2024-08-14 Hacker News Top Stories #

1. 美国第五巡回上诉法院裁定地理围栏令违反宪法第四修正案，被视为绝对违宪。
2. NASA调查发现波音公司在参与重返月球任务中存在管理不善问题，导致成本激增和进度延迟。
3. Spice是一个用Zig语言实现的并行计算库，具有亚纳秒级的开销，但目前存在一些限制。
4. 研究表明，产品标榜“AI驱动”可能会降低消费者的购买意愿。
5. 2023年，points.com网站被发现存在多个安全漏洞，可能让攻击者访问敏感客户信息。
6. 一个3D动画电子书架项目可以从Calibre库中提取电子书元数据和封面艺术，受到用户好评。
7. 一篇介绍开放源代码情报(OSINT)的文章提供了寻找公开信息的有效方法和技巧。
8. 詹姆斯·韦布太空望远镜的测量加深了宇宙学中的“哈勃张力”争议。
9. 苹果要求从Patreon捐款中抽取30%佣金，引发争议。
10. PostgreSQL 17版本中对“make dist”命令进行了改进，提高了软件供应链的安全性。

Federal appeals court finds geofence warrants “categorically” unconstitutional #

https://www.eff.org/deeplinks/2024/08/federal-appeals-court-finds-geofence-warrants-are-categorically-unconstitutional

在一项重要的裁决中，美国第五巡回上诉法院裁定，地理围栏令（geofence warrants）在宪法第四修正案下是“绝对禁止”的。这一决定与电子前沿基金会（EFF）在多起案件中提出的论点相一致，法院认为地理围栏令属于“普遍的、探索性的搜查”，这是第四修正案的起草者所意图禁止的。

该案件名为美国诉史密斯（United States v. Smith），涉及 2018 年在密西西比州一邮局对美国邮政工人的武装抢劫和袭击。由于几个月的调查没有找到可识别的嫌疑人，警方申请了一个覆盖邮局周围大范围区域的地理围栏令，以获取犯罪发生时段内的位置信息。谷歌回应了这一令状，提供了多个设备的信息，最终导致警方锁定了两名被告。

在上诉中，第五巡回法院做出了几个重要的裁定：

1. 隐私权的合理期待：法院依据最高法院在卡彭特诉美国（Carpenter v. United States）一案中的裁决，认为个人对地理围栏令所涉及的位置信息有合理的隐私期待。法院指出，尽管地理围栏令在时间上可能比卡彭特案中所寻求的数据更“有限”，但其位置信息仍然高度侵入性，因为它可能暴露个人的敏感信息，并允许警方“跟踪”个人进入私人空间。
2. 宪法不合规性：法院认为，尽管调查人员寻求地理围栏令，但这些搜查本质上是违宪的。法院指出，地理围栏令要求服务提供商（通常是谷歌）搜索其所有的位置信息，而执法官员并不知道他们在寻找谁，或搜索是否会产生结果。因此，这些令状的根本问题在于，它们从未包括特定的用户，只是一个时间和地理位置的范围，这在宪法上是不够的。

尽管如此，法院发现，2018 年警方在“善意”下可以依赖这样的令状，因为地理围栏技术是新颖的，警方向其他经验更丰富的机构寻求指导。这意味着他们获得的证据在本案中不会被排除。

总的来说，这一上诉法院的裁决确认了地理围栏令对隐私的根本侵犯，并维护了禁止普遍搜查的宪法传统。随着全国各地警方越来越依赖地理围栏令和其他反向令状，这一意见应当对这些案件中对第四修正案先例的狭义应用发出警告。

