本文讨论了名为 CLiP(客户端许可平台)的 Windows 许可系统的利用。 该平台随 Windows 10 一起推出,为 Microsoft Store 应用程序实施数字版权管理 (DRM),并允许用户通过 Microsoft Store 购买数字许可证。 作者发现了一个名为“Keyhole”的错误,该错误使用户能够为任何应用程序或 Windows 版本创建任意软件许可证,从而规避 CLiP 的预期目的和功能。 他们解释说,这是通过在许可证签名块之后放置附加数据来实现的,导致后面的数据覆盖较旧的数据。 研究人员提供了有关如何利用此错误的分步教程,建议用户从 Microsoft Store 下载许可的应用程序,捕获其许可证信息,添加自定义数据以创建新许可证,然后激活新创建的许可证。 Furthermore, the authors compare the CLiP license structure to the Xbox One's DRM system, revealing significant similarities between both platforms。 They conclude by acknowledging that Microsoft has already patched the identified vulnerability, rendering the Keyhole technique useless。
每日HackerNews RSS
用于处理各种 Microsoft 生态系统中的用户输入的 XML 到 TLV(类型长度值)到 null 终止字符串转换过程中存在漏洞。 在此过程中的疏忽可能会导致“一对一”错误或未被发现的恶意行为者的利用。 这些错误可能会损害安全功能,导致权限升级、远程代码执行和水平枢轴。
当与未经消毒的用户输入和上下文逃逸配合使用时,此漏洞充当恶意活动的追溯枢纽平台。 虽然看起来是良性的,比如单纯的数字贴纸交换,但这种弱点的出现是由于微软对以前的成功的依赖、对改变的顽固以及保持向后兼容性,从而导致某些看似微小的错误对系统运行产生不利影响。
示例包括 Grand Theft Auto 游戏或 Adobe Creative Suite 中的黑客场景。 未经消毒的用户输入导致无 DRM 版本的《粘粘世界》90% 以上被盗版,从而降低了潜在销量。 此外,Android 的盗版率超过 60%,尽管会损害隐私,但仍需要免费增值模式来创收。
此外,通过基于时间的一次性密码 (TOTP) 生成的身份验证令牌缺乏对初始设置 QR 码的适当保护。 这些代码隐藏了跨多个设备的 TOTP 功能所需的关键种子值,并且无需重复配置。 如果用户忽略将初始设置种子值与相应的登录凭据一起保存,则忽略此监督会使用户容易受到攻击。
反作弊解决方案可以增强多人游戏环境中的竞争完整性; 然而,它们必须明智地实施,保留玩家的选择并防止草根社区举办的锦标赛受到干扰。 不幸的是,现代竞技游戏严重依赖在线平台和基于技能的匹配,为作弊留下了空间。 作弊者往往无法达到精英排名,原因是他们无法掌握特定的游戏机制,例如对战略细微差别的理解较差或对不断变化的游戏动态的适应能力有限。
虽然技术熟练的个人可以模仿通过作弊取得的表现,但通过不诚实手段获得的持续优势使他们在面对诚实的竞争对手时处于不公平的劣势。 开发人员应专注于实施强大的反查
在吉隆坡,马来西亚通信与媒体委员会 (MCC) 要求互联网提供商将域名服务器 (DNS) 流量重新路由到自己的 DNS 服务器。 此举旨在通过本地提供商的 DNS 服务器提供的保护措施保护用户免受有害内容的侵害,并防止马来西亚人访问恶意网站。 2018年至8月1日期间,MCC限制访问不同类别的24,277个网站,包括非法赌博(39%)、露骨内容(31%)、侵犯版权(14%)、有害内容(12%)、卖淫(2%) )和欺诈性投资计划(2%)。 批评者错误地将这一措施标记为压迫性的。 然而,该委员会坚称这些限制可以保护弱势网络用户免受危险在线内容的侵害。 