MemeData

美国情报部门表示，伊朗政府目前没有倒塌的风险。 US intelligence says Iran government is not at risk of collapse 20 天前

请启用 JavaScript 并禁用任何广告拦截器。

WebPKI 与您 WebPKI and You 20 天前

## HTTPS 安全的复杂与缺陷十多年来，推动使用 HTTPS 加密网络流量旨在保护用户免受监控和安全威胁。然而，支撑这种安全性的系统——WebPKI（公钥基础设施）——却出乎意料地脆弱且存在诸多问题。 WebPKI 依赖于证书颁发机构 (CA) 来验证网站身份，但这些 CA 在复杂的政治和经济环境中运作，常常将利润置于安全之上。最近的事件，例如 Entrust 延迟撤销有缺陷的证书以及微软发布数百万个带有无效声明的证书，凸显了系统性问题：响应时间慢、难以准确跟踪证书以及缺乏问责制。该系统进一步复杂化于不同的证书验证级别（DV、OV、EV）以及证书撤销方法面临的持续挑战。虽然证书透明度和 ACME（自动化证书管理）等解决方案存在，但它们并非万无一失。最终，当前系统往往偏向于证书颁发者和订阅者的便利性，而非普通用户的安全。需要改进，包括更严格的 CA 法规、增加审计以及转向为内部系统使用私有 CA。虽然个人用户权力有限，但提高意识并要求 CA 和浏览器开发者采取更好的实践对于加强网络安全至关重要。

## Hacker News 上关于 WebPKI 的讨论最近 Hacker News 上的一场讨论，源于 brycekerley.net 上一篇关于 WebPKI 的文章，围绕着当前系统的复杂性和潜在改进展开。关键点包括使用 Let's Encrypt 颁发与 IP 地址绑定的短期证书的可能性，即使没有域名，并利用 STUN 服务器动态发现代理后的公共 IP。然而，对话很快深入到对 PKI 生态系统内权力集中的担忧。用户担心浏览器厂商同时充当证书颁发机构 (CA)，可能导致单个实体（例如 Google）控制 Web 证书颁发的情况。 CA/浏览器论坛 (CABF) 的作用也受到了辩论，一些人认为它缺乏实际权力，因为浏览器最终决定信任策略——苹果缩短证书有效期就是一个例子。另类的 CA 系统，例如 satproto.org，也被提及，它们为 PKI 提供了不同的方法。这场讨论突出了信任、控制以及 Web 安全不断变化的现状方面的问题。

伊朗支持的黑客声称对医疗技术公司斯特莱克发动了擦除攻击。 Iran-backed hackers claim wiper attack on medtech firm Stryker 20 天前

全球医疗技术公司史赛克（Stryker）正面临一起由伊朗黑客组织Handala发起的重大网络攻击，该组织与伊朗情报机构有关联。该组织声称对史赛克在79个国家/地区的超过20万个系统进行了数据擦除攻击，导致办公室关闭，并使超过5000名爱尔兰员工被遣回家。 Handala声称，此次攻击是通过微软Intune的远程擦除功能执行的，是对近期美国在伊朗的一次导弹袭击的报复。他们篡改了登录页面，并声称拥有被盗数据。虽然史赛克尚未完全详细说明损失程度，但报告显示系统广泛中断和设备被擦除，影响了通信并可能影响供应链。此次攻击已经造成破坏，一家美国医疗保健提供商报告称无法订购史赛克的 surgical supplies（手术用品）。安全专家警告说，这可能会升级为全国医院更广泛的供应链问题。调查正在进行中，美国医院协会正在监测情况，以评估其对美国医院运营的潜在影响。

你死后会发生什么？ (2016) What Happens After You Die? (2016) 20 天前

启用 JavaScript 和 Cookie 以继续。

石油价格尽管达成释放创纪录储备的协议，仍达到每桶100美元。 Oil hits $100 a barrel despite deal to release record amount of reserves 20 天前