HN 热度 532 points | 评论 170 comments | 作者：computerliker | 1 day ago #

https://news.ycombinator.com/item?id=41228630

• 联邦上诉法院裁定地理围栏令“绝对”违宪，引发对执法手段的广泛讨论。
• 有人认为，尽管现行做法过于宽泛，但在某些情况下，获取此类数据的令状可能是合理的。
• 另一些评论指出，执法部门在没有明确证据的情况下不应获得广泛的搜索令。
• 讨论中提到，地理围栏令可能会导致无辜者被卷入调查，增加了对隐私权的担忧。
• 一些人认为，尽管此裁决是向前迈出的一步，但政府仍可通过购买数据等方式规避法律限制。
• 还有观点认为，执法部门在追求有效逮捕时，可能会忽视无辜者的权益。
• 有评论指出，地理围栏令的使用应当更加具体，以减少对无辜者的影响。
• 许多人对未来地理围栏令的使用表示担忧，认为这可能导致更广泛的监控和隐私侵犯。

NASA investigation finds Boeing hindering Americans' return to moon #

https://www.flyingmag.com/modern/nasa-investigation-finds-boeing-hindering-americans-return-to-moon/

根据《飞行杂志》报道，NASA 的监察长办公室（OIG）发布了一份报告，指出波音公司在美国重返月球的努力中存在严重的管理不善和经验不足，导致了重大延误和额外支出。报告指出，波音的质量控制措施不够完善，员工培训不足，造成了 NASA 的“空间发射系统”（SLS）Block 1B 的开发成本增加和进度延迟。

主要内容摘要： #

1. 项目背景：

   • SLS Block 1B 是 NASA 的重型火箭，计划于 2028 年在阿尔忒弥斯 IV 任务中首次发射。该项目自 2014 年开始开发，波音负责其“探索上级阶段”（EUS）的建设。

2. 成本与时间延误：

   • EUS 的预算最初为 9.62 亿美元，但预计到 2025 年成本将飙升至 20 亿美元，到 2028 年将达到 28 亿美元。整体 SLS Block 1B 的成本预计将达到 57 亿美元，超出 NASA 去年设定的基线承诺 700 多万美元。
   • 报告还预测，EUS 的交付可能会延迟六年，导致阿尔忒弥斯 IV 的发射推迟。

3. 质量控制问题：

   • OIG 发现波音在米丘德的质量管理系统未能符合 NASA 或国际标准。波音的“挣值管理系统”（EVMS）自 2020 年以来未获国防部批准，影响了交付日期的可靠预测。
   • 在过去两年中，DCMA 对波音发出了 71 份纠正行动请求，指出其在核心和上级阶段制造中的质量控制问题。

4. 技术人员培训不足：

   • 报告指出，波音的技术人员普遍缺乏资格，导致焊接等关键工序未能达到 NASA 标准，直接造成了 EUS 完成的七个月延误。

5. NASA 的责任：

   • 报告批评 NASA 在过去十年中花费超过 30 亿美元而未向国会提交基线承诺（ABC），并提出了四项建议，主要集中在加强波音的质量管理系统和对其违规行为进行经济处罚。

6. 未来展望：

   • NASA 同意了其中三项建议，但拒绝了对波音罚款的建议，认为可以通过奖励良好行为来保持波音的合规性。OIG 对此表示不满，认为这可能影响阿尔忒弥斯计划的整体可持续性。

波音在新任首席执行官的领导下，计划改善其质量控制问题，但报告指出，若不解决这些问题，将对 NASA 的深空探索努力产生连锁反应。

HN 热度 440 points | 评论 357 comments | 作者：hobermallow | 1 day ago #

https://news.ycombinator.com/item?id=41229049

• 有人认为 MBA 和金融家摧毁了西方的工业、蓝领中产阶级、医疗和教育系统，正在破坏科技和创新。
• 另有观点指出，商业学校的教育强调“优化”，忽视了伦理和社会责任，导致了对可衡量价值的过度追求。
• 一些评论提到，战争被视为资本主义中的盈利手段，认为这种现象与经济结构有关。
• 还有人提到，政府的选举制度导致代表被金钱收买，进而导致经济金融化，损害了社会财富。
• 讨论中提到，当前的政治体制并不理想，透明度和问责制的缺失使得腐败现象严重。
• 有人认为，政府应当在关键领域如医疗和教育中承担更多责任，以应对市场的短期利益驱动。
• 还有评论指出，企业文化的变化使得利润最大化成为唯一目标，忽视了对社会的责任。
• 最后，有人提到，NASA 在承包商管理上存在问题，导致技术工人流失和质量下降。