第三方 DNS 服务器,例如 Google DNS 或 Cloudfare,可能会提供额外的好处,例如更快的速度和更多的隐私; 但是,在针对本地不良内容的安全性方面,它们与本地提供商的 DNS 服务器不匹配。 有一种误解认为,由于 DNS 重定向的更改,所有网站都被禁止,而只有托管有害内容(例如盗版、赌博或色情内容)的网站才会被拒绝。 对合法网站的访问持续不受影响,并且 DNS 重定向保持平稳运行而不会中断。 访问合法网站时遇到问题的用户应直接向其服务提供商传达问题。 此外,感觉受到虐待或影响的网站可以通过官方渠道提出上诉,因为有一个由高等法院法官领导的独立法庭对案件进行公平审查。 MCC 计划到明年实施一项新的法规,旨在确保儿童和家庭的在线安全。 拥有超过 800 万马来西亚注册人的社交媒体平台和即时消息提供商将需要根据 1998 年《通信和多媒体法》获得许可。
* 互联网严重依赖域名系统 (DNS) 将人类可读的域名(例如 google.com)转换为机器可读的 IP 地址。
* 政府机构或不良互联网服务提供商 (ISP) 可以操纵 DNS 请求,将用户引导至不正确的网站或收集用户信息。
* 加密 DNS(例如 HTTPS 或 DOH 上的 DNS)可保护 DNS 流量,防止此类操纵。 但是,它需要通过常规、未加密的 DNS 或一组预定的 IP 地址进行引导。 目前,大多数客户都使用一些知名的提供商,这使得他们很容易受到政府的限制。
* 当加密被阻止时,客户端可以选择停止运行,从而使它们在受影响的地区毫无用处。
* 一些人认为,加密的 DNS 可以更好地防范政府和 ISP 以及某些类型的中间人 (MitM) 攻击,而不是广告公司带来的更大风险。 其他人则认为广告对个人隐私构成更紧迫的威胁。
* 希望控制自己的 DNS 设置的用户可以将其系统配置为将所有 DNS 流量路由到其自定义 DNS 解析器,从而限制对特定受信任来源的访问。 这还可以阻止不需要的或恶意的域。
* 动态 DNS (DDNS) 允许主机在 IP 地址发生变化时自动更新其 IP 地址,从而增强网络灵活性。 然而,如果配置错误,此功能会带来潜在的漏洞,特别是在住宅环境中。
本文讨论了加密域名系统 (DNS) 流量对于增强安全性、防范政府监控、不良互联网服务提供商 (ISP) 和中间人 (MitM) 攻击的重要性。 DNS over HTTPS (DoH) 等加密 DNS 技术可保护 DNS 流量并帮助保护用户免受 DNS 操纵。 尽管大多数客户目前依赖于一组精选的提供商(这些提供商可能会成为政府的目标),但用户可以通过配置其系统以利用其首选的 DNS 解析器来控制其 DNS 设置。 此外,动态 DNS (DDNS) 提供了更高的网络灵活性,但可能会带来潜在风险,尤其是在住宅环境中配置错误时。
论文《LLM 的硬件加速:综合调查和比较》讨论了大型语言模型 (LLM) 在自然语言处理任务中的使用。 它调查了加速这些模型的 Transformer 网络硬件的各种方法,包括 TensorFlow、PyTorch 和 BERT 等框架。 作者根据技术、处理平台(FPGA、ASIC、内存、GPU)、加速、能源效率和性能 (GOP) 等因素对这些框架进行了定性和定量比较。 然而,由于实现技术的差异,公平地比较这些方案具有挑战性。 为了解决这个问题,作者评估了每种方法应用于相同技术时的性能和能源效率。 他们还在多个 FPGA 芯片上测试了 LLM 的某些部分,以实现公平的比较。 本研究的主要目标是确定法学硕士硬件加速的有效方法,以提高自然语言处理能力。