## 油价上涨，尽管已释放储备尽管主要国家协调一致地从战略储备中释放创纪录的4亿桶石油，但周四油价仍大幅上涨，突破每桶100美元。涨价是由涉及伊朗的紧张局势加剧推动的，包括对霍尔木兹海峡（全球能源供应的关键水道）的船只袭击。伊朗警告称油价可能达到每桶200美元，并指责美国和以色列造成地区不稳定。尽管国际能源署的释放具有历史意义，但专家认为，只要供应风险持续存在，这只能是权宜之计。油价上涨正在影响全球燃料成本，菲律宾、泰国和越南等国正经历加油站排长队的情况。一些国家正在实施节能措施，例如政府工作居家政策和缩短工作周，以减轻影响。在美国和以色列最近对伊朗的空袭之后，全球市场仍然动荡。

关于内存压力、锁竞争和数据导向设计 About memory pressure, lock contention, and Data-oriented Design 20 天前

## 从冻结到快速：性能深度剖析本文详细介绍了优化 Matrix Rust SDK 中房间列表的过程，最初该列表受到看似随机的冻结和显著性能问题的影响。问题源于使用 `VectorDiff` 表示变更的反应式流处理系统中的低效排序。初步调查显示，排序过程中存在过多的内存分配（322,042 次分配！），导致明显的延迟——在移动设备上高达 5 分钟。根本原因被确定为排序算法中频繁的锁竞争和内存压力，特别是由于重复访问房间数据。一项关键的优化是采用**数据导向设计 (DoD)** 方法，将频繁访问的房间数据整合到一个 `RoomListItem` 结构体中。这减少了锁获取次数并提高了缓存利用率。结果非常显著：**执行时间提高了 98.7%，吞吐量提高了 7718.5%**。进一步调查发现了一个在优化过程中引入的微妙错误，涉及浅克隆和 `VectorDiff::Set`，该错误也已解决。本文强调了理解计算机体系结构（CPU 缓存、内存访问）以及在优化之前优先考虑正确性的重要性，展示了 DoD 在实现显著性能提升方面的力量。

## 黑客新闻讨论总结：性能调优与数据导向设计最近黑客新闻上的一场讨论，源于一篇关于内存压力和锁竞争的博文（mnt.io），围绕着经常被忽视的勤奋性能调优的重要性展开。用户分享了经验，强调即使在“低垂的果实”之外，通过精细的优化也能实现显著的性能提升——有时甚至能达到10倍的改进。对话强调，虽然专业知识有帮助，但固执和专注的努力才是关键。一个共同的主题是，看似微小的问题，例如冗余的数据库查询或排序算法中效率低下的比较器，会产生令人惊讶的影响。一个例子详细描述了通过去重查询和改善数据局部性而实现的10倍加速。许多评论者抱怨，现代计算机科学教育往往淡化了实际的性能调优，而更侧重于抽象和框架。他们提倡更深入地理解计算机体系结构和低级优化技术。一个关键的收获是将代价高昂的操作从热路径上移开，例如缓存排序输入以减少锁竞争和缓存未命中。最终，讨论强调优化并非总是必要的，但当性能影响用户时，忽视性能是一个严重的错误。

国土安全部合同浏览器 – 行业合作办公室被盗数据 DHS Contracts Explorer – Hacked data from the Office of Industry Partnership 20 天前

州地图气泡大小代表总奖金额公司公司合同总奖金总义务合同奖金编号公司项目阶段奖金类型开始结束奖金州

## DHS 合同数据泄露摘要一份包含6,681个申请美国国土安全部（DHS）合同的组织的数据集，从行业合作办公室泄露。虽然最初被认为是*所有* DHS承包商的列表，但讨论澄清该数据具体涉及由DHS科技司管理的合同，侧重于与私营部门创新者的合作。泄露的数据并不包含所有DHS合同，一些评论员指出与USAspending.gov等网站上公开的合同信息存在差异。争论的中心在于这些信息*是否*应该公开，一些人认为应该通过FOIA请求轻松获取。此次泄露引发了关于政府支出的讨论，并举例说明了授予名称看似简单的公司的大额合同，以及可疑的研发投资（例如，一项价值82.5万美元的项目，旨在利用人体热量为急救人员夹克供电）。该列表还包括加州大学圣地亚哥分校和南加州大学等大学。该事件引发了对DHS数据安全性的质疑，特别是考虑到该机构在生物识别数据管理方面的作用。

