JWT 不适合用于管理用户会话,不应将其用于此目的。与传统的基于 Cookie 的会话不同,JWT 缺乏长期身份验证所需的必要安全性和灵活性。 主要顾虑包括: * **设计缺陷:** JWT 规范旨在用于短效令牌(五分钟以内),而非长期会话。安全专家警告称,该规范包含固有的漏洞,例如存在伪造令牌的风险。 * **“无状态”的神话:** 真正的无状态身份验证是不安全的。妥善的会话管理需要服务器端数据存储,这使得标准会话 Cookie 更高效、更安全且更易于实现。 * **存储风险:** 由于跨站脚本攻击(XSS)的风险,凭据(包括 JWT)绝不应存储在 `localStorage` 或 `sessionStorage` 中。 * **正确使用场景:** 虽然谷歌等公司使用 JWT,但它们仅保留用于单点登录(SSO)传输等特定任务,而非浏览器会话。 如果您在其他任务中需要安全令牌,专家建议使用 **PASETO** 代替 JWT。对于用户身份验证,请依赖您的 Web 框架内置的成熟中间件所提供的标准会话 Cookie,这是一种经过验证且安全的管理用户状态的方法。
每日HackerNews RSS
本次讨论聚焦于在浏览器端会话中使用 JSON Web Tokens (JWT) 所引发的争议。
**批评观点:**
批评者认为 JWT 常被误用为一种“无状态”会话解决方案。他们指出 JWT 存在以下问题:
* **难以撤销:** 与服务器端会话存储不同,如果不构建复杂的有状态“撤销列表”,JWT 无法被即时失效,这实际上抵消了其无状态的优势。
* **安全风险:** 该规范较为复杂,容易导致常见的实施漏洞(例如 `alg: none` 漏洞),以及将敏感数据存储在 `localStorage` 等客户端存储中而非 `HttpOnly` Cookie 里的问题。
* **过度设计:** 对于典型的 Web 应用而言,使用安全 Cookie 中的简单不透明会话 ID 通常更稳健、更易于管理,且避免了繁重的加密逻辑。
**反驳观点:**
支持者认为,在正确使用的情况下,JWT 是强大的工具:
* **可扩展性:** 它们允许独立的微服务在无需每次请求都查询中央数据库的情况下验证身份,从而显著降低延迟和基础设施负载。
* **正确实施:** 当配合短有效期令牌、刷新机制以及 `HttpOnly` Cookie 使用时,它们既安全又高效。
* **工具与标准:** 许多失败是由于开发者的误用或糟糕的库默认设置造成的,而非令牌格式本身存在固有的缺陷。
比尔·沃特森(Bill Watterson)的《卡尔文与霍布斯》(Calvin and Hobbes)常因其独特的魅力而被人们铭记,但这部连载十年的作品,其核心是由沃特森不妥协的道德追求与艺术操守所定义的。正如他年轻时曾在大学宿舍天花板上绘制壁画,完成后却又将其刷白一样,沃特森将创作视为一种纯粹的自我表达,而非为了追逐利益或长久流传。 在连载期间,沃特森为了保护作品免受商业化侵蚀,与出版集团进行了长期的抗争。他拒绝授权开发周边产品,即便这意味着放弃数百万美元的潜在收益——他担心玩具和服装会消解角色本身的魅力。此外,他坚持要求拥有周日版画稿的创作自由,并推行休假制度以避免创作枯竭,以此维护自己的独立性。 基于“漫画家应将质量置于大众市场需求之上”的信念,沃特森最终在1995年作品人气达到巅峰时,主动结束了《卡尔文与霍布斯》的连载。通过选择终结作品而非妥协于商业利益,沃特森坚守了他的信念:艺术操守是创作出真正有意义作品的唯一途径。
关于比尔·沃特森《卡尔文和霍布斯》的讨论,凸显了人们在高度商业化的媒体时代对艺术完整性的深刻推崇。与同时代的创作者不同,沃特森以拒绝利润丰厚的授权交易而闻名,他拒绝将笔下的角色变成“商品机器”。
评论者将这种做法与吉姆·戴维斯等创作者进行了对比,后者的《加菲猫》从一开始就被设计为可营销的品牌。尽管一些人承认经济压力往往迫使艺术家“妥协”,但沃特森被广泛视为一位“神话般的英雄”,他将创作愿景的纯粹性置于大众市场饱和度之上。这种克制使《卡尔文和霍布斯》历久弥新,保留了跨越代际的情感共鸣。
该讨论还涉及了传统连环画行业的衰落以及现代数字环境带来的挑战。有些人感叹“周日幽默版面”这一实体体验的消失,而另一些人则认为,正是沃特森拒绝过度开发作品的行为守护了其魔力,使这部连环画成为一件珍贵但有限的艺术品,至今仍能被新读者所欣赏。归根结底,沃特森的例子是一个深刻的提醒:完整性虽然难能可贵,却能创造出持久的遗产。