Spice: Fine-grained parallelism with sub-nanosecond overhead in Zig #

https://github.com/judofyr/spice

该 GitHub 项目“Spice”是一个用 Zig 语言实现的并行计算库，旨在提供细粒度的并行性，具有亚纳秒级的开销。以下是该项目的详细摘要：

项目概述 #

• 目标：Spice 旨在通过心跳调度实现高效的并行性，允许开发者在不显著增加开销的情况下将函数转化为并行执行的版本。
• 特性：
  • 亚纳秒级开销：将函数转为并行函数的开销小于 1 纳秒。
  • 无竞争：线程之间不会争夺相同的工作，增加线程不会导致程序变慢。

性能比较 #

• Spice 在处理二叉树节点求和的基准测试中表现出色，尽管在 16 线程时的加速比为 11 倍，低于 Rust 库 Rayon 的 14 倍，但由于其低开销，整体性能仍然优越。
• 在较小的树结构中，Spice 的性能在增加线程时可能会下降，尤其是在核心数不足的情况下。

使用示例 #

Spice 的使用需要将任务作为参数传递，示例代码展示了如何使用 fork 和 join 来处理并行任务。每个并行函数都需要接收一个任务参数，以协调工作。

实现细节 #

• 静态调度优化：通过避免动态调度，减少开销。
• 心跳调度：每 100 微秒调度一次，确保低频率调度带来的低开销。
• 全局互斥锁：在没有竞争的情况下使用全局锁，避免了传统并行编程中的复杂性。
• 无分支双向链表：使用哨兵节点消除条件分支，提高性能。

限制与挑战 #

• 使用限制：Spice 对使用方式有严格要求，错误使用可能导致意外行为。
• 缺乏测试：目前缺乏充分的测试覆盖，尚未在生产环境中广泛验证。
• 文档不足：缺乏详细的使用文档和示例。

未来发展 #

项目的开发者表示目前没有计划进行积极开发，鼓励其他开发者在此基础上进行改进或在其他语言中实现类似功能。

结论 #

Spice 是一个有潜力的并行计算库，适合需要高效并行处理的应用，但在使用时需谨慎，尤其是在生产环境中。

HN 热度 370 points | 评论 46 comments | 作者：dsp_person | 1 day ago #

https://news.ycombinator.com/item?id=41230344

• 该实现基于“心跳调度”研究，旨在降低并行化的开销，实现动态自动粒度控制。
• 有人认为“亚纳秒开销”是误导性表述，实际测量可能存在问题。
• 作者回应称，使用该术语是为了帮助用户更好地理解何时使用 Spice 和 Rayon，并提供了基准文档供参考。
• 有评论指出 Spice 的可用性不如 Rayon，Rayon 的优势在于简单的代码替换即可实现并行执行。
• 对于并行效率的讨论，提到可以通过将加速比除以核心数来评估。
• 一些评论认为 Spice 在小任务上表现良好，但在较大任务上可能不够理想。
• 有人提到 Spice 的基准测试缺乏理想的基线，导致结果难以解释。
• 讨论中提到，工程师通常不够精确地区分吞吐量和延迟，可能会影响性能声明的准确性。
• 还有评论指出，Spice 的设计可能在处理小工作负载时表现出色，但在大规模应用中可能面临挑战。
• 最后，社区对作者的努力表示赞赏，同时也指出了项目的局限性和未来改进的方向。

Study shows that tacking the “AI” label on products may drive people away #

https://www.cnn.com/2024/08/10/business/brands-avoid-term-customers/index.html

这篇 CNN 文章探讨了品牌在产品描述中使用“人工智能”（AI）这一术语可能带来的负面影响。研究表明，消费者在看到产品被标记为“AI 驱动”时，购买意愿显著降低。研究由华盛顿州立大学的 Dogan Gursoy 教授及其团队进行，涵盖了多种产品，包括吸尘器、电视和医疗服务等。

