~/bGZo/notes

27 min read

<< Prev | 2024 | Next >>

20240413

Tip

人生已走过了 8286 天、1183 周、273 个月。

+-----------------------------------------+
|       Your current life progress is     |
|-----------------------------------------+
|       Days  : 8530                      |
|       Weeks : 1218                      |
|       Months: 280                       |
|       Age   : 23 years and 4 months     |
+-----------------------------------------+

这周发生了啥?

Others

  • Cloudflare Workers支持 Python了,再也不用写那么扭曲的 JavaScript 啦
  • FFmpeg 之父 Fabrice Bellard 发布音频压缩工具 TSAC
    • 对于 44.1 kHz 的音频,TSAC 可将其压缩至 5.5 kb/s (单声道)或 7.5 kb/s (立体声)—— 并确保提供可感知的 “良好” 质量。此外还可将一首 3.5 分钟的立体声乐曲压缩至 192 KiB。 TSAC 需要大量的计算能力,推荐使用英伟达 GPU 加速;当然也支持 CPU,但速度较慢。 https://www.oschina.net/news/286856
  • XZ Backdoor: Times, damned times, and scams

    • xz-utils backdoor situation (CVE-2024-3094) · GitHub

    • Everything I know about the XZ backdoor

    • 今天有人提到 Lasse Collin 对于 xz 项目早就疲惫不堪,Jia Tan 是极少数愿意真正贡献代码的“开发者”,这都是这场悲剧不可或缺的背景条件。 在无人关心的角落,Florian Westphal 最近辞去了内核 netfilter co-maintainer (“Mainly due to burnout”),所以现在 nf 只剩 Pablo Neira Ayuso 一人维护。这可是无数人每天使用的 netfilter。 在无人关心的角落,我最爱的工具之一 strace 依然只由一个捷克人 Dmitry V. Levin 默默维护。 在无人关心的角落,tcpdump/libpcap 在由 四人小组 the-tcpdump-group 持续更新,其中一位 Denis Ovsienko 的自我介绍是 sometimes I work jobs for living, sometimes I contribute pro bono to free and open source software projects, often I do both,给人一种很孤独的感觉。 在无人关心的角落,bash group 只有三位 active members,其中一位 Bob Proulx 有个古典博客,里面有记录他和妻子的平静生活。 我以前赞美人月神话,但我现在更关心默默无闻的开发者们,就像 vim 作者 Bram Moolenaar 一生没有和任何人建立亲密关系,我只想问,你这一生过得开心吗? 你们这些伟大的开发者们过得开心吗?

    • TLDR: 刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。 概括:

      1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
      2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注 1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
      3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
      4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注 2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
      5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
      6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。 如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。 另外从一些细节能看出来攻击者非常用心:
      7. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
      8. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。 更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。 注 1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。 注 2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。 https://x.com/Blankwonder/status/1773921956615877110?s=20

