2024-07-26 Hacker News Top Stories #

GitHub的安全漏洞允许用户通过提交哈希访问已删除或私有仓库的数据，引发对私有仓库安全边界的讨论。

Node.js新增实验性支持，允许直接执行TypeScript文件，但不进行类型检查，引发关于兼容性和更新策略的讨论。

员工拥有权模式通过中央州制造公司的成功案例展示其潜力，促进财富公平分配，激发对公司所有权结构的思考。

DeepMind的AI系统AlphaProof和AlphaGeometry 2在国际数学奥林匹克竞赛中达到银牌水平，展现AI在数学推理领域的进展。

探索损坏的Winamp皮肤文件揭示了私人设计、密码和秘密传记等意外内容，勾起对早期互联网文化的回忆。

苹果地图网络版进入公测，支持基本功能，但浏览器兼容性受限，引发关于苹果产品策略的讨论。

逆向工程入门教程网站提供全面的教程，涵盖多种架构，强调实践和网络安全的重要性。

《龙与地下城》游戏教授作者撰写富有情感和清晰度的替代文本技巧，强调无障碍设计的价值。

CrowdStrike因推送有缺陷更新导致全球计算机瘫痪，可能在法国面临赔偿责任，基于OVH事件先例。

欧洲议会议员Daniel Freund遭受以色列Candiru间谍软件攻击，引发对隐私和监控的担忧。

Anyone can access deleted and private repository data on GitHub #

https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github

这篇文章讨论了 GitHub 上删除的和私有仓库的数据访问问题，指出这些数据实际上是可以被任何人访问的，并且是永久可用的。这种情况是 GitHub 的设计所致，形成了一种新的安全漏洞，称为“跨分叉对象引用”（Cross Fork Object Reference，CFOR）。

主要内容摘要： #

数据访问的可能性：
- 删除的分叉（fork）、删除的仓库和私有仓库的数据仍然可以被访问。
- 例如，当用户删除一个分叉后，之前提交的数据仍然可以通过原始仓库访问。
CFOR 漏洞：
- CFOR 漏洞允许用户通过提供提交哈希（commit hash）直接访问本不应可见的敏感数据。
- 这种情况类似于不安全的直接对象引用（Insecure Direct Object Reference，IDOR）。
实例分析：
- 文章提供了多个实例，展示了如何访问删除的分叉和仓库的数据。例如，用户可以在删除仓库后，通过分叉访问未同步的提交数据。
- 甚至在一个知名科技公司中，提交了包含敏感信息的私钥后，该仓库被删除，但数据仍然可以通过分叉访问。
私有仓库的数据泄露：
- 在将私有仓库公开之前，如果在内部分叉中提交了代码，这些代码在公开后仍然可以被访问。
- 这意味着，私有仓库中的敏感数据可能在公开后被泄露。
数据访问方式：
- 用户可以通过直接访问提交的哈希值来获取数据。虽然删除操作会在 GitHub 界面上移除数据的引用，但数据仍然存在。
- 提交哈希是 SHA-1 值，用户可以通过暴力破解等方式获取这些哈希值。
GitHub 的政策与设计缺陷：
- GitHub 承认其设计允许这种数据访问，但普通用户可能误认为私有和公共仓库之间有安全边界。
- 删除仓库并不意味着数据被彻底删除，用户需要意识到这一点。

结论： #

文章强调，任何对公共仓库的提交都可能永久存在，只要有一个分叉存在。为了安全地处理泄露的密钥，建议进行密钥轮换。用户和组织在使用 GitHub 时需更加谨慎，以避免敏感数据的意外泄露。

HN 热度 1863 points | 评论 352 comments | 作者：0x1 | 1 day ago #

https://news.ycombinator.com/item?id=41060102

有人指出，GitHub 的私有分支实际上并不真正“私有”，因为删除的提交仍然可以被访问。
一些用户建议在处理敏感信息时，不要使用私有分支，而是直接复制仓库。
讨论中提到，GitHub 的设计使得用户对私有和公共仓库的安全边界产生误解。
有评论认为，GitHub 应该在用户界面上更清晰地标明私有分支的实际隐私状况。
一些人认为，GitHub 在处理安全漏洞报告时的态度不够积极，可能会导致用户对其信任度下降。
还有人提到，尽管 GitHub 已经记录了这个问题，但在用户体验上仍然存在严重缺陷。
有观点认为，用户在使用 GitHub 时应当对数据的安全性保持高度警惕，尤其是在涉及敏感信息时。
讨论中也提到，GitHub 的行为可能会导致用户在不知情的情况下泄露敏感信息。