本文讨论了大型语言模型 (LLM) 中的内存限制问题,该问题是由于 CPU 速度改进和内存带宽改进之间的差距越来越大而导致的。 为了解决这个问题,人们正在考虑内存计算(CIM)或内存处理(PIM)等新技术。 这些技术涉及直接对内存中的数据执行操作,而不是先将其移至 CPU 寄存器。 这种方法可以减少延迟,提高功耗,并有可能克服“内存墙”。 然而,在推断性能时需要仔细考虑这些技术之间的比较,特别是对于不同半导体的 ASIC 和 FPGA。 值得注意的是,门的低效率和非最佳逻辑路径是与所引用的设计相关的权衡。 尽管存在这些挑战,作者还是提出了一种称为 BitGrid 的新颖架构,它利用二维单元阵列进行高度并行计算。 与传统方法相比,BitGrid 具有潜在的优势,例如提高能源效率、降低复杂性以及易于实施。 然而,在结合存储器和计算元件时会出现实际困难,特别是考虑到存储器和计算元件的制造工艺的差异,导致性能较差、生产成本较高以及对不断变化的需求的适应性较低。 此外,作者还质疑 Mythic 等公司关于内存计算能力的说法。 由于写入速度慢,闪存被排除在内存计算之外,而 Mythic 的方法涉及利用模拟电路进行模型推理。 D-Matrix 和 Cerebras 是从事真正内存计算的实体的例子,尽管成本高昂。 最后,作者指出,闪存主要用作配置存储器,存储模型的恒定权重,而不是用作正在进行的计算的工作存储器。 总之,虽然内存计算前景广阔,但它面临着重大的技术障碍,并且能否得到广泛采用仍然存在不确定性。
Infinity AI 推出了一种名为 Inf2 的新基础视频模型,它可以创建由音频输入生成的栩栩如生、会说话的角色。 与其他人工智能工具不同,Inf2 使用户能够创建独特的语音角色,而不会因面部表情和手势不匹配而产生奇怪的感觉。 用户可以编写详细说明角色对话和动作的脚本,然后接收返回的视频。 目前,该模型专注于人形图像,但将来可能会扩展到包括不同类型的视觉元素。 Inf2 背后的团队在大约 11 年的 GPU 培训期间投资了超过 50 万美元用于其开发,预计还会有进一步的改进。 然而,模型在某些领域存在困难,例如处理动物、添加不需要的手势、处理卡通图像时缺乏鲁棒性,以及维持身份准确性的问题,特别是对于可识别的人物。 您可以通过
Infinity AI 推出了新的视频扩散变压器模型,该模型专注于通过音频输入生成逼真的人形角色。 与传统的生成式人工智能视频模型或会说话的化身不同,该技术可以在合成角色中实现富有表现力的语音和动作。 用户可以在Infinity的平台上创建独特的角色并为其编写脚本,系统将制作相应的视频。 例子包括蒙娜丽莎的讲话、皮克斯风格的侏儒背诵美国独立宣言,以及埃隆·马斯克演唱“带我飞向月球”。 该团队声称花费了大约 50 万美元和 11 年的计算资源来训练该模型,但仍在继续提高性能。 以前创建熟悉的视频角色的尝试面临着诸如面部表情和音频不匹配、演员库有限以及难以为虚构角色制作动画等问题。 为了克服这些挑战,Infinity 设计了一种端到端视频扩散转换器模型,该模型在输出视频帧之前接受单个图像、音频和附加上下文信息。 尽管由于某些优化而比预期慢,但该设计有效地捕捉了复杂的人类动作和情绪。 值得注意的是,该模型支持各种语言,表现出对物理定律的一定理解(例如,正确摆动耳环),并且无需事先训练即可描绘不同的媒体类型,例如绘画和雕塑。 然而,当前版本存在局限性,例如缺乏对动物描绘的支持、频繁的手部侵入场景、处理卡通图像时的弱点以及潜在的身份扭曲。 在此处尝试该模型:[Infinity Studio 链接] 作者邀请对其创新提供反馈。
NGINX 已转向 GitHub 进行开源项目管理。 这意味着开发人员现在可以使用 GitHub 上的拉取请求来贡献代码更改,而不是之前使用 Mercurial 的方法。 此外,错误报告、功能建议和改进可以直接在平台上的“问题”部分下进行。 社区论坛也已迁移至 GitHub 的“讨论”区域。 对于报告安全问题,建议遵循此处 [4] 之前建立的安全策略。 为了适应此转换期间的任何潜在困难,现有的补丁提交和通过邮件列表提供的社区援助将持续到 2024 年底。这些更新旨在简化、升级和扩大 NGINX 开发和相关社区的可访问性。 作为其持续致力于培育活跃的开源社区的一部分,本博客文章 [5] 分享了有关这些开发的更多详细信息。 该团队期待着从用户那里获得协作工作、互动和宝贵的见解。
参考:
[1]