研究发现，无论是“低风险”产品（如家用电器）还是“高风险”产品（如自动驾驶汽车），消费者对标有“AI”的产品的拒绝率都较高。文章指出，消费者对 AI 的信任主要分为两种：认知信任和情感信任。认知信任源于人们对 AI 的高期望，认为其应当无误，但一旦出现错误，信任便会迅速下降。情感信任则源于消费者对 AI 技术的有限了解，导致他们对未知的恐惧。

此外，文章还提到，流行文化中对 AI 的负面描绘（如科幻电影中的反派机器人）也加剧了公众对 AI 的怀疑。同时，消费者对个人数据隐私的担忧，以及对 AI 透明度的缺乏理解，进一步影响了他们对品牌的信任。

Gursoy 教授建议，品牌在宣传时应避免简单地使用“AI”这一流行词，而应更详细地说明 AI 如何为消费者带来实际好处，以减轻他们的顾虑。

HN 热度 329 points | 评论 293 comments | 作者：breadwinner | 20 hours ago #

https://news.ycombinator.com/item?id=41231731

• 许多人对“AI”标签持负面看法，认为这意味着产品不可靠且复杂。
• 一些用户表示，AI 聊天机器人替代传统搜索功能，导致信息获取变得更加困难。
• 有评论指出，企业在 AI 实施上投入大量资源，但往往忽视了更简单有效的解决方案。
• 有人认为，AI 的推广主要是为了吸引投资者，而非真正满足消费者需求。
• 许多用户对 AI 功能的实际效用表示怀疑，认为这些功能往往是多余的。
• 一些评论提到，消费者对 AI 的抵触情绪可能源于对企业贪婪的反感。
• 有观点认为，AI 的市场推广存在夸大其词的现象，导致消费者对其失去信任。
• 讨论中提到，AI 的真正价值在于其能否解决实际问题，而不是仅仅作为营销噱头。

Hacking the largest airline and hotel rewards platform (2023) #

https://samcurry.net/points-com

该网页的内容主要讲述了在 2023 年 3 月至 5 月期间，研究人员发现了多个安全漏洞，这些漏洞存在于 points.com 网站上，该网站是许多航空公司和酒店奖励计划的后端提供商。这些漏洞可能使攻击者能够访问敏感的客户账户信息，包括姓名、账单地址、部分信用卡信息、电子邮件、电话号码和交易记录。此外，攻击者还可以利用这些漏洞执行诸如从客户账户转移积分和未经授权访问全球管理员网站等操作。

主要发现的漏洞包括： #

1. 不当授权漏洞：攻击者仅需知道客户的姓氏和奖励号码即可冒充任何用户进行身份验证，从而访问其账户。
2. 目录遍历漏洞：攻击者可以通过特权 API 访问 2200 万条客户订单记录，获取包括部分信用卡号码和个人信息在内的数据。
3. 泄露的凭证：发现了 Virgin 奖励计划的凭证泄露，攻击者可以代表 Virgin 签署 API 请求，添加或删除奖励积分，访问客户账户。
4. 授权绕过：在某些子域名上，攻击者可以通过仅输入姓氏和奖励号码来进行身份验证，可能访问 United MileagePlus 的管理面板。
5. 会话密钥弱点：通过弱 Flask 会话密钥，攻击者能够获得对 points.com 管理控制台的完全访问权限，执行包括手动添加奖励积分等操作。

处理与响应： #

在报告这些漏洞后，points.com 团队迅速响应，承认了每个报告并立即采取措施，关闭受影响的网站进行调查，并修复了所有已识别的问题。所有漏洞在报告后均已得到修复。

总结： #

这篇文章详细记录了对 points.com 的安全研究，揭示了多个严重的安全漏洞，强调了这些漏洞可能对客户数据和奖励计划的安全性造成的威胁。研究人员的快速响应和 points.com 团队的有效处理展示了在发现安全问题时，及时沟通和修复的重要性。