Node.js adds experimental support for TypeScript #

https://github.com/nodejs/node/pull/53725

该 Pull Request（PR）编号为 53725，标题为“module: add –experimental-strip-types”，由用户 marco-ippolito 提交，主要内容是为 Node.js 添加一个实验性功能，允许直接执行 TypeScript 文件。以下是详细摘要：

主要内容 #

功能介绍：
- 通过设置实验性标志 --experimental-strip-types，用户可以直接执行 TypeScript 文件。
- Node.js 会将 TypeScript 源代码转译为 JavaScript 源代码，但在转译过程中不会进行类型检查，所有类型信息都会被丢弃。
动机：
- 该功能的引入是为了满足用户的需求，许多用户希望能够在不安装额外依赖或加载器的情况下直接运行 TypeScript 文件（例如 node foo.ts）。
类型剥离：
- “类型剥离”意味着移除所有类型，将输入转换为 JavaScript 模块。例如：
```
const foo: string = "foo"; // TypeScript
```
  转换为：
```
const foo = "foo"; // JavaScript
```
- 初始版本中不支持将 TypeScript 特有的功能（如枚举、命名空间等）转换为 JavaScript。
工具选择：
- 选择使用 @swc/wasm-typescript 作为转译工具，因其简单且不需要额外的 Rust 或 Go 环境。该工具已在 Deno 中使用，经过实战检验。
实现细节与限制：
- PR 中提到的实现细节和限制可以在 typescript.md 文件中找到。
- 目前不支持无扩展名的导入，用户需要明确使用 .ts 扩展名。
未来展望：
- 计划在未来将此功能实现为原生支持，可能会引入更复杂的文件解析规则，以支持更灵活的导入方式。
社区反馈：
- PR 中有多个社区成员的反馈和建议，讨论了如何处理错误堆栈中的源位置、支持无扩展名导入等问题。

总结 #

该 PR 为 Node.js 引入了直接执行 TypeScript 文件的能力，旨在简化开发流程，提升用户体验。尽管目前存在一些限制，但社区对该功能的期望和讨论表明，未来可能会有更多的改进和扩展。

HN 热度 991 points | 评论 454 comments | 作者：magnio | 21 hours ago #

https://news.ycombinator.com/item?id=41064351

Node.js 增加了对 TypeScript 的实验性支持，但用户需要注意 TypeScript 语法的变化可能影响兼容性。
一些用户希望 Node.js 能够独立于 TypeScript 的版本进行更新，以避免因 TypeScript 更新导致的兼容性问题。
有观点认为，TypeScript 的语法在过去的版本中相对稳定，尽管仍有一些重大变化。
有人提到，Node.js 可能会通过独立的 TypeScript 转换器来解决版本不兼容的问题。
讨论中提到，TypeScript 的类型检查和运行时行为之间存在差异，可能导致类型系统的不健全。
一些用户认为，TypeScript 的不断演进并不会对大多数项目造成太大影响，尤其是对于不追求最新特性的团队。
还有人提到，TypeScript 的类型系统虽然不完美，但在实际开发中仍然提供了显著的便利。
讨论中提到，TypeScript 和 Node.js 的更新频率不同，可能导致用户在使用时面临版本兼容性的问题。
有人提到，使用 JSDoc 作为类型提示的方式在某些项目中仍然有效，尽管它的扩展性有限。

Every company should be owned by its employees #

https://www.elysian.press/p/employee-ownership

这篇文章讨论了员工拥有权（Employee Ownership）作为一种商业模式，特别以中央州制造公司（Central States Manufacturing）为例，展示了这种模式的成功与优势。

