VCMI是《英雄无敌III》的一个开源引擎,提供新的和扩展的可能性。要使用VCMI,你需要拥有原始数据文件。下载 新闻 论坛 前往VCMI-Discord
每日HackerNews RSS
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
VCMI:英雄无敌3的开源引擎 (vcmi.eu)
5 分,来自 eamag 1小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## OpenRouter 广播:LLM 使用情况监控 OpenRouter 的“广播”功能允许自动将来自您 LLM 请求的详细跟踪数据发送到各种可观察性和分析平台——无需代码更改。只需在您的 OpenRouter 控制面板中启用该功能并添加您想要的目的地。 **主要特点:** * **全面数据:** 跟踪数据包括请求/响应数据、token 使用量、成本、时间、模型信息和工具使用情况。 * **定制化:** 使用 `user_id` 和 `session_id` 丰富跟踪数据,以获得更好的上下文。按 API 密钥过滤跟踪数据,并调整每个目的地的采样率以管理数据量和成本。 * **安全性:** 凭据已加密,并且跟踪数据传输是异步的,确保不会增加延迟。 * **组织支持:** 管理员可以配置共享目的地,以实现团队范围内的统一可观察性。 **当前支持的目的地:**(请查看控制面板以获取最新列表) **即将推出:** Arize, AWS Firehose, Clickhouse 等更多。 有关 Langfuse、LangSmith、Datadog 等目的地的详细操作指南已提供。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
OpenRouter 广播 (openrouter.ai)
7点 由 Topfi 1小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
启用 JavaScript 和 Cookie 以继续。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录
为什么没人谈论 React2Shell? (elenacross7.medium.com)
9 分,skilldeliver 发表于 35 分钟前 | 隐藏 | 过去 | 收藏 | 3 条评论
diath 发表于 3 分钟前 | 下一个 [–]
> 我和大多数开发者交流,他们甚至都没听说过 React2Shell。
我没尝试把一个过度工程的前端框架的糟糕特性塞进后端,所以没听到这个名字。
回复
seabrookmx 发表于 20 分钟前 | 上一个 | 下一个 [–]
我们的网络扫描和包扫描都检测到了这个。
恕我直言,如果你在公共互联网上托管服务器端渲染的 React,现在才听到这个,那就是你的技术问题。
回复
gnabgib 发表于 24 分钟前 | 上一个 [–]
HN 上没人提吗? (624 分,267 条评论) https://news.ycombinator.com/item?id=46136026
回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 用于增强SaaS安全性的分片:摘要 现代SaaS平台面临“全面”数据泄露的风险,影响大量用户。因此,一个关键的安全原则是**爆炸半径降低**——设计系统以限制任何单一泄露的影响。本文重点介绍了**分片**,即将数据划分为分区,作为实现这一目标的关键策略。 分片最初是一种可扩展性技术,现在越来越被认为是安全控制。有效的分片不仅仅是数据*如何*分割,而是*怎样*分割。传统方法按租户、地理位置或产品进行分片。然而,**Mimir的“按用户访问分片”模型**提倡将分片与实际的安全边界对齐——谁被授权查看什么。 该模型采用结构和密码隔离相结合的方式,确保服务器即使被攻破,也永远不会拥有足够的信息来访问超出用户权限的数据。它利用客户端加密和限定在访问域内的密钥,将泄露的影响限制在特定分片。 最终,分片,特别是与零信任原则相结合,将重点从周界安全转移到以数据为中心的保护,将潜在的灾难性泄露转化为有界且可审计的事件。首席信息安全官应根据最大泄露单位以及向审计员展示这些保证的能力来评估其架构。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
分片以控制数据泄露的爆炸半径 (mimirsec.com)