HN 热度 264 points | 评论 92 comments | 作者：DavidChouinard | 18 hours ago #

https://news.ycombinator.com/item?id=41232446

• 对于该事件的快速响应，许多评论者表示赞赏，认为这是一个值得学习的优秀操作。
• 有人指出，事件响应的质量与报告的漏洞性质之间存在奇怪的脱节，认为一些基本的安全措施未得到遵循。
• 讨论中提到，开发团队和安全团队之间的沟通和协作至关重要，建议将安全人员与开发人员更好地整合。
• 有评论认为，许多奖励计划的门户网站存在安全隐患，缺乏足够的信任和保护用户数据的能力。
• 一些评论者提到，关闭网站的决定可能是出于法律和道德责任，而不仅仅是经济考量。
• 讨论中提到，航空公司和酒店的预订系统存在许多安全漏洞，且这些漏洞在技术上是可以避免的。
• 有人认为，现有的安全措施往往过于简单，可能导致用户信息泄露的风险。
• 许多评论者对如何平衡安全性与用户体验提出了不同的看法，认为过于复杂的安全措施可能会影响用户的便利性。

Show HN: I built an animated 3D bookshelf for ebooks #

https://github.com/mawise/bookshelf

该 GitHub 项目名为 bookshelf，由用户 mawise 创建，主要功能是提供一个 3D 动画书架，用于浏览电子书。以下是该项目的详细摘要：

项目概述 #

• 功能：该项目允许用户通过 3D 动画书架浏览电子书，能够从 Calibre 库中提取电子书的元数据和封面艺术。书籍的高度是根据封面图像的纵横比来确定的，而所有书籍的宽度相同。书籍的厚度则根据可用的页数数据来决定。
• 元数据展示：Calibre 的评论元数据会显示在书籍的背面，包括下载链接和页数信息。

项目灵感 #

• 该项目受到以下两个项目的启发：
  • scastiel.dev/animated-3d-book-css
  • janeczku/calibre-web

特别感谢 #

• 感谢 Brandon Sanderson 和 Cory Doctorow，他们发布的书籍没有数字版权管理（DRM）。
• 还感谢 Standard Ebooks 和 Planet Ebook，提供了精美排版的公共领域电子书。

使用说明 #

1. 依赖项：需要下载 ImageMagick 以使 rmagick 正常工作。
2. 安装步骤：
   • 运行 bundle install 安装依赖。
   • 运行 ruby app.rb <path-to-calibre-library> 启动应用。
3. 可选功能：可以安装 Calibre 的计数页数插件，使书籍的宽度根据估计的页数变化。需要配置插件以使用自定义列名“pagecount”，应用会自动发现任何页数数据。

项目文件 #

• 主要文件包括：
  • README.md：项目说明文件。
  • app.rb：主应用程序文件。
  • calibre.rb：与 Calibre 库交互的脚本。
  • demo.gif：演示动画。

许可证 #

• 该项目使用 MIT 许可证。

活动统计 #

• 项目目前有 252 颗星，3 个观察者和 4 个分支。

该项目为电子书爱好者提供了一个有趣且实用的工具，结合了现代网页技术和电子书管理的便利性。

HN 热度 259 points | 评论 57 comments | 作者：mawise | 1 day ago #

https://news.ycombinator.com/item?id=41227350

• 很多人对这个 3D 电子书架的动画效果表示赞赏，认为它很酷。
• 有评论提到类似的项目，认为这个项目的实现很不错。
• 一些用户希望能看到更多的书脊数据集，以便扩展这个项目。
• 有人提到在 AR 或 VR 环境中使用这个书架的潜力，认为可以改善用户体验。
• 对于可用性，有人提出了改进建议，认为在虚拟环境中书本的摆放方式可以更合理。
• 有评论提到希望能看到这个项目的实时演示，而不是仅仅依赖于安装。
• 讨论中提到了一些关于书籍封面和书脊图像获取的资源和建议。
• 一些用户表达了对类似项目的兴趣，想要在其他领域（如音乐）实现类似的概念。
• 有人提到这个项目可以用于提升出版商网站的宣传效果。
• 对于项目的许可证问题，有用户询问并得到了回应。