主要内容摘要： #

员工拥有权的概念：
- 中央州制造公司是一个员工拥有的企业，所有员工不仅领取工资，还能获得公司股票的部分收益。公司业绩良好时，所有员工都能分享利润，而不仅仅是高管。
公司成功的案例：
- 中央州制造公司预计在今年成为一家年收入超过 10 亿美元的“独角兽”公司。公司内部有 47 名百万富翁，包括蓝领工人，如司机和机械师。
财富差距问题：
- 美国的财富差距日益严重，尽管经济在增长，但财富主要集中在少数人手中。文章指出，员工如果拥有公司股份，他们的收入也会随公司业绩增长而增加。
员工股票拥有计划（ESOP）：
- 中央州制造公司是美国 6533 家实施员工股票拥有计划的公司之一。每年，员工根据工资的一定比例获得公司股票，过去一年中，某位年薪 10 万美元的员工获得了价值 2.6 万美元的股票。
长期利益与公司健康：
- 员工作为股东，更关注公司的长期发展，而非短期业绩。这种模式有助于提高员工留任率和退休福利，减少贷款违约率。
税收与公司运营：
- ESOP 公司在税收上享有优势，通常会将节省的税款用于员工福利，而不是交给政府。
创始人的利益：
- 创始人通过将公司转变为 ESOP，可以在退出时获得经济利益，并享受税收优惠。
教育与推广：
- 文章提到，许多企业主对 ESOP 缺乏了解，教育是推广这一模式的关键。美国国会对 ESOP 的支持正在增加，相关立法也在推进。
未来展望：
- 随着对员工拥有权的认识增加，越来越多的公司可能会选择这种模式，从而使更多员工分享财富，改善财富分配不均的问题。

总之，文章强调了员工拥有权作为一种可行的商业模式，不仅能提升员工的经济利益，还能促进公司健康发展，减少社会财富差距。

HN 热度 822 points | 评论 864 comments | 作者：ellegriffin | 18 hours ago #

https://news.ycombinator.com/item?id=41065227

对于员工持股的观点，许多人认为这可能在公司成功后才有意义，早期的风险和投资主要由创始人承担。
有评论指出，员工持股计划（ESOP）在技术行业的普遍性和实际效果可能被低估，尤其是在市场波动时。
一些人认为，员工持股并不等同于真正的公司所有权，认为至少需要 50% 的股份才能被视为员工拥有的公司。
还有观点提到，员工在公司股票下跌时可能会感到失望，影响士气，进而影响公司表现。
有人提到，员工持股可能会将员工的财富和收入风险集中在同一家公司，增加了财务风险。
讨论中提到，许多小企业并没有明确的退出机制，员工持股的实际价值可能难以实现。
一些评论认为，员工持股的模式可能会导致员工在公司表现不佳时面临更大的经济压力。
还有观点认为，员工持股可能会使员工的利益与公司的长期发展产生冲突，尤其是在决策过程中。
最后，有人提到，虽然员工持股可以激励员工，但在许多情况下，现金薪酬可能更受欢迎，尤其是在经济不确定时。

AI solves International Math Olympiad problems at silver medal level #

https://deepmind.google/discover/blog/ai-solves-imo-problems-at-silver-medal-level/

DeepMind 最近发布了两款新 AI 系统——AlphaProof 和 AlphaGeometry 2，这些系统在国际数学奥林匹克（IMO）竞赛中表现出色，达到了银牌水平。这是 AI 首次在该竞赛中取得如此高的成绩，解决了六个问题中的四个。

主要内容摘要： #

AI 系统的介绍：
- AlphaProof：基于强化学习的形式数学推理系统，能够在正式的数学语言 Lean 中证明数学命题。它结合了预训练的语言模型和 AlphaZero 算法。
- AlphaGeometry 2：改进版的几何问题解决系统，采用神经符号混合方法，能够更快地解决复杂几何问题。
国际数学奥林匹克（IMO）：
- IMO 自 1959 年开始举办，是全球最具声望的青少年数学竞赛。每年，选手们需解决六个极具挑战性的数学问题，涵盖代数、组合、几何和数论等领域。
AI 的表现：
- 在今年的 IMO 中，DeepMind 的 AI 系统解决了两个代数问题和一个数论问题，成功证明了其中最难的问题。最终得分为 28 分，接近金牌的 29 分，获得了银牌水平的成绩。
推理方法：
- AlphaProof 通过生成解决方案候选并在 Lean 中验证其正确性来进行推理。它在比赛前经过数百万个问题的训练，提升了其解决更复杂问题的能力。
- AlphaGeometry 2 在处理几何问题时表现显著提升，能够解决过去 25 年中 83% 的历史几何问题。
未来展望：
- DeepMind 计划继续探索多种 AI 方法以推动数学推理的发展，并希望未来数学家能够与 AI 工具合作，探索新的假设和解决长期未解的问题。
致谢：
- DeepMind 感谢 IMO 组织的支持，并列出了参与开发和评估这些 AI 系统的团队成员。