在将家庭网络升级至 10Gb/s 并使用 10GBASE-T SFP+ 模块后,作者发现其原有的基于 Marvell 芯片的 MikroTik 模块存在持续过热问题。该硬件温度常达 95°C 并导致连接“频闪”(flap),造成网络不稳定,迫使作者不得不通过 24 小时开启空调作为临时解决方案。
研究表明,基于 Broadcom 芯片的模块功耗更低,运行温度也更凉爽。作者将 MikroTik 模块更换为 10Gtek ASF-10G-T80-INT。尽管该新模块在交换机中被识别为 Intel 光纤收发器(这可能是出于兼容性“伪装”的考虑),但它成功解决了连接掉线问题。
虽然交换机无法再报告该模块的具体内部温度,但网络在随后的热浪中保持了稳定,且交换机的整体 CPU 温度下降了约 5°C。此次更换成功解决了过热问题,证明了对于家庭网络环境而言,选择合适的芯片组对于 SFP+ 模块的可靠性至关重要。
这份 Hacker News 讨论探讨了在家庭高速网络中选择铜缆以太网(10GBASE-T)还是光纤的争议。
**核心要点:**
* **铜缆的问题:** 发烧友认为在传统的双绞铜线上实现 10Gb/s 的传输效率低下,会导致收发器和网络设备产生严重的积热。
* **光纤的优势:** 光纤正日益被视为更具“未来保障”的优选方案。它节能、支持更高的速度(可达 400Gbps 以上),且与大众认知不同的是,其安装成本往往比高质量铜缆(Cat6A)更低。
* **混合方案:** 大多数专家建议采用混合架构:将**单模光纤 (OS2)** 作为数据主干,以利用其长效性和高效能;同时配合 **Cat6A 网线**,专门为 Wi-Fi 接入点和安防摄像头等设备提供以太网供电 (PoE)。
* **实施建议:** 对于短距离连接(如桌面机柜内),推荐使用直连铜缆 (DAC),而不是昂贵且易发热的 SFP 转 RJ45 收发器。
尽管有些人认为 Wi-Fi 7 或低速铜缆对普通用户来说已“足够好”,但进阶用户一致认为:现在预埋管道并铺设光纤,可以避免未来十年内昂贵的基础设施升级。
GPT-NL 是一项由公共资金支持的计划,旨在构建一个专为荷兰语言和环境量身定制的自主、负责任的语言模型。该项目获得了荷兰政府 1350 万欧元的资助,旨在摆脱对非欧洲提供商的依赖,以确保对技术和数据的自主掌控。 该模型基于四大核心支柱: * **主权:** 开发本地基础设施,以符合欧洲法律和社会目标。 * **透明度:** 采用开源方法,记录所有训练方案的选择,并保持对模型开发的清晰监管。 * **可信度:** 从零开始进行训练以确保数据完整性,优先考虑版权合规、严格的匿名化处理,并排除有害或机密内容。 * **互惠性:** 建立公平的价值共享模式,让数据提供方参与治理并获得贡献补偿。 除上述原则外,GPT-NL 还通过优化计算能力来减少能源和水资源消耗,从而强调可持续性。通过平衡创新与公共问责,GPT-NL 旨在提供一个安全、可靠且公平的 AI 基础,以加强荷兰的数字自主权。
抱歉。
请启用 JavaScript 并关闭广告拦截器
TorkBot 采用了一种“章鱼”式架构,以一个中央“大脑”协调多个半自主的“触手”或通道。这种设计在表面响应能力、复杂任务处理能力以及长期连续性这三种相互制约的需求之间取得了平衡。
通过将资源密集型任务(如输入输出、工具调用和沙盒工作流)委派给专门的子大脑,前台模型能够保持空闲并做出快速响应。所有跨平台和线程的活动都被整合为一个单一的、连续的前台对话。这不仅塑造了统一的人格,还使智能体能够整合不同语境下的信息。
各通道通过基于文本的指令和共享虚拟文件系统进行通信,将“凌乱”的中间过程限制在每个触手的本地内存中。中央大脑仅维护当前的意图、精简的摘要和关键引用。这种分离提供了显著的架构优势:前台保持稳定,从而提高了缓存效率和交互速度,而触手则负责处理繁杂的“搅动”工作。归根结底,该设计将大模型对话视为一种持久且经过整理的历史记录,其核心理念在于:未来的模型智能将依托这种具有凝聚力的跨平台架构,而非碎片化、特定任务的机器人。
