每日HackerNews RSS
## RubyGems.org 被接管及社区担忧
最近围绕 RubyGems.org(官方 Ruby 包仓库)发生的一些事件,在 Ruby 社区内引发了大量讨论。这次接管似乎与 Ruby on Rails 的创建者 David Heinemeier Hansson (DHH) 以及他最近在 Shopify 的董事会职位有关。一些人认为 Shopify 对 Ruby Central 施加了压力,以获得对 RubyGems 组织的控制权。
这种情况的发生,伴随着对 DHH 具有争议性的政治博客文章的重新审视,许多人认为这些文章带有种族主义和仇外色彩。这些文章表达了对伦敦人口结构变化的担忧,加剧了社区内已有的紧张关系。
虽然一些人认为将控制权转移给 Matz(Ruby 的创建者)是一个积极的结果,但另一些人认为整个事件反映了 Ruby 生态系统内更深层次的问题。担忧范围从 Ruby 灵活特性中固有的安全漏洞,到分裂言论的影响。许多人提倡向前看,并关注替代包管理器,如 gem.coop,而另一些人则认为解决包容性和负责任的讨论等根本问题,对于 Ruby 的未来至关重要。
## ZX Spectrum Web 挑战总结
受年度 OCC 挑战的启发,作者使用 BASIC 为 ZX Spectrum(一款 1980 年代的家用电脑)重现了网站界面。该挑战涉及在极端限制下进行设计:256x192 像素的分辨率和 8 色调色板。
该项目专注于复制 Google 和 Hacker News。Google 的主页设计了通过首字母触发服务的访问方式,而搜索结果则使用“w”和“s”键进行导航。Hacker News 由于内容以文本为主,因此实现起来更为简单,使用了编号帖子选择和“M”/“B”键进行评论导航。还实现了一个提交表单。
作者承认在如此小的屏幕上浏览复杂的评论线程的困难,即使是中等规模的讨论也可能需要多个页面。尽管存在这些限制,但该项目仍然令人愉快,并基于去年挑战的研究成果。完整的源代码可在 Codeberg 上找到:[https://codeberg.org/0x00cl/Web-ZX](https://codeberg.org/0x00cl/Web-ZX)。
## ZX Spectrum 与现代网络挑战
最近一篇 Hacker News 帖子展示了令人惊讶的可能性,即在 1980 年代的 ZX Spectrum 电脑上访问现代网络内容。虽然 Google 现在会阻止没有 JavaScript 的访问,但用户已经找到了通过 Spectranet 等网络协议栈将这台 8 位机连接到互联网的方法,从而实现远程程序加载,甚至访问 Telnet 和 Gopher 等服务。
讨论强调了使用 Tasword 和 Vaticanus 等微型字体优化屏幕空间的工作。用户也在探索替代协议,如 Gopher,现在 Hacker News 和其他资源的镜像站点已经可用。尽管存在局限性——例如无法直接点击链接——但该项目展示了复古计算爱好者的聪明才智,以及现代网站在 Spectrum 有限显示器上的惊人清晰渲染效果。 也有几个 ZX Spectrum IP 协议栈可用,为实际的互联网连接打开了可能性。
## IDOR 与 UUID:安全深度剖析
间接对象引用 (IDOR) 漏洞发生在用户可以直接通过 ID 访问资源,而没有适当的授权时。一个常见例子是在 Amazon S3 等存储服务中使用自动递增的 ID,其中存储本身不强制执行应用程序级别的访问控制。
切换到 UUID *似乎* 是一个解决方案,因为它们是不可猜测的,可以防止简单的 ID 迭代攻击。然而,泄露的 URL(通过浏览器历史记录、前员工或意外暴露)仍然是一个重大风险。UUID 是“有毒资产”——它们的泄露需要保护日志,并可能轮换 ID,这是一项复杂的任务。
最好的修复方法是**始终通过 Web 应用程序授权访问敏感数据**,通过 API 路由请求,并保持存储桶私有。预签名 URL 提供了一种平衡,允许直接访问 S3,并具有短的过期时间。