自 2007 年平台推出以来,GitHub 就提供了这项服务,并于 2023 年中期取消了匿名用户执行代码搜索的功能。批评者称,这一决定是一项战略举措,旨在鼓励用户注册并保持登录状态,从而使 GitHub 能够收集用户数据 增加收入。 这种转变引起了人们对隐私问题的担忧,因为批评者认为,允许匿名使用可以保护用户隐私,而要求注册则侵犯了用户隐私。 此外,反对者认为 GitHub 继续从匿名用户中获利,因此没有必要进行更改。 支持者认为,创建用户帐户毫不费力,而且是对抗潜在的分布式拒绝服务 (DDOS) 攻击所必需的。 一些人还认为,改变激励措施会增加注册和登录,从而增强广告商的广告定位能力。 最终,争论的焦点是便利性与隐私的价值,以及免费服务是否要求提供商有义务同时满足注册和未注册用户的需求。
该研究评估了生成人工智能 (AI)(特别是 GitHub Copilot)对软件开发人员生产力的影响。 微软、埃森哲和一家未透露姓名的财富 100 强电子公司进行了三项随机对照试验。 这些测试中的开发人员可以访问 GitHub Copilot,这是一种提供智能代码建议的 AI 工具。 调查结果基于 4,867 名开发人员的表现,表明使用 AI 工具时任务完成率提高了 26.08%。 技术水平较低的开发人员表现出使用率的增加和效率的提高。
JEL 分类:J24、O32、O33。
建议引用:[作者姓名],[年份]。 文章标题、期刊名称、卷号、期号。 网址:
从本质上讲,这篇文章讨论了在招聘技术职位时真正的热情、兴趣和专注力的重要性。 公司寻找具有这些品质的候选人,但很难客观地评估他们。 不同组织的热情可能有所不同,有些组织重视创业精神,而另一些组织则重视技术熟练程度。 真正的热情有时似乎难以捉摸,因为在面试过程中很难发现又不显得不真诚。
作者认为,仅仅关注激情会忽视技术能力的必要性。 虽然热情的、不熟练的个人最终可能会学习所需的技能,但这种学习曲线可能会延迟项目执行并影响整体生产力。 一项常见的编码练习(例如“FizzBuzz”测试)表明,许多看似热情的候选人缺乏该职位所需的基本编程知识。
最后,作者建议在评估候选人时平衡热情和实践技能。 虽然社交技能在成功应对面试过程中发挥着重要作用,但拥有强大的基础技能对于个人和组织的成功仍然至关重要。
此提交不属于此存储库上的任何分支,并且可能属于存储库外部的分支。 您目前无法执行该操作。
您链接的文章“tetris-sql”似乎正在使用数据库扩展来克服 SQL 的限制。 虽然核心 SQL 语言本身并不是图灵完备的,但这些扩展,例如通用表表达式 (CTE) 和过程语言,可以为迭代执行和条件逻辑提供必要的构造。通过利用这些扩展,作者有效地创建了图灵 数据库系统内的完整环境,允许他们实现俄罗斯方块。 然而,需要注意的是,与专为游戏开发而设计的传统编程语言相比,其实现会更加复杂且效率较低。本质上,本文正在演示如何使用 SQL 及其扩展来创建图灵完备环境,但它并不是 直接表示 SQL 的固有功能。
事实证明,用于软件开发中编辑工具的轻量级通信协议(LSP)可以成功地为开发人员以低成本为各种编辑器提供集成开发环境(IDE)功能。 对 LSP 的批评主要涉及其设计,特别是关注表示与语义、向后兼容性、开放性以及并发和因果关系问题的处理。
LSP 强调表示方面,而不是底层语义结构,通常有效,尽管随着时间的推移,一些语义元素已经慢慢渗透。 这种差异的示例包括“类型层次结构”请求的目的以及完成列表中伴随条目的某些语义标签,例如指示折旧。
LSP 内的向后兼容性对用户来说是有利的,因为用户严格遵守它,甚至允许较旧或维护较少的语言服务器或编辑器正常运行。 用于表示服务器和客户端支持的内容的“能力”模型被认为是可接受的。
然而,在配置更改等情况下,会出现有关向后兼容性的批评,其中初始配置调整是通过工作区/didChangeConfiguration 通知进行的,后来引入了动态注册要求,这给旧服务器带来了困难。
尽管 LSP 有其特殊性,但由于其机器可读的格式,LSP 的类型和方法规范受到赞赏。 此外,生成这些类型(包括它们的序列化)的能力极大地简化了库的维护过程。
动态注册被认为是有益的,它使服务器能够在运行时改变其功能,并在某些功能由于配置更改而被禁用时相应地通知客户端。 尽管实施过程往往繁琐且复杂,但其核心概念被认为是合理的。
