一位安全研究人员向Okta的`nextjs-auth0`项目报告了两个漏洞,包括一个关键的OAuth参数注入漏洞,可能导致账户被劫持。一个简单的补丁作为拉取请求(PR)提交,但却被Auth0的一名员工意外关闭,理由是存在一个更高优先级的PR (#2413),旨在确保提交签名。 然而,研究人员发现新的提交错误地将他们的工作归功于一个不存在的人(“Simen Olsen”),这是维护者使用AI重新整理提交造成的。此外,为此错误的道歉*也由AI生成*。尽管有要求,维护者拒绝更正提交历史,引发了对版权侵权的担忧。 研究人员还强调了报告初始漏洞的令人沮丧的经历,因为Okta要求提供漏洞利用的视频证据,才能将其确认为安全问题。截至目前,署名错误仍未更正。
## Astral操作系统上的Minecraft:一个里程碑
将游戏移植到自制操作系统表明了它的成熟度,Astral OS的作者最近取得了一个重要里程碑:成功运行Minecraft。这并非易事,由于Minecraft依赖Java、OpenGL和各种Java库,需要克服许多挑战。
该项目始于移植OpenJDK 17和LWJGL2(一个Java游戏库),面临代码腐坏和构建系统复杂性等挫折。修复操作系统libc中与格式字符串处理相关的错误对于再次运行Java至关重要。移植LWJGL2涉及对其构建系统的广泛修补。
调试生成的Minecraft构建版本揭示了进一步的问题——缺少符号和与OpenJDK中文件处理相关的错误。解决这些问题需要在Astral的libc中进行修复,并调整LWJGL构建过程以确保正确使用头文件。
最终,这些努力促成了一个可玩版本的Minecraft Alpha 1.2.0,这是业余操作系统开发的首例,并为其他人提供了宝贵的资源。Astral未来的计划包括继续改进可用性、发布自托管指南,以及恢复Wine和WebKitGTK的移植工作。
## 重新思考地外文明搜寻
人类在太空中的持续存在已达25年,促使我们反思超越地球的不断扩张的雄心。然而,我们相对较短的太空探索历史——自加加林飞行以来仅65年——强调了在考虑比我们古老得多的文明的潜在发展时需要谨慎。
布鲁克斯等人的最新研究挑战了SETI(地外文明搜寻)中固有的以人类为中心的偏见。研究人员认为,我们可能忽略了信号,仅仅是因为我们在寻找*我们*会创造的东西。相反,他们建议研究地球上的非人类交流——特别是萤火虫复杂的闪烁模式——以识别信号设计的普遍原则。
萤火虫通过优化信号结构而非语义内容,在嘈杂的背景下有效地进行交流。将这一概念应用于SETI,该研究模拟了一个外星文明如何在诸如脉冲星之类的天体物理“噪声”中创建可检测的信号,优先考虑独特性和能源效率。研究结果表明,应该关注结构特性——例如信号持续时间和频率——而不是试图破译含义。
这种“结构驱动”的方法鼓励更广泛、更少以人类为中心的搜索策略,可能增加我们识别真正外星信号的机会,即使我们不理解它。
## f32:超紧凑的ESP32开发板
f32是一款非常小的ESP32-C3开发板,尺寸仅为9.85mm x 8.45mm,设计用于直接连接到USB-C端口。它最初是作为研究项目和设计挑战而创建的,有意通过省略标准设计元素(如适当的退耦和天线匹配)来突破界限。
f32具有一个连接到板载LED的单个外露GPIO,最适合WiFi/Web开发。提供了一个 captive portal 应用程序,将板子变成一个接入点,允许用户通过网页界面与基本功能(如LED控制和WiFi扫描)进行交互。
最初的连接问题通过向芯片天线添加一个简单的手工焊接的天线来解决,在视线清晰的测试中实现了大约120英尺的范围。PCB由PCBWay制造,五块板子的成本仅为10.75美元,并使用助焊剂和热板/热风枪手动组装。
虽然功能完备,但f32有意“极简”,作为实验平台,潜在的改进包括外露GPIO和改进的天线设计。