一个没有常识、活在自己世界中的中二病人(话痨)的自留地。
该频道不专注于 Daily 或 News,而是一个记录我当前关注和思考内容的地方。
1. 随机事项:每月为自己安排一些有趣的活动。(大概率🐦🤣)
2. 同步内容:我会收集在其他平台上发布的内容。
3. 私人笔记:没经大脑的学习笔记以及一些个人随想。
4. ACG 内容:浓度高的部份还是挪到 另外一个频道 @tomoko_acg。
5. 内容转发:在这个频道上转发的内容并不必然代表我个人的立场。
该频道不专注于 Daily 或 News,而是一个记录我当前关注和思考内容的地方。
1. 随机事项:每月为自己安排一些有趣的活动。(大概率🐦🤣)
2. 同步内容:我会收集在其他平台上发布的内容。
3. 私人笔记:没经大脑的学习笔记以及一些个人随想。
4. ACG 内容:浓度高的部份还是挪到 另外一个频道 @tomoko_acg。
5. 内容转发:在这个频道上转发的内容并不必然代表我个人的立场。
🔖 Bringing Python to Workers using Pyodide and WebAssembly #pinboard #wasm #projects #python #笔记 #cloudflare
Cloudflare 原生支持 Python 了(不再需要事先打包 wasm)
是用了 Pyodide: 一个基于 WebAssembly 的 Python 发行版,Langchain、Numpy 都可以支持
foreign function interfaces (FFI): 可以通过 from js import Response, xxx 来导入 js 库,真是前卫
memory snapshots: 使用内存快照,以及部署时进行 import 更新快照,达到快速冷启动
https://blog.cloudflare.com/python-workers
Cloudflare 原生支持 Python 了(不再需要事先打包 wasm)
是用了 Pyodide: 一个基于 WebAssembly 的 Python 发行版,Langchain、Numpy 都可以支持
foreign function interfaces (FFI): 可以通过 from js import Response, xxx 来导入 js 库,真是前卫
memory snapshots: 使用内存快照,以及部署时进行 import 更新快照,达到快速冷启动
https://blog.cloudflare.com/python-workers
The Cloudflare Blog
Bringing Python to Workers using Pyodide and WebAssembly
Introducing Cloudflare Workers in Python, now in open beta! We've revamped our systems to support Python, from the runtime to deployment. Learn about Python Worker's lifecycle, dynamic linking, and memory snapshots in this post
#碎碎念 #笔记 最近懂了一个道理:只有真正掌握行业知识和专业技巧的人,才能充分利用和发挥 AI 所带来的巨大潜力。
以最近很火热的 Suno 为例。虽然 Suno 的玩法很「傻瓜」,但想要制作自己满意的音乐,还是需要给出指定的音乐风格。这也就意味着,如果我没有基础音乐素养,大概率只会知道 “pop”、“classic”、“rap” 这些笼统的名词。那我生成出来的音乐,也就只是自娱自乐而已。
同理,在使用 Midjourney 和今年稍晚发布的 Sora 时,也必然存在类似的问题。
甚至,如果我想用生成式 AI 写一个故事脚本或者策划案,我在 prompt 中使用专业名词和不使用专业名词,输出的效果也会有很大区别。
AI 无疑是未来五年最热门的行业和技术。围绕 AI 也会产生巨大的经济价值,这个经济价值既是对商业体而言,也是对个人而言。
这种时候,更需要勤修内功。
以最近很火热的 Suno 为例。虽然 Suno 的玩法很「傻瓜」,但想要制作自己满意的音乐,还是需要给出指定的音乐风格。这也就意味着,如果我没有基础音乐素养,大概率只会知道 “pop”、“classic”、“rap” 这些笼统的名词。那我生成出来的音乐,也就只是自娱自乐而已。
同理,在使用 Midjourney 和今年稍晚发布的 Sora 时,也必然存在类似的问题。
甚至,如果我想用生成式 AI 写一个故事脚本或者策划案,我在 prompt 中使用专业名词和不使用专业名词,输出的效果也会有很大区别。
AI 无疑是未来五年最热门的行业和技术。围绕 AI 也会产生巨大的经济价值,这个经济价值既是对商业体而言,也是对个人而言。
这种时候,更需要勤修内功。
🔖 How Heptabase’s founder use Heptabase for learning, research, planning, and writing | Heptabase Public Wiki #pinboard #learning #visual #heptabase
即使不用 Heptabase,也能学到很多
https://wiki.heptabase.com/how-Heptabases-founder-use-Heptabase-for-learning?lang=zh-Hant
即使不用 Heptabase,也能学到很多
https://wiki.heptabase.com/how-Heptabases-founder-use-Heptabase-for-learning?lang=zh-Hant
Heptabase
Founder's Demo | Heptabase Public Wiki
I am the founder of Heptabase and also its first user. Since May 2021, I have been using Heptabase for more than two years and have seen it go through more than 350 iterations. As Heptabase's functionality and user experience continue to improve, I have truly…
我之前是用阿里云 CLI 定期更新 DNS Record,让电脑的内网 ip 绑定到 me.xxx.com 上。这何尝也不是一种 DDNS 呢~~
但事后发现这个事情其实很蠢。在 macOS 上,你的电脑默认就会通过 Bonjour 广播它的 hostname,格式通常是 `[hostname].local`,别人自己通过这个 host 就可以了()
$ALIYUN_CLI --profile nini alidns UpdateDomainRecord --RecordId $RECORD_ID --RR $RR --Type $TYPE --Value $INTERNAL_IP --Line default