    • Comments: https://readhacker.news/c/659NG

  • 北邮通报“学生联名举报导师事件”:取消郑某研究生导师资格|界面新闻 · 快讯
  • 苹果App Store放宽限制,允许模拟器应用上架
    • 苹果 App Store 现已调整审核规则,允许模拟器应用上架。 据悉,模拟器 App 可提供游戏下载,但开发者必须对其提供的所有内容负责,包括确保此其符合苹果的各项准则和所有适用法律。 ———————— 加入筛选令人反感的内容的方法、举报内容和及时回应顾虑的机制,以及屏蔽滥用用户的功能 这个比较迷惑,一个明显应用在 UGC 的条例,模拟器上没啥涉及吧 App 必须使用以 App 中所提供内容的最高年龄分级为准的年龄分级 感觉绝大部分模拟器都要上 18+ 了
  • AI 生成内容正在污染我们的文化
    • AI 生成内容正在污染我们的文化。以科学为例,在 OpenAI 的 GPT-4 发布之后,科学研究的语言开始发生变异,尤其是在 AI 领域。AI 相关论文同行评语使用的形容词如 “Innovative”、“notable”、“commendable”、“intricate”、“versatile”和“meticulous”的频率在 2024 年大幅增加。此类的修辞是 ChatGPT 等大模型喜欢用的,换句话说,有大量 AI 研究人员将同行的论文丢给 AI 去进行评审,或者至少是在 AI 的帮助下写评语。越接近递交评论的截止日期,AI 使用的频率就越高。AI 审查使用 AI 生成的论文,那么一篇包含有巨大生殖器的小鼠解剖图的论文能通过同行评审发表也就不足为奇了。科学领域只是生成式 AI 对整个社会影响的一个缩影。在 X/Twitter 上,任何病毒式传播的帖子几乎都肯定包含 AI 的回复,Instagram 上有大量 AI 生成的模特,Spotify 上有大量 AI 生成的歌曲,亚马逊上有大量 AI 撰写的作品,YouTube 上有大量 AI 合成的视频。AI 正在污染我们的文化。生态学家 Garrett Hardin 曾指出,污染问题是人类出于自身利益行事而造成的,他称之为“公地悲剧”。我们正经历新的公地悲剧:短期自身经济利益鼓励使用廉价的 AI。内容是为了最大化点击量和浏览量,这反过来又污染文化,削弱对现实的把握。 https://www.nytimes.com/2024/03/29/opinion/ai-internet-x-youtube.html?ugrp=u&unlocked_article_code=1.gU0.U5Ee.kvPE0e0DodvZ&smid=url-share
  • 怀孕可能加速女性生理衰老
    • 根据发表在 PNAS 期刊上的一项研究,怀孕可能加速女性的生理衰老。哥伦比亚大学的研究人员跟踪了菲律宾 1,735 人的生育历史,收集了其 DNA 样本。他们使用 6 种不同的表观遗传时钟计算参与者的生理年龄。对 825 名年轻女性的研究发现,她们每次报告怀孕都会导致其生理年龄衰老 2-3 个月。六年的随访期间报告怀孕次数越多的女性其生理衰老增加的越多。在考虑了社会经济地位、吸烟、遗传变异和周围建筑环境等因素之后,怀孕和生理衰老之间的关系仍然存在。对 910 名男性的研究没有发现他们当上父亲的次数与生理年龄增加的关联。 https://www.theguardian.com/lifeandstyle/2024/apr/08/pregnancy-may-speed-up-biological-ageing-study-finds https://www.pnas.org/doi/10.1073/pnas.2317290121
  • Discord 删除 Nintendo Switch 模拟器开发人员账户及其群组
    • 社交平台 Discord 关闭了 Nintendo Switch 模拟器 Suyu 和 Sudachi 的 Discord 群组 (服务器),并彻底禁用了其主要开发人员的帐户。模拟器 Suyu 和 Sudachi 都是从 Yuzu 衍生而来,而 Yuzu 是任天堂于 3 月 4 日起诉的一款模拟器。Discord 产品传播总监在声明中表示:“Discord 响应并遵守所有合法有效的 DMCA 请求。在这种情况下,法院还下令删除这些材料,我们按照法院命令采取了行动。”根据向 The Verge 分享的截图,Suyu 和 Sudachi 的开发人员只收到了关于他们如何分享涉嫌侵犯知识产权的内容的模糊信息。 —— The Verge
  • 为了应对运营商考核上下行比率,恩山无线论坛用户和某云盘使用恶意软件从 Bittorrent 网络无限吸血以提高下载量 - V2EX https://hostloc.com/thread-1259695-1-1.html 对于隔壁 USTC 镜像站为什么凌晨运营商出口流量会被打满突然想通了
城市总面积建成区面积
北京164101289.3
上海6340.5860.2
深圳1997.47927.96
西安10108700.69
昆明21473483.52
呼和浩特17224260

单位:平方千米

人类一思考,上帝就发笑

职场欺凌,服从性测试,存在注意危机

你好我不知道该说什么我不该写作说话但是我特别害怕这段相反会丢失会被调成了我的遗忘掉先到都非常想找个地方去表达每次被领导恶心到,都想要找个地方去表达。我觉得自己的梦想是做一个城市的寄生虫,因为可以啊不必去接受上层的压力与下层的受苦,他真的可以萌发出一些美好的东西,就像时空中楼阁一样,是不属于现在这个社会的生存法则但是被我们所有人都倾向的东西。

我现在怀疑啊昨天林老跟我推心置腹的所有的话,因为我觉得这也是 kpi 的一部分,唯一我知道的只是他所选择的表达非常口语化让我更加容易接受,但我还是无法接受自己还是要被强制剥夺两个小时工作时间的现实,我现在锻链完洗个澡然后躺在床上已经 10 点了,时间几乎上已经没有了,我觉得我可能每天也就勇于两个小时的自我 3 个小时吧,我觉得现在我每天也就容于这三个小时的自由活动时间,然后连到告诉我他要再去两个小时,满足他的情绪价值,这份点头好了工作简直是让人恶心,我觉得当时天大连华语的面试官给我讲,也是这样,也许这就是传统行业跟互联网行业的区别。

比亚迪装着现在的经济形势,来强迫员工今遵守校华为那样的制,却不给员工向华为那样待于,我觉得这是非常流氓的行为这只是在经济情况非常糟糕的情况下对人民群众的又一次压榨,我不能接受那些拿着股票的领导们压榨着我们,还要我能去实现他们的理想,还要我们去接受这是我们的理想,如果他真的拿我们当兄弟我觉得,你的兄弟早上对吧,兄弟们天天为你着想你天天就想着你自己。请傻 * 的说实话

我觉得现在自己要做那种反抗就是要把自己的生活柔道工作里,让自己的工作也是啊生活的时间就是这样,我现在打算把自己的漱口水和自己的药品都放在公司,平时吃药或者是漱口都可以在公司进行而不是家里,泡茶也是这样养生也是这样。