这项研究标志着 AI 在数学推理领域的重要进展，展示了 AI 在解决复杂数学问题方面的潜力。

HN 热度 743 points | 评论 365 comments | 作者：ocfnash | 9 hours ago #

https://news.ycombinator.com/item?id=41069829

对于 AI 在国际数学奥林匹克中表现的期待和兴奋，但对其解决问题的过程和方法仍有疑问。
AI 的答案是否是由人类在翻译过程中决定的，还是 AI 自主发现的，存在争议。
AlphaProof 系统结合了预训练语言模型和强化学习算法，能够在数学证明中进行自我训练。
对于 AI 如何生成猜测和解决问题的机制，评论者们提出了不同的看法和疑问。
有人认为 AI 在解决数学问题时，搜索过程和人类的思维方式有相似之处，但效率更高。
AI 在解决问题时的表现与人类的表现不能直接比较，尤其是在时间限制和问题复杂性上。
对于 AI 在数学领域的应用前景，评论者们普遍持乐观态度，认为其可能会改变数学研究的方式。
AI 的表现虽然令人印象深刻，但仍需谨慎对待其结果的有效性和可靠性。
有人指出，AI 在解决问题时可能会依赖于强大的计算能力，而人类在思维和创造力方面仍有优势。
对于 AI 在数学证明中的应用，评论者们认为需要更多的研究和验证，以确保其结果的准确性。

Investigating corrupt Winamp skins #

https://jordaneldredge.com/notes/corrupted-skins/

这篇文章由 Jordan Eldredge 撰写，标题为《我在调查损坏的 Winamp 皮肤时发现的奇怪秘密》。文章讲述了作者在探索他为 Winamp 皮肤博物馆收集的皮肤时，发现了一些损坏的文件，并决定深入研究它们。

主要内容摘要： #

探索过程：
- 作者发现 Winamp 皮肤实际上是不同文件扩展名的压缩文件（zip 文件），因此他尝试提取这些文件以寻找内容。
发现的内容：
- 加密文件：作者破解了一些加密的 zip 文件，发现了各种有趣的内容，包括：
  - 一个泰国父亲为他两岁半的儿子设计的 Winamp 皮肤草图，但他请求不要公开分享。
  - 一些人的电子邮件密码。
  - Chet Baker 的秘密传记。
  - 反向音频文件。
  - 一个名为 worm.exe 的文件，实际上是一个类似贪吃蛇的游戏。
  - 56 个之前未知的 Winamp 皮肤，隐藏在其他皮肤中。
具体实例：
- 作者提到了一些具体的文件，例如：
  - 一个包含 PDF 广告的文件。
  - 一个名为 bobs_car.wsz 的文件，仅包含一张图片。
  - 一个加密的 zip 文件，密码为“honda”，内容是一个有效的 Winamp 皮肤。
  - 另一个加密文件，密码为“nayane”，解密后也是一个 Winamp 皮肤。
敏感信息：
- 在一些皮肤中，作者发现了包含电子邮件地址和密码的文本文件，显示出操作安全性的问题。
音频文件：
- 一些皮肤中包含音频文件，作者还发现了一个反向播放的音频文件，经过处理后听起来像是有人在说皮肤的名称。
其他奇特发现：
- 作者还发现了一些图片文件，包括新生儿的照片和其他随机的图像。
结论：
- 作者总结道，收集大量由真实人创造的物品，可以发现许多奇怪而有趣的内容，这次探索之旅充满了惊喜和乐趣。

这篇文章展示了数字文化中意想不到的发现，强调了人类创造力的多样性和奇特性。

HN 热度 479 points | 评论 114 comments | 作者：treve | 20 hours ago #

https://news.ycombinator.com/item?id=41064645

许多人怀念早期的 Winamp 皮肤制作和自定义，认为这促进了对编程和设计的学习。
现代软件和操作系统限制用户自定义，导致用户体验变得单一，许多人对此表示失望。
早期的互联网更具探索性和个人化，而现在的互联网则更加商业化和规范化。
有人认为现代社交媒体和软件的商业化使得用户体验变得更糟，缺乏早期的分享精神。
现代年轻人通过 Minecraft 和 Roblox 等平台获得创造性表达的机会，类似于过去的 Winamp 和 MySpace。
对于无障碍设计的需求，用户希望软件能提供更多的自定义选项以适应不同的需求。
许多用户对 Windows 的自动更新和广告推送表示不满，认为这影响了使用体验。
尽管现代互联网有其优点，但许多人仍然怀念早期的自由和创造性。

