加密、密钥管理、数据加密技术等。作者强调了使用 AEAD 构造(如 AES-GCM 或 XChaCha20-Poly1305)以及密钥承诺的重要性。此外,作者还详细介绍了如何防范混淆副手攻击,以及如何在加密库中实现这一目标。
总的来说,这篇博文深入探讨了加密数据存储的重要性、安全考虑以及如何有效地实施加密保护措施。文章强调了加密数据存储的复杂性和需要注意的细节,以及如何避免常见的安全风险。
HN 评论 144 comments | 作者:chillax | 11 hours ago #
https://news.ycombinator.com/item?id=40573211
- 评论中提到云服务提供商本身的威胁模型被忽略,应考虑云服务提供商的潜在威胁;
- 评论指出存储在亚马逊、谷歌云等云服务商处的数据,若在云服务商处生成密钥、管理密钥,可能存在风险;
- 讨论了云端数据处理与存储的不同情况,以及对数据进行加密的必要性;
- 强调了云端数据处理与存储中的加密对于防范物理层面的威胁的重要性;
- 讨论了数据加密对于硬盘处置和硬件盗窃的重要性;
- 强调了加密在众多情况下的作用,以及对未知威胁的准备。