挑战单一职责原则 Challenging the Single-Responsibility Principle 20 天前

单一职责原则（SRP）虽然有价值，但常常被过度应用，导致系统过度碎片化和复杂化。不要无休止地解构代码，而是要专注于**最小化代码和最大化用例**——构建可重用组件以减少整体代码库大小并提高可维护性。 Quasar架构风格中的Siedersleben“血型法则”为此提供了一个有用的框架，它将组件分为： * **0型（通用）：** 高度可重用，独立于业务或技术细节（例如Lodash）。可以安全地通用。 * **T型（技术）：** 处理技术问题，可能可以开源（例如Knex）。 * **A型（领域）：** 包含核心业务逻辑。持续重构以提取可重用的代码到0型或T型。关键在于，要避免**AT型**——技术组件*使用*领域逻辑，因为这会阻碍重用性。目标是将尽可能多的功能转移到更可重用的0型和T型组中，从而获得更简洁、更具适应性的软件。

## 单一职责原则的挑战 - Hacker News 讨论总结一篇质疑严格应用单一职责原则（SRP）的文章在Hacker News上引发了讨论。核心争论在于*如何*定义“职责”，以及过度严格地遵守SRP是否会导致不必要地复杂、分散的代码库——通常被描述为“分布式单体”。许多评论者认为SRP经常被误解为应用于单个*代码行*，而不是*类/模块*，从而导致过度的抽象和间接性。几位评论者强调了“职责”的模糊性以及过早泛化的风险，提倡务实的做法，例如在简化理解和维护时复制粘贴代码。另一些人则捍卫了SRP的本意——语义上的关注点分离，而非语法上的分离——但承认它可能被滥用。一个反复出现的主题是理解领域知识的重要性，以及在SRP与其他原则（如KISS（保持简单，愚蠢）和DRY（不要重复自己））之间取得平衡。最终，共识倾向于对SRP进行细致的应用，优先考虑清晰度和可维护性，而不是严格遵守该原则。

Urea prices 20 天前

## 尿素价格与潜在粮食通胀 - Hacker News 摘要 Hacker News 的讨论集中在尿素价格上涨（一种关键的肥料成分）及其对粮食通胀的潜在影响。用户指出尿素价格与美国粮食通胀之间存在相关性，表明尿素可能是一个领先指标——尽管尚未达到 2022 年的水平。价格上涨与天然气价格有关（因为尿素生产严重依赖天然气），人们担心天然气供应中断，尤其是在西欧，可能会加剧问题。一些人指出印度近期在天然气来源和尿素采购方面的变化是促成因素。讨论还涉及肥料生产的能源密集型以及脱碳的潜力，强调了在这一过程中取代化石燃料的挑战。许多评论员讨论了全球肥料供应链的更广泛背景，以及美国、印度和中国等国家对尿素的不同依赖程度。最后，对话简要涉及地缘政治因素，例如伊朗冲突和俄乌战争对能源和肥料市场的影响。

苹果发布iOS 15.8.7更新，修复针对2015年发布的iPhone 6S的Coruna漏洞。 Apple releases iOS 15.8.7 to fix Coruna exploit for iPhone 6S from 2015 20 天前

苹果发布了针对旧设备的安全性更新，包括iPhone 6s/7/SE（第一代）、iPad Air 2、iPad mini（第四代）和iPod touch（第七代）——特别是那些无法更新到最新iOS版本的设备。这些更新解决了被“Coruna”漏洞和其他问题利用的漏洞。修复内容包括改进内存管理，以及检查以防止内核权限下的任意代码执行和处理恶意网络内容时出现的内存损坏。修复了四个特定漏洞（CVE-2023-41974、CVE-2024-23222、CVE-2023-43000和CVE-2023-43010），修复程序最初发布在iOS版本16.6、17、17.2和17.3中。苹果坚持在修复程序可用之前不公开披露安全问题的政策，更多信息可在苹果产品安全页面上找到。

每日HackerNews RSS