Apple Maps on the web launches in beta #

https://www.apple.com/newsroom/2024/07/apple-maps-on-the-web-launches-in-beta/

苹果公司近日宣布，Apple Maps（苹果地图）在网络上正式推出公测版，用户可以直接通过浏览器访问地图服务。以下是该服务的主要功能和特点：

基本功能：用户可以获取驾车和步行导航，查找餐馆、商店等地点，并查看相关信息，如照片、营业时间、评分和评论。
便捷操作：用户可以直接从地图的地点卡片上进行操作，例如下单食物。
探索功能：提供精心策划的指南，帮助用户发现全球各地的餐饮、购物和旅游景点。
未来更新：未来几个月内，将推出更多功能，包括“环顾四周”（Look Around）等。
开发者支持：所有开发者，包括使用 MapKit JS 的开发者，都可以链接到网络版地图，以便用户获取导航和详细地点信息。
语言和兼容性：目前该服务支持英语，并兼容 Mac 和 iPad 上的 Safari 和 Chrome 浏览器，以及 Windows PC 上的 Chrome 和 Edge 浏览器。未来将扩展对更多语言、浏览器和平台的支持。
区域可用性：服务的可用性因地区而异。

总的来说，Apple Maps 在网络上的推出为用户提供了更便捷的地图服务体验，未来还将不断增加新功能和支持。

HN 热度 395 points | 评论 465 comments | 作者：ingve | 18 hours ago #

https://news.ycombinator.com/item?id=41065326

有人批评苹果推出的网页版地图在浏览器兼容性上存在问题，认为这是苹果一贯的做法。
许多评论者指出该产品仍处于测试阶段，限制了浏览器的支持是为了加快发布速度。
有人质疑苹果为何主动阻止其他浏览器的访问，认为这可能是为了减少支持成本。
讨论中提到，苹果不希望与看起来不完整的产品相关联，历史上苹果的测试产品不多。
有用户反映在移动设备上无法使用该服务，认为苹果可能急于满足发布时限。
一些评论者认为，尽管存在兼容性问题，但在测试阶段不应过于苛责。
也有人指出，苹果地图在功能上与谷歌地图相比仍有很大差距，特别是在街道名称和视图功能上。
讨论中提到，苹果地图的用户体验在某些情况下显得笨拙，缺乏直观的操作界面。
有评论提到，苹果地图在隐私保护方面的宣传与其数据收集方式存在矛盾。
最后，有人对苹果地图的未来表示乐观，认为随着时间推移，功能和兼容性会逐步改善。

Reverse Engineering for Everyone #

https://0xinfection.github.io/reversing/

该网站提供了一系列关于逆向工程的教程，涵盖了 x86、x64、32 位 ARM 和 64 位架构。以下是内容的详细摘要：

1. 逆向工程简介 #

逆向工程是对人工对象进行解构的过程，以揭示其设计、架构或代码。该教程旨在简化逆向工程的学习过程，适合初学者和希望复习概念的用户。

2. 教程结构 #

教程分为多个部分，主要包括：

x86 课程：涵盖目标、技术、恶意软件类型、x86 汇编语言基础、二进制和十六进制数系统、基本架构、寄存器、指令指针、堆栈、堆等。
ARM-32 和 ARM-64 课程：包括基本概念、调试、变量类型、输入输出等。
x64 课程：涉及逻辑门、调用约定、指针、数据段、引导扇区基础等。
Pico Hacking 课程：介绍基本数据类型的调试和黑客技术。

3. 学习目标 #

该教程旨在帮助学习者从零基础到掌握中级逆向工程技能，强调在网络安全领域的重要性。

4. 下载与更新 #

用户可以下载 PDF 或 MOBI 格式的完整教程，所有电子书版本会随着新教程的添加而自动更新。

5. 结论 #

该网站是一个全面的逆向工程学习资源，适合希望深入了解计算机架构和安全研究的学习者。

如需更深入的学习，建议访问网站并查看各个部分的详细内容。

HN 热度 363 points | 评论 35 comments | 作者：udev4096 | 10 hours ago #

https://news.ycombinator.com/item?id=41069256

逆向工程可以在不直接查看目标的情况下进行，使用技巧如“法式咖啡馆技术”来理解协议。
许多人通过实践学习逆向工程，而不是依赖书本，强调动手操作的重要性。
逆向工程的学习需要时间和经验，初学者可能需要通过实际项目来积累技能。
工程背景有助于理解逆向工程，但并非绝对必要，许多优秀的逆向工程师是先学会逆向再学编程。
逆向工程的应用包括软件修改、DLL 注入、数据包拦截等，实际操作比理论学习更为重要。
许多学习资源存在，但真正的理解需要通过长期的实践和项目经验来获得。
逆向工程的学习过程需要不断尝试和解决问题，单靠书本知识难以掌握。