暂时还能做到什么我还不知道,但下班的时间确实是属于我的而不是公司的,我不应该做任何与工作相关的事情,这是我的业务,

我觉得连老跟你说的啊,他后悔当时没有看中业务,而看中技术而到了现在这种非常容易被取代的境地,非常尴尬,他觉得你还年轻哈啰有机率去做业务,但是规劝别人自己都做不到的事情不是非常的可笑吗,我觉得跳槽不应该看的是自己的技术能力吗,所以当时所有的人都在提升自己的技术而不是业务能力呀,至少应该去一个自己喜欢的行业吧而不是在这种傻 * 行业里面去疯狂的那卷吧

说实话这些话都不可能真的对别人说出去啊而是啊我必须要找一个地方去记录下来,要不然别在心里真的要憋坏了

有一些一脉相承的东西,就像我们这类工科生往往就生存在这种非常尴尬的夹缝中,像是一把巨大的枷锁,我们需要顶住上面的压力。

梦呓

做噩梦,惶恐不安,就算在梦中,我还是对小猫拳脚相加,我还是十多年前的模样,一点都没有改变,后来我把他的死因归咎在了姐妹身上,哭着醒来,没掉一滴泪,我匆匆上了个厕所后,继续睡,却满脑子都是家里猫的事情,它还有粮吗?我不知道。

昨天,领导找我谈话意图又是如何?我已经对如今的工作感到疲倦,我感到前所未有的倦怠,而这种感觉,无法通过休息缓解,就像我酣畅淋漓的睡了一觉,但还是有种深陷泥潭的感觉,我还需要更多其他的休息,具体是什么,我还不知道,但我觉得自己就是需要,生活实在太过单调。

性启蒙

我不知道外国人是如何接触性的,我没有相关的生活经历,所以我相当好奇,是神秘,禁忌,还是大胆,城开布公?我第一次发现这种东西是从接触父亲的色情图片开始的。我发现父亲电脑的一个文件夹里藏着很多照片,分门别类,都是没有穿衣服的女人身体的照片。那时候我刚上小学,因为父母、姐姐平日里遮羞不外露,所以那些所谓的第二性征,我最开始的启蒙都是从这里开始的。与此相对的,童年的我只了解女人的身体模样,却对男人的一概不知。色情形象虽然也看了不少,但是我一直不理解男人是如何执行交媾这个动作的,我也没有时空去讨论、纠结这些东西,甚至连保险套是为何物也不不知道。

最早的自慰是从玩弄自己的生殖器开始的,我不知道为什么这个东西这样敏感,小时候看鸟山明的七龙珠,主角悟空的弱点是尾巴,慢慢地,我把两个东西的想象混在一起,我想,这里遭到重大的刺激后,痛感也会加剧。最早我只是简单的一捏再捏,有些勃起后,并不以为然,也不太在意。

最早的性启蒙,还有家里存着的恐怖电影,家里还保留着当时很多印象的宣传照片,一些恐怖电影的照片总是喜欢用女人来开刀,我印象深刻的一张,是从女人双腿中间爬出人头蜘蛛一类的形象,恐惧,夹杂着对性的好奇,这样女人身上猎奇的想象更是让我好奇,一直延续至今。

我很羡慕那些影视剧里表达的,男孩一到年纪,作为长辈的家里人会教会男孩这一切东西,碍于伦理道德,这是我想象但从未真正体验过的事情,我的性爱始终都只有我一个人,我只是单纯地享受这一过程。

  • 如何才能持续性地创作下去,我不断地安慰自己,要抱持着穷苦度过余生的打算,减少一些功利的、侥幸的心理,就像那些历史上死后方生的人,也许这苦痛的一生注定这样,但是还是要坚持下去。

  • 播客里的他们说,中国人的生活永远在以后,我想自己的生活也是这样。人是可以靠着一点点希望过活的,如果我的希望甚至都不在这个世界,仅仅在沉浸在虚拟世界的那几个小时,为了能和他们见面,说上知道展开,只能持续几个小时的话,我就要忍受每日 12 小时的压榨,有那么一段时间,我觉得这种生活体面,值得。

  • todo 租赁一台 VPS 的必要性。

  • 超越自卑

    • ((661478fb-86e4-44d6-bf81-92fa98fa6a5a))
      • 作者讲要论输出一把标尺;
    • ((661478fb-73ea-4466-b9a5-02e0e03dcc9c))
      • 我们生活在地球这个贫瘠星球的表面上,无处可逃。
      • 我们并非人类的唯一成员。我们身边生活着其他人,并与我们息息相关。
      • 人类由两性构成。个人和人类生命的延续必须考虑到这一事实。爱情和婚姻就属于这个限制。
      • 三个问题:
        • 如何在自然环境的局限下找到一种合适的职业,以维持生存;
        • 如何在同类中找到一个位置,以相互合作并分享合作的成果;
        • 人类有两种性别,人类的延续依赖于两性关系,如何自我调整,以适应这一事实。事实上,这三个问题就是人类不得不面对的职业、社会和性
    • 作者提出:生命的意义在于利他,个人的意义毫无价值;

多快好省

Huawei freelace Pro 2

504.54 + 65.46 + 88.85
189.00

这周有吃什么好吃的吗?

  • 天水麻辣烫,味道可以,但不如冒菜,没有麻酱,网红小吃,价格偏贵,不值得;

沙发土豆的自我修养

Graph View

Backlinks