在 2026 年增强世界博览会(Augmented World Expo)上,Snap 推出了全新独立式增强现实眼镜 SPECS。该产品旨在将计算功能融入物理世界,同时避免让用户产生疏离感。 与笨重的头显或功能受限的 AI 眼镜不同,SPECS 轻便且支持配镜,并采用了专有的硅基液晶显示技术,能带来生动、沉浸的视觉体验。在双骁龙处理器的驱动下,它具备快速的手势追踪和低延迟交互能力,使用户能够将数字信息叠加在现实环境中,涵盖导航、办公工具、互动学习及社交体验等多种场景。 Snap 强调,SPECS 的设计理念是“隐于无形”,让用户在保持与周围环境互动的同时,无需盯着屏幕。设备以隐私为核心基础,配备了透明的指示灯及端侧处理控制功能。为构建创新生态,Snap 向开发者提供了先进的工具,包括全新的原生开发套件及智能代理(agentic AI)功能。 SPECS 现已开启预售,售价为 2,195 美元,计划于今年秋季在美国、英国和法国发货。归根结底,该产品代表了 Snap 十年来的愿景,即让计算变得更加自然、社交化且贴近现实。
为了向人工智能转型,Meta 进行了一场仓促的自上而下的变革,瓦解了其历来表现卓越的工程文化,将软件开发从备受推崇的利润中心转变为遭到轻视的成本中心。 为了推动专有 AI 模型的开发,公司领导层采取了激进且具有侵入性的措施,包括强制进行按键追踪,并将 30% 至 50% 的核心工程人员(包括关键的安全和基础设施团队)强行调离,去从事琐碎的数据标注和强化学习任务。这些举措,再加上一套鼓励“追求代码数量”而非质量的绩效评估体系,不仅重创了员工士气,还摧毁了关键的安全防线。 其后果十分严重,最显著的是发生了一起大规模安全漏洞事件:由 AI 生成且未经严格审查的代码,导致攻击者能够劫持高关注度的 Instagram 账号。内部不满情绪达到了空前高度,员工将工作环境比作“古拉格”,管理层也承认了这种自食其果的混乱局面。 尽管 Meta 目前正尝试撤回部分政策,但对公司传奇文化的破坏已深。这场“AI 狂热症”为整个科技行业提供了一个警示案例,展示了对 AI 主导地位的痴迷和鲁莽追求,如何能导致一个曾经稳健的组织迅速衰败。
Jane Street 正在改变其长期以来对形式化方法持有的怀疑态度,从“不感兴趣”转向积极组建专门团队,将其整合到开发流程中。 过去,人们认为形式化方法的成本过高且耗时,不适用于大多数商业软件。然而,智能体编程(agentic coding)的兴起从根本上改变了成本效益分析。人工智能智能体虽然擅长生成代码,但往往会产生需要大量人工监督的“垃圾代码”。形式化方法通过自动化验证提供了一种解决方案,它不仅能为智能体提供强大的反馈闭环,还能提供传统测试无法比拟的通用保证。 Jane Street 认为,他们有能力弥合这一差距。由于他们拥有自主控制的编程语言(OxCaml)以及技术精湛且乐于接受新事物的工程文化,因此能够将面向证明的技术直接集成到开发工作流中。通过将 Lean 和 Coq 等社区的现有研究与自定义语言特性相结合,他们旨在使形式化验证变得像现有的类型系统一样普及且实用。目前,他们正在纽约和伦敦招聘,以推进这一将形式化方法与人工智能驱动开发相结合的宏伟目标。
抱歉。
您可以订阅以通过电子邮件和短信接收有关各模型“升高”(Elevated)错误的状态更新。 每当事件有更新时,系统会发送电子邮件通知。短信提醒则专门用于在事件创建或解决时通知您。若要启用短信通知,您必须输入手机号码并通过发送至设备的验证码进行验证。或者,您也可以选择仅通过电子邮件订阅。系统支持广泛的国际区号。
这篇 Hacker News 帖子讨论了 Anthropic Claude 模型近期出现的服务中断和“错误率升高”问题。许多用户对 Claude Code 的不可靠性表示不满,特别指出了终端渲染错误、性能问题以及频繁的会话崩溃。
讨论很快转向了关于 AI 辅助软件工程现状的广泛辩论。虽然一些用户承认使用 AI 编码确实带来了生产力提升,但更多人反驳了“编码问题已解决”的营销叙事,认为目前的工具在处理复杂的底层架构、可靠性和稳定性方面仍存在困难。
对话的很大一部分还涉及了关于开发环境的持续争论。用户讨论了 Windows 与 macOS/Linux 在现代专业环境中的普及程度,许多人指出,尽管许多技术型开发者更倾向于 Unix 系统,但 Windows 在大型企业和游戏行业中仍然是主流。总的来说,社区对“AI 优先”的工作流仍持怀疑态度,并指出频繁的服务中断和充满 Bug 的界面往往会削弱这些工具所承诺带来的效率。