Dungeons and Dragons taught me how to write alt text #

https://ericwbailey.website/published/dungeons-and-dragons-taught-me-how-to-write-alt-text/

这篇文章《Dungeons & Dragons taught me how to write alt text》由 Eric Bailey 撰写，探讨了他在玩《龙与地下城》（Dungeons & Dragons，简称 D&D）过程中学到的关于如何编写替代文本（alt text）的技巧。

主要内容摘要： #

D&D 的背景：
- 作者在高中和大学时期玩了很多 D&D，主要采用“心灵剧场”（theater of the mind）的方式进行游戏，这种方式强调口头叙述而非使用迷你模型和地图。
叙述技巧的启发：
- 在一次阅读《龙杂志》（Dragon Magazine）时，作者了解到一个关于如何增强叙述的建议：首先描述最重要的事物。这种方法帮助他在游戏中更有效地传达信息。
示例对比：
- 作者通过对比两种描述方式，展示了如何优先描述重要信息。例如，描述一只红龙攻击时，应该首先提到龙的存在，而不是房间的细节。通过这种方式，读者能够更快地抓住关键情节。
情感与语气：
- 在编写替代文本时，情感和语气同样重要。通过使用生动的语言和情感色彩，可以更好地传达图像所传达的氛围。
用户体验：
- 文章强调了屏幕阅读器的工作方式，指出替代文本是线性读取的，因此重要信息应放在前面，以便用户能够快速获取关键信息。
权力与责任：
- D&D 的主持人有责任为参与者提供有趣的体验，这种责任感同样适用于编写替代文本。作者认为，现代网络上的大多数图像并非装饰性的，应该包含种族、性别和民族等信息，以确保所有人都能理解图像的内容。
实践与提升：
- 作者鼓励读者多加练习编写替代文本，认为这是一种艺术和科学的结合。提供了一些资源，帮助读者提升这方面的技能。

结论： #

通过 D&D 的叙述技巧，作者展示了如何有效地编写替代文本，以便更好地传达信息和情感，确保所有用户都能平等地理解和体验内容。这种方法不仅适用于游戏叙述，也适用于网络内容的可访问性设计。

HN 热度 332 points | 评论 77 comments | 作者：ohjeez | 1 day ago #

https://news.ycombinator.com/item?id=41061755

D&D（龙与地下城）培养了写作能力，尤其是在描述和叙述方面。
许多人认为，写作时应优先描述重要信息，以便读者能迅速抓住重点。
有人提到文化差异影响描述顺序，有些文化更倾向于从背景描述开始。
讨论中提到，许多访谈的冗长描述往往让人感到厌烦，直接进入主题更有效。
D&D 的叙事结构允许玩家在角色决策中发挥更大作用，增强了游戏的参与感。
有人认为，D&D 的复杂规则在某些情况下可能会妨碍游戏的流畅性，简单的叙事更能促进创造力。
参与者分享了不同角色扮演游戏（RPG）系统的优缺点，强调了叙事和规则之间的平衡。
许多人建议，写作时应关注读者的需求，快速传达关键信息，以提高沟通效率。
讨论中提到，D&D 的规则有时过于复杂，可能导致游戏节奏缓慢，影响玩家体验。
有人提到，使用简单的规则可以让游戏更具灵活性和趣味性，鼓励玩家的创造性表达。

CrowdStrike will be liable for damages in France, based on the OVH precedent #

https://thehftguy.com/2024/07/25/crowdstrike-will-be-liable-for-damages-in-france-based-on-the-ovh-precedent/

这篇文章讨论了 CrowdStrike 最近发生的事件，该事件导致 850 万台计算机瘫痪，造成超过 54 亿美元的损失。文章认为，CrowdStrike 可能会在法国承担赔偿责任，基于 OVH 事件的先例。