较新的 UUID 版本,如 UUIDv7,虽然具有潜在的好处,但也引入了新的问题。UUIDv7 的时间戳组件可能使 ID 更容易猜测,尤其是在某些实现中(如 Postgres 的纳秒精度)。即使在看似很大的随机位数的情况下,考虑到足够高的请求速率以及 S3 等服务缺乏速率限制,攻击也是可行的。
最终,仔细考虑 UUID 版本属性和分层安全方法至关重要。对于公开暴露的 ID,强大的授权机制仍然至关重要。
arXivLabs是一个框架,允许合作者直接在我们的网站上开发和分享新的arXiv功能。个人和与arXivLabs合作的组织都拥抱并接受了我们开放、社群、卓越和用户数据隐私的价值观。arXiv致力于这些价值观,并且只与坚持这些价值观的合作伙伴合作。您是否有为arXiv社群增加价值的项目想法?了解更多关于arXivLabs的信息。
访问受限 访问受限 感谢您的关注。未经授权的访问是被禁止的。要访问此内容,您必须事先获得许可并拥有有效合同。请通过[email protected]联系我们的团队讨论许可选项。如果您是《电讯报》订阅者,请联系[email protected],并引用此页面的参考代码。 参考编号:0.a6213517.1761006689.3a9a78ea
## 生命的原子过滤器:摘要 细胞依靠选择性渗透膜和卓越的蛋白质过滤器,在外部混乱中维持秩序。这些过滤器,例如水通道蛋白和钾离子通道,允许必需分子进入,同时阻挡有害分子——这对生存至关重要。令人惊讶的是,它们在最小的能量消耗下实现这一点,而是依赖于精确的原子排列。 水通道蛋白促进快速水转运,通过带电氨基酸和狭窄通道排除质子。钾离子通道对神经功能至关重要,利用氧原子结合钾离子,同时排斥较小的钠离子,选择性地允许钾离子通过。 这些蛋白质并非一直被理解。20世纪70年代的初步发现表明蛋白质*影响*水运动,最终在1992年鉴定出水通道蛋白。结构生物学揭示了优雅的机制——水通道蛋白中旋转的水分子和钾离子的“连锁”系统——展示了微妙的几何和基于电荷的差异如何决定分子通过。 这些过滤器体现了生物学解决复杂问题的能力,采用简单而精确的解决方案,突出了单个原子的位置如何成为生命的基础。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
原子级蛋白质过滤器 (asimov.com)
19 分,作者 mailyk,1 天前 | 隐藏 | 过去 | 收藏 | 讨论
考虑申请YC冬季2026批次!申请截止至11月10日
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## UNIX 信号消息代理:摘要
本文详细介绍了仅使用两个 UNIX 信号——SIGUSR1 和 SIGUSR2 构建一个功能性消息代理的过程。作者展示了如何“利用”这些传统上用于进程控制的信号,通过将消息编码为二进制序列来传输数据。
核心思想是将位表示为信号(0 代表 SIGUSR1,1 代表 SIGUSR2)。发送者将消息编码为字节,然后编码为单个位,并将相应的信号发送给接收者。接收者累积这些位,重构字节,并将它们解码回字符。
该项目将这个概念扩展到一个基本的代理系统,包含生产者、代理和消费者。代理接收位流,排队消息,并将它们转发给注册的消费者。
虽然不打算用于生产环境,但这个实验突出了二进制操作、进程间通信 (IPC) 以及理解系统原语的力量等基本概念。这是一个有趣的探索,表明即使是看似有限的工具,通过创造力和对事物运作方式的深刻理解,也可以取得令人惊讶的复杂结果。作者鼓励实验和“无用”项目作为宝贵的学习经验。
## 使用UNIX信号构建消息队列:一个有趣的实验
最近一篇Hacker News上的帖子详细介绍了一个项目,作者仅使用两个UNIX信号和一些Ruby脚本构建了一个消息代理。虽然明确*不*打算用于生产环境——当然也不是Kafka的替代品——但该项目是对基础操作系统概念的有趣探索。
作者和评论者强调了教育价值:通过实践实验,理解二进制操作、UNIX信号和进程间通信(IPC)。核心思想是展示即使不切实际,复杂的系统也可以由基本构建块构建而成。
讨论围绕着使用信号进行排队(潜在信号丢失)的局限性、更可靠传输的实时信号的可用性以及标题略带标题党性质的准确性展开。许多评论者赞赏这种玩乐式的黑客精神,并鼓励类似的实验,强调了为了乐趣而学习的重要性。最终,该项目证明了动手实践的力量,并提醒我们,理解核心计算原理并不总是需要复杂的工具。