6 分,由 jboutwell 1小时前发布 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## Common Lisp 加载与系统:总结 Common Lisp 的文件处理和代码加载可能令人困惑,这源于其历史和妥协。标准定义了使用“名称字符串”和“路径名”的基本文件访问,但代码加载依赖于 `LOAD`,其行为在不同实现中有所不同。编译为 `.fasl` 文件可以加速加载,通过预解析代码实现。 除了标准之外,像 ASDF 和 Quicklisp 这样的工具简化了依赖管理。ASDF 定义了“系统”——本质上是库——并处理加载依赖项。系统不是 Lisp 的核心特性,而是一种组织 `LOAD` 和 `COMPILE-FILE` 调用方式。Quicklisp 建立在 ASDF 之上,增加了从互联网下载系统的能力。 重要的是,Common Lisp 使用 **包 (packages)** 作为符号的命名空间,与系统分离。一个好的做法是使用 ASDF 的 `package-inferred-system` 功能,让文件直接定义包,从而简化系统定义。 对于项目设置,将你的代码目录符号链接到 `~/.local/share/common-lisp/source` 允许 ASDF 找到你的系统。Quicklisp 管理外部依赖项,并且像 `~/quicklisp/local-projects` 这样的中心位置可以容纳 Quicklisp 本身中找不到的依赖项。 为了更深入的理解,建议研究 ASDF 和 Quicklisp 的源代码。
一个 Hacker News 的讨论围绕 Common Lisp 的打包问题,特别是 ASDF 和 Quicklisp。虽然 Quicklisp 是事实上的标准包管理器,但一些用户认为它相较于 OCICL 和 CLPM 等替代方案显得过时(后者据报道已损坏)。
一个主要的争论点是 Quicklisp **缺乏依赖版本管理**。用户目前依赖预定义的发行版,但无法轻松指定依赖的版本范围(例如“大于 X”)。一个建议的解决方法是在代码中手动检查版本。
许多新手发现 ASDF(包加载机制)和 Quicklisp(一个包装器 *和* 包管理器)之间的关系令人困惑。讨论强调了 Lisp 打包系统的复杂性,一些用户选择 Racket 等语言,因为它们具有更好的文档和依赖管理。链接的文章旨在为那些在 Common Lisp 打包方面遇到困难的人澄清这些概念。
受够了谷歌地图上带有偏见的餐厅推荐,数据科学家劳伦·利克构建了一个机器学习模型,分析了大伦敦地区的每家餐厅。这个项目演变成对数字平台如何影响地方经济的调查,揭示了一个“算法市场”,餐厅的可见度极大地影响其成功。 利克的分析表明,谷歌地图不仅仅*反映*受欢迎程度,而是通过排名信号主动*塑造*它——相关性、距离,以及关键的“显著性”(基于评论、品牌认知度和网络可见性)。这为成熟的企业和连锁店创造了累积优势,而新的独立餐厅则面临“冷启动”问题。 为了量化这一点,利克开发了一个模型,根据结构特征预测预期的评分,从而识别出表现高于或低于算法预期的餐厅。这些数据被可视化在一个公共仪表板上,允许用户发现“被低估的瑰宝”。进一步的分析绘制了伦敦的“餐厅生态系统强度”,揭示了烹饪多样性的不均衡分布,通常与移民模式和可负担性相关联。 最终,利克认为像谷歌地图这样的平台拥有巨大的经济影响力,因此有必要对排名算法进行透明化和可审计性,作为地方经济政策问题。
最近的 Hacker News 讨论围绕一篇 Substack 文章,探讨了谷歌地图的算法如何影响伦敦餐厅的可见性,并最终影响它们的生存。作者抓取了伦敦所有餐厅的数据,分析了谷歌地图排名如何形成一个反馈循环,偏袒已经受欢迎的商家。
评论者们争论谷歌地图的影响程度。一些人认为它对游客至关重要,但对依赖个人经验的本地人来说则不然。另一些人强调了在大城市中存在的“发现问题”,那里选择众多,使得像谷歌地图这样的平台至关重要。一个主要的不满是谷歌地图倾向于优先考虑连锁店,而忽略较小的本地企业,这可能是由于算法偏差或付费推广造成的。
一些用户赞扬了这个项目,并表示有兴趣在自己的城市复制它,而另一些人则批评了作者的观点,认为排名是任何搜索引擎服务的固有属性。一个共同的主题是,人们对算法在塑造本地市场和控制信息获取方面所拥有的集中力量感到担忧。
## VoxCSS:一个基于CSS的3D体素引擎
VoxCSS是一个轻量级的JavaScript库,使用CSS变换直接在DOM中创建3D体素艺术。它通过堆叠网格层渲染HTML长方体,提供了一种在没有WebGL的情况下构建3D场景的简单方法。
主要特性包括对颜色、纹理、交互控制的支持,以及像剔除和体素合并这样的性能优化。你可以使用体素数组定义场景,指定坐标、形状(立方体、斜坡、楔形、尖峰)、颜色和纹理。
VoxCSS与框架无关,可以与Vue、React、Svelte或纯JavaScript无缝协作。专用的组件,如`<VoxCamera>`和`<VoxScene>`简化了集成。它还包含一个内置的解析器,用于加载MagicaVoxel (.vox) 文件。
性能通过仅渲染可见面,并可选地将相邻体素合并成更大的元素来管理,这对于复杂的场景尤其有益。 了解更多信息并探索示例,请访问[voxcss.com](voxcss.com) 或通过npm安装:`npm install @layoutit/voxcss`。
VoxCSS 是一个新兴的 JavaScript 库,因其独特的方法处理体素图形而在 Hacker News 上受到关注。与依赖 WebGL 的传统 3D 引擎不同,VoxCSS 直接在 DOM 中构建体素场景。