Mastering Osint: How to Find Information on Anyone #

https://osintteam.blog/mastering-osint-how-to-find-information-on-anyone-680e4086f17f

这篇文章《掌握 OSINT：如何找到任何人的信息》由 Hayden.banz 撰写，主要介绍了开放源代码情报（OSINT）的基本概念和实用技巧，帮助读者在数字时代获取公开可用的信息。

文章内容摘要： #

1. OSINT 概述：

   • OSINT 是从公开可用的数据源（如社交媒体、网站、政府数据库和论坛）中收集和分析信息，以生成可操作的情报。
   • 适用于记者、调查员及对某个主题感兴趣的普通人。

2. 获取信息的步骤：

   • 基础信息收集：使用搜索引擎（如 Google）进行初步搜索，输入目标姓名并结合其他关键词（如地点、职业）以缩小结果范围。
   • 定义需求：明确需要收集的信息类型。
   • 数据收集：利用多种工具和方法收集信息。
   • 数据分析：检查数据中的模式和相关信息。
   • 验证假设：交叉检查数据以确保准确性。
   • 生成报告：将发现整理成报告。

3. 具体搜索技巧：

   • 真实姓名搜索：利用政府资源和高级 Google 搜索查询（如 Google Dorks）查找相关信息。
   • 用户名搜索：使用反向用户名查找工具和 Google Dorks 进行社交媒体平台的搜索。
   • 电子邮件地址搜索：通过特定查询查找电子邮件地址，使用工具验证电子邮件的有效性。
   • 电话号码搜索：通过社交媒体和专门的电话号码查找服务获取信息。
   • 域名搜索：使用 Whois 服务和反向 Whois 工具查找注册信息。

4. 地理位置搜索：

   • 利用地理定位工具和 IP 地址映射服务获取位置信息。

5. 图像搜索：

   • 进行反向图像搜索，分析图像的 EXIF 数据以获取拍摄信息和地理位置。

6. 社交媒体情报（SOCMINT）：

   • 专注于从社交媒体平台收集和监控数据。

7. 使用专业工具：

   • 推荐一些 OSINT 工具，如 Maltego、Spiderfoot 和 Recon-ng，以增强搜索能力。

结论： #

OSINT 为获取关于任何人的信息提供了丰富的机会，从社交媒体资料到公共记录等。通过结构化的方法和专业工具，用户可以有效地收集、分析和验证公开可用的信息。同时，文章强调在进行 OSINT 时应遵循伦理原则，尊重隐私和法律界限。

这篇文章为希望掌握 OSINT 技巧的读者提供了全面的指导，适合各类用户，无论是专业调查员还是对信息收集感兴趣的普通人。

HN 热度 218 points | 评论 45 comments | 作者：droidrat | 22 hours ago #

https://news.ycombinator.com/item?id=41231145

• 有人建议想学习 OSINT 的人可以注册 Breachforum，阅读其 OSINT 子论坛的内容。
• 对于在灰色地带操作的担忧，评论者提到需要采取安全预防措施，如使用临时虚拟机。
• 许多人对在俄罗斯等国家托管的资源感到不安，尽管这些资源提供了有用的信息。
• 有人对“开放源代码”这一术语表示不满，认为应该使用更合适的术语来描述公开可用的信息。
• 讨论中提到 OSINT 在政府层面已经被确立为一个术语，改变它可能会很困难。
• 有评论指出，OSINT 常常被用于恶意目的，尤其是网络跟踪和散布虚假信息。
• 有人提到，获取 OSINT 的关键在于了解信息之间的关系以及如何使用工具。
• 讨论中提到，许多 OSINT 工具的使用需要一定的技巧和经验，而不仅仅是收集数据。
• 有人分享了关于如何快速获取信息和分析的建议，强调了对信息结构的理解。

The Webb Telescope further deepens the Hubble tension controversy in cosmology #

https://www.quantamagazine.org/the-webb-telescope-further-deepens-the-biggest-controversy-in-cosmology-20240813/