艺术必须行动。
Art Must Act
2 天前
## 罗森伯格与阿伦特的遗忘对话
20世纪中期,知识分子哈罗德·罗森伯格和汉娜·阿伦特,作为多年的密友,诊断出政治、专业知识和文化上的信仰危机。他们认为,普遍存在的官僚主义、市场力量和意识形态滋生了迷茫,扼杀了真正的行动,使个人无法辨别真相或找到真实的联系。
罗森伯格是一位重要的艺术评论家,他推崇波洛克和纽曼等抽象表现主义者,视他们的作品并非作为审美对象,而是作为“行动”——对社会约束的个人反抗。他强烈批评艺术界将艺术商品化和知识化的倾向,转移了人们对艺术家为有意义的生活而奋斗的关注。尽管阿伦特声名鹊起,但罗森伯格却很大程度上被遗忘,尽管他们的行动和判断理论相互交织。
罗森伯格认为,艺术家和个人一样,需要摆脱传统,通过行动来塑造新的身份,抵制顺从和幻想。他后来将这种批判扩展到波普艺术和名人文化,警告人们不要利用艺术表达。阿伦特受到罗森伯格的影响,同样强调在日益被机械化和虚假意识形态支配的世界中,公共行动和判断的重要性。
两位思想家敦促知识分子直接与公众互动,对一个充斥着欺骗的世界提供诚实、个人的回应,而不是依赖专家权威。他们的遗产不仅在于他们的理论,还在于他们对现代生活挑战进行深思熟虑、坦诚参与的榜样。
最近的 Hacker News 讨论围绕着 Aeon 文章《艺术必须行动》,引发了对汉娜·阿伦特“行动”概念的思考——通过表演进行自我展示,不同于劳动或惯例,这一概念受到她的朋友赫伯特·罗森伯格的影响。
用户指出,这篇文章将哲学思想与历史背景相结合,探讨了现代社会如何通过机械化、官僚化和娱乐业削弱了真正行动的机会,并将其取代为虚假的替代品,如大众政治或被动消费。
对话中强调了与在线互动产生共鸣的感觉,尤其是在 Hacker News 和社交媒体等平台上,但难以完全阐明这种联系。参与者承认这篇文章深刻而复杂,尽管难以提炼出单一的结论,但仍然乐在其中。
该网站正在使用安全服务来保护自身免受在线攻击。您刚才的操作触发了安全解决方案。 提交特定词语或短语、SQL命令或格式错误的数据等行为可能会触发此阻止。
## 警惕复杂的网络钓鱼攻击
开发者Takuya最近经历了一次令人不安的网络钓鱼尝试,攻击者通过看似无害的支持请求针对他。一封邮件声称由于cookie同意问题无法访问他的网站(而他的网站甚至不存在此问题)。在礼貌地要求更多信息后,收到了一封后续邮件,其中包含一个指向“截图”的链接——该链接被Gmail标记为垃圾邮件,但Takuya最初信任了它。
点击该链接会跳转到一个欺骗性页面,要求进行“验证步骤”,涉及一个终端命令。意识到危险后,Takuya避免了执行,确认这是一个恶意脚本,旨在从远程服务器下载并运行代码。
这次经历凸显了日益复杂的网络钓鱼策略,伪装成合法的支持请求,并利用令人信服但又略有缺陷的沟通方式。Takuya还注意到他的论坛上出现了一些可疑的、可能由AI生成的帖子。他敦促开发者保持警惕,因为攻击者正变得越来越聪明,也越来越难被发现。**切勿执行来自不受信任来源的命令。**
## 黑客新闻讨论摘要:网络钓鱼攻击与对人工智能的依赖
一个黑客新闻帖子讨论了一起最近的网络钓鱼尝试,用户收到一个包含base64编码字符串的支持请求,该字符串旨在在macOS系统上执行恶意代码。解码后的字符串会下载并运行一个远程访问木马(RAT),能够窃取敏感数据。
讨论强调了对日益增长的、不太复杂但可能有效的网络钓鱼攻击的担忧。许多评论者对需要依赖诸如ChatGPT之类的工具来分析此类字符串表示失望,认为base64解码等基本技能应该为开发者和精通技术的用户所熟知。
一个关键的争论点是,使用ChatGPT分析代码是否是一种谨慎的安全措施(在沙盒环境中运行),还是技术技能下降的迹象。几位用户指出ChatGPT在这种特定情况下存在不准确之处。
该帖子还涉及更广泛的问题,例如在线安全日益复杂、大型科技公司在促成诈骗(如Google Sites)方面的作用,以及人工智能既可以帮助又可以加剧这些威胁的可能性。普遍的担忧是,随着技术技能的下降,个人将更容易受到越来越复杂的攻击。