用户称赞其令人惊讶的自然 API、易于设置以及适用于小型场景,例如登录页面的艺术设计或 UI 动画。尽管最初对性能持怀疑态度,但评论员报告即使在 iPhone 等移动设备上也能获得流畅的响应,并在 VoxCSS 主页 ([https://voxcss.com/](https://voxcss.com/)) 上展示了示例。
该项目被描述为小众且时尚,填补了开发者希望获得体素效果但又不想使用更复杂的 3D 框架的空白。它似乎是一个真正有用且性能良好的工具,已经超越了一个简单的副项目。
虽然软件工程缺乏*普适*规则,但许多原则几乎如此——例如,优先使用组合而非继承,或避免冒泡排序。然而,即使是这些“规则”也有例外。令人惊讶的是,冒泡排序,通常被认为效率低下,*可以*是有用的。 对于非常小的数组,冒泡排序优于快速排序等更复杂的算法,使其成为混合排序策略中的潜在优化方案。更独特的是,英伟达的研究表明冒泡排序在特定硬件上具有优势。 然而,其最具吸引力的用例在于游戏开发。冒泡排序快速、易于中断的步骤以及朝着有序状态的稳定进展,非常适合需要严格帧率限制内的增量排序场景——例如,根据距离对渲染对象进行排序,在这种情况下,*一定程度的*排序比没有排序更好。 此外,还存在一个利基应用,用于可视化动画排序过程,尽管更高效的预计算和动画方法可能更受欢迎。 最后,作者强调了对Quanta Magazine关于元复杂性的文章的贡献,该贡献源于对计算困难问题的讨论。
## 冒泡排序:令人惊讶的实用案例
这次Hacker News讨论探讨了臭名昭著的低效冒泡排序算法在某些情况下可能成为可行选择的情景。虽然通常性能不如更高级的排序方法,但由于其简单性和独特属性,冒泡排序在特定领域有应用。
许多评论员强调了它在游戏开发中对小型精灵列表进行排序的用处,优先考虑流畅的动画而非绝对性能。其“随时”算法特性——随着时间的推移提供越来越排序的结果——对于可能被中断的实时系统来说很有价值。
其他用例包括在暴力搜索期间增量排序数据,数据集非常小的情况(在这种情况下,常数因子比大O复杂度更重要),以及资源受限的环境,例如代码大小最小化至关重要的微控制器。有时它也被用作比较其他排序算法的基准。
讨论还涉及理解*何时*理论效率让步于实际考虑因素,例如代码简单性、内存使用情况以及正在排序的数据的特定特征的重要性。
美国国务卿马科·鲁比奥指示所有国务院通讯恢复使用Times New Roman字体,推翻了他前任安东尼·布林肯在2023年将Calibri设为标准字体的决定。布林肯选择Calibri是为了方便视力障碍人士阅读。 鲁比奥认为恢复使用Times New Roman——一种更传统的衬线字体——有助于提升“专业”形象,并称Calibri是一种“浪费”的多元化举措。这项变化于12月10日生效,反映了特朗普政府更广泛地撤销政府内部多元化、公平和包容性计划的努力。 Calibri的设计师卢卡斯·德格鲁特表达了既好笑又失望的心情,指出该字体是专门为现代屏幕可读性而设计的。国务院发言人将此次更改解释为旨在呈现“统一、专业的形象”,这与最近的一些决定如出一辙,例如用纪念特朗普总统生日取代了马丁·路德·金日和解放日免费入园活动。
最近一则新闻讨论了马可·鲁比奥参议员指示将官方文件从 Calibri 字体改回 Times New Roman,理由是“浪费”。Hacker News 的讨论迅速演变成对字体偏好和政治讽刺的评论。
许多评论者对最初切换到 Calibri 表示难以置信,有人认为这是不了解 Word 字体选项的人的默认选择。 还有人开玩笑说可能会有更糟糕的选择,比如 Comic Sans。 有人指出,衬线字体对患有阅读障碍的人来说更易读。
一些用户承认,他们会使用浏览器工具(如 Inspect Element)或扩展程序(如 Refont)主动更改网站上的字体,以提高可读性。 讨论还涉及对美国政治更广泛的批评,一些人认为字体更改是一种微不足道、虚假的残忍行为。 还有一个指向先前关于同一主题讨论的重复链接也被分享。
## 对 Gemini 3 Pro 付费的沮丧 作者尝试使用 Google 的 Gemini 3 Pro 为新的 React 项目进行 LLM 辅助编码,希望自动化样板代码。然而,仅仅*付费*获取访问权限就出乎意料地困难。 Google 支离破碎的“Gemini”生态系统——包括聊天机器人、应用程序、AI 功能以及 Gemini Code Assist、Jules 和 Antigravity 等多种编码工具——立即造成了困惑。与 Anthropic 和 OpenAI 简单的支付选项不同,Google 缺乏一个明确的“立即购买”按钮来获取其编码助手。 这个过程涉及浏览迷宫般的 Google Cloud Console,创建结算帐户,用照片 ID 验证身份(具有特定且未说明的文件格式要求),并忍受多个验证步骤。即使在成功关联支付方式后,访问最初也被 403 错误阻止,需要进一步的、未解释的帐户恢复。 最终,在投入大量时间后,Gemini 3 Pro 开始运行。然而,作者认为这个复杂的过程凸显了 Google 更关注大型组织而非个人开发者,并质疑 Gemini 3 Pro 的好处是否值得与更适合开发者的替代方案相比。