事件背景 #

OVH 事件：OVH 是法国的一家数据中心和云服务提供商，2021 年 3 月发生火灾，导致多个数据中心损毁，客户数据无法恢复，最终多名客户对 OVH 提起诉讼并胜诉。
法院认为 OVH 未能合理提供备份服务，且在多个数据中心同时发生火灾是不合理的。

CrowdStrike 事件 #

事件概述：2024 年 7 月 19 日，CrowdStrike 推送了一个有缺陷的更新，导致全球数百万台计算机崩溃。
关键问题：
- CrowdStrike 在计算机启动时以高权限运行，更新的推送缺乏适当的测试和分阶段实施。
- 更新导致所有受影响的计算机无法启动，用户无法进行故障排除。
- 受影响的公司面临业务中断，员工无法工作。

法律责任分析 #

文章指出，CrowdStrike 在处理此事件时存在多项过失，包括未能进行必要的测试和监控。
CrowdStrike 的行为可能违反了其所声称的合规标准，客户可能因此有权单方面终止合同。

结论 #

文章认为，CrowdStrike 在此次事件中可能面临大量赔偿索赔，尤其是在医疗、金融等受监管行业，客户有权要求其遵循严格的开发和测试流程。CrowdStrike 未能履行其保护客户计算机的职责，导致了严重的损失。

HN 热度 309 points | 评论 253 comments | 作者：charlieirish | 14 hours ago #

https://news.ycombinator.com/item?id=41066811

法国的 CrowdStrike 可能会因 OVH 事件而承担赔偿责任，数据丢失被认为是不可逆转的。
OVH 事件导致一些企业破产，CrowdStrike 的责任可能不会那么严重，尤其是对大公司而言。
如果 CrowdStrike 不承担责任，可能会传递错误信号，尤其是在行业最佳实践未被遵循的情况下。
医疗行业受到影响，可能会促使对关键实体的更多监管。
许多评论认为，软件故障的责任不应完全归咎于供应商，用户也应考虑故障模式。
CrowdStrike 的更新策略引发争议，部分用户认为其绕过了配置选项。
许多人认为，软件故障是不可避免的，用户应有责任减轻影响。
CrowdStrike 的法律责任可能会受到其市场价值的影响，赔偿金额可能低于其市值。
讨论中提到，企业在选择供应商时应考虑法律和数据保护法规。
一些评论指出，CrowdStrike 的产品不应用于生命支持系统等关键领域。
CrowdStrike 的更新导致了大规模系统崩溃，恢复过程复杂且耗时。
许多用户对 CrowdStrike 的产品质量表示怀疑，认为其开发过程存在疏忽。

EU parliament member hit by Israeli Candiru spyware #

https://twitter.com/moo9000/status/1816352054425829420

这条推文来自 Mikko Ohtamaa，内容提到欧洲议会议员 Daniel Freund 因批评匈牙利而遭遇了一次新的间谍攻击。Ohtamaa 指出，这次攻击与以色列的 Candiru 公司有关，暗示该公司可能是攻击的幕后黑手。尽管目前尚无具体嫌疑人，但他提到匈牙利、波兰、希腊、塞浦路斯和西班牙等国之前曾被发现非法使用以色列间谍软件监视其公民。此外，Ohtamaa 还提到，欧盟曾试图实施“聊天控制”，希望能够访问所有欧盟公民的消息。这条推文引发了对隐私和监控问题的关注。

HN 热度 297 points | 评论 153 comments | 作者：miohtama | 18 hours ago #

https://news.ycombinator.com/item?id=41065156

有观点认为，欧盟议员作为高知名度人物，几乎每天都会受到网络钓鱼邮件的攻击。
另有评论指出，如果消息属实，仅仅打开链接就可能导致手机被感染，这比普通的网络钓鱼要复杂得多。
一些人认为，零点击攻击虽然存在，但成本高且使用寿命有限，针对普通目标的可能性较小。
还有人提到，针对特定目标的攻击可能会利用已知的设备和软件信息进行定制。
有评论认为，攻击者可能并不需要每次都使用零点击漏洞，普通的钓鱼攻击也能达到目的。
讨论中提到，以色列的网络安全公司在技术行业的监管相对宽松，可能导致其产品被滥用。
还有人指出，针对特定国家的网络攻击讨论往往会引发争议，导致话题偏离。
一些评论认为，网络攻击的背后往往是国家行为，涉及复杂的地缘政治因素。
也有观点认为，网络攻击的报道往往选择性地呈现，影响公众对事件的理解。