但事后发现这个事情其实很蠢。在 macOS 上,你的电脑默认就会通过 Bonjour 广播它的 hostname,格式通常是 `[hostname].local`,别人自己通过这个 host 就可以了()
动态域名解析(Dynamic DNS)
动态域名解析是一项网络服务,允许用户将一个不变的域名指向一个会变化的 IP 地址。 例如一位用户希望从外地访问位于家中的个人服务器。每当服务器的 IP 地址发生变化,DDNS 服务可以自动更新域名系统记录,确保用户总能通过相同的域名连接到服务器。
在 ADSL 宽带和拨号上网普遍的年代,固定 IP 往往过于昂贵,因此 DDNS 的出现极大的方便了需要远程访问但又不愿意支付昂贵费用的用户。
DDNS 提供商通常提供客户端软件,该软件在用户的设备上运行并监测 IP 地址的变化,然后自动通知 DDNS 服务更新相关的 DNS 记录。
然而,DDNS 单独无法解决 NAT(网络地址转换)穿透问题。 如果一个网络设备部署在多层 NAT 后面,例如一个家庭网络设备,仅仅依靠 DDNS 服务,外部网络用户可能无法直接访问这个设备。为了解决这个问题,通常需要额外的 NAT 穿透技术,例如 UPnP(通用即插即用协议)、STUN(会话穿越工具协议)或 VPN(虚拟私人网络)。
DDNS 服务遇到的问题可能包括域名更新的延迟、配置错误或安全隐患。安全问题特别值得注意,因为 DDNS 可能会让网络暴露给未授权的访问尝试。使用复杂密码、确保固件更新以及使用防火墙等措施可以帮助提升安全性。
🔗 Dynamic DNS - Wikipedia | #DDNS #NAT穿透 #网络技术 #可能会错 #笔记
动态域名解析是一项网络服务,允许用户将一个不变的域名指向一个会变化的 IP 地址。 例如一位用户希望从外地访问位于家中的个人服务器。每当服务器的 IP 地址发生变化,DDNS 服务可以自动更新域名系统记录,确保用户总能通过相同的域名连接到服务器。
在 ADSL 宽带和拨号上网普遍的年代,固定 IP 往往过于昂贵,因此 DDNS 的出现极大的方便了需要远程访问但又不愿意支付昂贵费用的用户。
DDNS 提供商通常提供客户端软件,该软件在用户的设备上运行并监测 IP 地址的变化,然后自动通知 DDNS 服务更新相关的 DNS 记录。
然而,DDNS 单独无法解决 NAT(网络地址转换)穿透问题。 如果一个网络设备部署在多层 NAT 后面,例如一个家庭网络设备,仅仅依靠 DDNS 服务,外部网络用户可能无法直接访问这个设备。为了解决这个问题,通常需要额外的 NAT 穿透技术,例如 UPnP(通用即插即用协议)、STUN(会话穿越工具协议)或 VPN(虚拟私人网络)。
DDNS 服务遇到的问题可能包括域名更新的延迟、配置错误或安全隐患。安全问题特别值得注意,因为 DDNS 可能会让网络暴露给未授权的访问尝试。使用复杂密码、确保固件更新以及使用防火墙等措施可以帮助提升安全性。
🔗 Dynamic DNS - Wikipedia | #DDNS #NAT穿透 #网络技术 #可能会错 #笔记
https://www.cyberpunk.net/zh-cn/april-fools
使用 97,619 张 3.5 英寸软盘,体验安装游戏的经典仪式。千万别孤军奋战,叫上你的朋友,制定一份轮班表。因为根据我们的粗略估计,大约需要 2 个月不间断地更换软盘才能完成安装。 哦对了,现在下单,大卡车送货免费上门! source
🔖 Skin in the Game | Armin Ronacher's Thoughts and Writings #pinboard #license #privacy #thought
To anonymize, or not to anonymize, that is the question.
我认为界限在于,我是否愿意并为我在网络上的所作所为承担责任。不过让我烦脑的是,很多时候会有误会,我本没有那个意思的,然后被解读为那个意思,于是就被请走了。这种特殊情况下 anonymize 是有必要的。
当然了,我觉得我的反侦查能力并没有高超到真的 anonymize,只能说是提高别人的开盒成本。
https://lucumr.pocoo.org/2024/3/31/skin-in-the-game/
There is obviously a balance to all of this, but given that there are real consequences to “doing stuff on the internet” there has to be a way to get in contact with the person behind it. So as far as “naming a person” here is concerned it's not so much about a particular name, but as in being able to identify the human being behind it.
To anonymize, or not to anonymize, that is the question.
我认为界限在于,我是否愿意并为我在网络上的所作所为承担责任。不过让我烦脑的是,很多时候会有误会,我本没有那个意思的,然后被解读为那个意思,于是就被请走了。这种特殊情况下 anonymize 是有必要的。
当然了,我觉得我的反侦查能力并没有高超到真的 anonymize,只能说是提高别人的开盒成本。
https://lucumr.pocoo.org/2024/3/31/skin-in-the-game/
Everything I Know About the XZ Backdoor (Score: 151+ in 13 hours)
Link: https://readhacker.news/s/653eB
Comments: https://readhacker.news/c/653eB
Link: https://readhacker.news/s/653eB
Comments: https://readhacker.news/c/653eB
boehs.org
Everything I Know About the XZ Backdoor
Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries
TLDR:
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
🔖 Steam 客服 :: Steam 家庭用户指南及常见问题解答 #pinboard #steam
来组建赛博家庭了
https://help.steampowered.com/zh-cn/faqs/view/054C-3167-DD7F-49D4
来组建赛博家庭了
https://help.steampowered.com/zh-cn/faqs/view/054C-3167-DD7F-49D4
Steampowered
Steam 客服 :: Steam 家庭用户指南及常见问题解答