这篇文章讨论了詹姆斯·韦布太空望远镜（JWST）对宇宙膨胀率的测量，进一步加深了宇宙学中的“哈勃张力”争议。哈勃张力是指通过不同方法测量的哈勃常数（H0）之间的差异，导致对宇宙膨胀速率的理解出现分歧。

文章指出，哈勃常数的测量主要由两个竞争团队进行。约翰·霍普金斯大学的亚当·里斯（Adam Riess）团队的测量结果显示，H0 值比理论预测高出约 8%。而芝加哥大学的温迪·弗里德曼（Wendy Freedman）团队则认为需要更干净的测量，且其结果更接近理论值，暗示哈勃张力可能并不存在。

韦布望远镜自 2022 年开始收集数据，弗里德曼团队使用其观测的三种类型的恒星进行分析。结果显示，两种恒星的 H0 估计值与理论预测一致，而第三种恒星（与里斯团队使用的相同）则与其较高的 H0 值相符。弗里德曼认为，这表明可能存在系统误差，而不是基础物理学的问题。

文章还回顾了哈勃常数测量的历史，从 1912 年亨丽埃塔·莱维特（Henrietta Leavitt）发现的脉动星（Cepheid）开始，到后来的超新星测量和哈勃太空望远镜的使用。尽管测量技术不断改进，但不同团队的结果依然存在显著差异。

弗里德曼团队的最新结果显示，使用不同方法测得的 H0 值在理论预测范围内，似乎消除了哈勃张力。然而，随着数据分析的深入，他们发现了一些问题，导致哈勃张力再次浮现。最终，弗里德曼认为，哈勃常数的测量仍需进一步验证，特别是对系统误差的追踪。

文章总结了 JWST 在测量 H0 方面的潜力，指出未来的观测可能会帮助解决这一长期存在的争议。

HN 热度 217 points | 评论 177 comments | 作者：nsoonhui | 11 hours ago #

https://news.ycombinator.com/item?id=41234964

• 有人质疑宇宙是否真的在扩张，认为红移可能由其他尚未发现的现象引起。
• 许多评论者认为，现有的观测数据只能通过扩张宇宙理论来解释。
• 一些人提到，科学理论的生命周期是先用于准确预测，随后随着新数据的出现而修正或替换。
• 有观点认为，当前模型可能存在问题，但并不意味着模型完全错误。
• 讨论中提到的“疲惫光假说”未能解释其他宇宙观测现象。
• 有评论指出，科学模型的建立需要基于观察数据，而不是单纯的假设。
• 许多人认为，科学的进步依赖于不断的观察和数据收集，而不是停留在已有模型上。
• 还有人提到，科学理论的假设和观测之间的关系并非简单的因果关系。
• 一些评论者强调，科学应保持开放的态度，欢迎新的理论和解释。
• 讨论中提到的哈勃常数的测量存在争议，可能是由于测量方法的不同导致的。

Tim Sweeney: " Now Apple is demanding a 30% cut of all Patreon DONATIONS #

https://twitter.com/TimSweeneyEpic/status/1823027135784558842

，Epic Games 的创始人兼首席执行官 Tim Sweeney 表达了对苹果公司新政策的不满。

他指出，苹果现在要求从所有通过 Patreon 进行的捐款中抽取 30% 的佣金。他认为这种做法不可接受，认为数字世界不能继续以这种方式运作。Sweeney 的言论反映了对苹果在数字内容和服务领域的强大控制力的抗议，强调了这一政策对创作者和用户的不利影响。