尽管不是一个公开管理的项目,LSP 仍然对开源社区发挥着重要作用。 然而,缺乏开放性会带来挑战,例如外部贡献的机会有限以及实施者之间缺乏合作。
批评性评估指出,LSP 难以充分解决并发问题,在处理同时运行的多个任务而不影响整个系统稳定性方面仍有改进的空间。 此外,LSP 在保持因果关系、确保响应用户命令的操作的正确顺序和一致性方面面临挑战。
在状态管理方面,LSP 采用了多种为同步目的而设计的机制。 这些机制包含诸如推送之类的功能
语言服务器 (LS) 提供了一种通用、灵活的协议,用于将各种编程语言集成到代码编辑器中。 使用 LS,开发人员可以编写小型扩展,通过标准输入/输出 (StdIO) 与语言服务器进行通信。 更复杂的场景包括扩展中的独立语言服务器、在单独的计算机或容器上托管语言服务,或者通过服务工作人员或与远程服务器的 TCP 连接在浏览器中运行编辑器。 由于LS独立于传输层,因此可以跨不同场景提供无缝支持。
虽然 LS 被认为是“开放的”,但当它缺乏官方管理机构或与其旨在服务的社区合作时,就会出现问题。 微软作为市场的重要参与者,对 LS 的开发和使用具有相当大的影响力。 为了解决这个问题,LS 成立一个标准委员会或联盟似乎是确保广泛的行业共识和合作的合理步骤。
尽管有其局限性,LS 仍代表着未来进步的基础。 构建系统的集成、改进的调试功能和简化的内存管理技术表明了增长和改进的机会。 此外,为增量第一原则设计的编译器可以促进 IDE 和代码编辑软件领域的生产力和用户体验的提高。
最后,虽然持续改进 LS 的现状至关重要,但是否会很快组建正式的管理机构或联盟仍不确定。 此外,JetBrains 等公司的持续努力或开源倡议等协作计划表明了对开发和推广包容性和可访问技术的承诺,为编码环境的更光明的未来铺平了道路。
这是文本的简化版本:
商业运输船队主要由油轮(约三分之一)和集装箱船(三分之二)组成。 第二次世界大战期间,美国油轮损失惨重,导致修建了被称为“大英寸”和“小大英寸”的长距离管道。 这些运输方式仍然存在。 商业航运的效率依赖于与鲸鱼生存类似的因素,例如快速装卸、港口相距较远以及缺乏重大威胁。 鲸鱼和商业航运都是从全球市场发展而来,需要能够轻松大量处理的货物。 管道、水道和码头设施是商业航运的基本要求。 第二次世界大战期间,美国陆军航空队和商船队的劳动力大致相当。 然而,由于多次发生事故,机组人员伤亡较多,尤其是轰炸机机组人员。 消息来源表明,轰炸机机组人员拥有自己的飞机,但在不同群体之间共享或分配飞机的做法各不相同。 随着时间的推移,随着替代者的加入,工作人员也发生了变化。 伤亡率显示,空军伤亡人数超过7万人,占总兵力的四分之三。 与此同时,近 250,000 名平民担任商船船员,向海外运送重要物资,造成 9,521 人丧生——比任何其他军事部门的人员伤亡都要多。 因此,这两项服务的规模看起来相当。 此外,在第二次世界大战期间,美国制造了约 300,000 架战斗机,其中包括约 35,000 架轰炸机。 虽然没有明确的由单个机组人员操作的飞机数量,但估计表明,与商船相比,它们可能相当于或更多。 此外,在训练中死亡的飞行员人数超过 15,000 人,表明这两个行业之间存在类似的风险。 总体而言,尽管在具体细节上存在差异,但商业航运和战时航空在劳动力需求、船舶特征和操作危险方面可以得出相似之处。
Wealthfolio 是一个简单的、基于桌面的投资跟踪器。 您的财务数据安全地存储在您自己的计算机上 抛弃电子表格,忘记那些烦人的订阅费,并且不再担心 SaaS 服务会滥用您的数据。
感谢您的评论,只是一些背景信息:- 该应用程序是一个简单的桌面应用程序,可在 macOS、Windows 和 Ubuntu 上运行。- 我根据自己的需要开发了这个应用程序。 厌倦了 SaaS 应用程序订阅和隐私问题。- 目前,活动是手动记录的或从 CSV 文件导入。 没有与 Plaid 或其他平台集成。- 目前没有盈利计划(如果您使用并欣赏该应用程序,只有“请我喝杯咖啡”)。