HN 热度 200 points | 评论 118 comments | 作者：retskrad | 1 day ago #

https://news.ycombinator.com/item?id=41226754

• 有人质疑在 Patreon 上支持作者是否真的算作“捐赠”，认为这实际上是一种购买行为。
• 支持者认为，尽管 Patreon 的支持是自愿的，但仍然算作个人收入，与捐赠给非营利组织有本质区别。
• 有评论指出，Apple、Patreon 和政府各自的抽成使得创作者实际获得的收入大幅减少。
• 有人提到，Apple 的 30% 抽成是不合理的，应该只对 Patreon 的收入收取，而不是对捐赠本身。
• 讨论中提到，Apple 的做法被视为垄断行为，限制了消费者的选择和自由。
• 一些评论认为，捐赠和购买之间的界限模糊，尤其是在创作者提供额外内容的情况下。
• 有人认为，Apple 的行为是为了维护其平台的价值，但这种做法可能会导致更多的法律诉讼。
• 反对者指出，Apple 不应强迫用户通过其平台进行支付，认为这是一种不公平的商业行为。
• 讨论中提到，捐赠一词的使用可能是为了引发公众的同情，而实际上这是一种商业交易。
• 还有人认为，Apple 的政策和收费标准需要进行更严格的监管，以保护创作者和消费者的权益。

The new PostgreSQL 17 make dist #

http://peter.eisentraut.org/blog/2024/08/13/the-new-postgresql-17-make-dist

在彼得·艾森特劳特（Peter Eisentraut）于 2024 年 8 月 13 日的博客文章中，他详细介绍了 PostgreSQL 17 版本中“make dist”命令的重大变化。以下是文章的中文摘要：

文章要点 #

1. 源代码发布：

   • PostgreSQL 项目在发布新版本时，主要的成果是发布源代码的 tar 包。这代表了在发布时所有工作成果的汇总。
   • 该 tar 包被下游打包者用于创建二进制包、文件系统映像或安装脚本等。

2. 创建源代码 tar 包的复杂性：

   • 手动创建源代码 tar 包非常复杂，必须确保源代码树是干净的，且只包含必要的文件。
   • 过去，tar 包中包含了一些预构建文件，这些文件并不在 Git 中，但在正常编译过程中会生成。

3. PostgreSQL 17 的变化：

   • PostgreSQL 17 版本取消了预构建文件的做法，转而使用 git archive 命令生成 tar 包。这种方法确保了 tar 包的可重现性和可验证性。
   • 通过这种方式，任何人都可以从特定的 Git 提交生成相同的 tar 包，增强了软件供应链的完整性。

4. 软件供应链的关注：

   • 现代软件开发中，越来越多地关注软件供应链的安全性和合法性。用户希望确认安装的软件来自可信来源。
   • 通过使用 Git 作为源代码管理工具，确保了源代码的一致性和完整性。

5. 未来的改进方向：

   • 尽管 PostgreSQL 17 在 tar 包生成方面取得了进展，但仍有许多方面需要改进，例如可重现构建的实现和对 Git 仓库中内容来源的追踪。

总结 #

PostgreSQL 17 通过改进 tar 包的生成方式，增强了软件的可追溯性和安全性。这一变化不仅简化了构建过程，还提高了用户对软件来源的信任度。未来，PostgreSQL 社区可能会进一步探索如何增强源代码的完整性和可追溯性。

HN 热度 190 points | 评论 65 comments | 作者：ingve | 18 hours ago #

https://news.ycombinator.com/item?id=41232621

• 有人认为将生成的输出文件提交到版本库是坏习惯，但在供应链安全问题上，这一做法显得尤为重要。
• 有观点认为生成的文件应该由 CI 生成，而不是开发者自己生成，以避免输出结果的不确定性。
• 一些评论者支持同时由开发者和 CI 生成文件，并进行比较，以确保一致性。
• 有人提到，生成的代码不应该是不可审计的，生成过程应当明确。
• 讨论中提到，Docker 和 Nix 等工具在创建可重现的构建环境方面各有优缺点。
• 有人认为，生成的输出文件在调试时非常重要，尤其是源代码和头文件。
• 还有人指出，许多 Linux 用户希望从源代码构建软件，但又不愿意安装必要的构建工具，这种情况很奇怪。
• 讨论中提到，生成文件的管理和审计是一个复杂的问题，涉及到开发者的信任和代码审查的有效性。
• 一些评论者认为，使用生成的文件可以避免用户安装额外的工具，但这也增加了打包的复杂性。