一位安全研究人员向Okta的`nextjs-auth0`项目报告了两个漏洞,包括一个关键的OAuth参数注入漏洞,可能导致账户被劫持。一个简单的补丁作为拉取请求(PR)提交,但却被Auth0的一名员工意外关闭,理由是存在一个更高优先级的PR (#2413),旨在确保提交签名。 然而,研究人员发现新的提交错误地将他们的工作归功于一个不存在的人(“Simen Olsen”),这是维护者使用AI重新整理提交造成的。此外,为此错误的道歉*也由AI生成*。尽管有要求,维护者拒绝更正提交历史,引发了对版权侵权的担忧。 研究人员还强调了报告初始漏洞的令人沮丧的经历,因为Okta要求提供漏洞利用的视频证据,才能将其确认为安全问题。截至目前,署名错误仍未更正。
每日HackerNews RSS
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Okta 的 NextJS-OAuth 问题 (joshua.hu)
58 分,由 ramimac 发表于 2 小时前 | 隐藏 | 过去 | 收藏 | 3 条评论
cedws 发表于 1 小时前 | 下一个 [–]
真有趣。几年前我在他们的 Go SDK[1] 中发现了一个类似的问题。对于一家安全公司来说,看到如此基本的错误让我感到震惊,但回想起来,这又是 Okta。
[1]: https://github.com/okta/okta-sdk-golang/issues/306 回复
DetroitThrow 发表于 22 分钟前 | 上一个 | 下一个 [–]
优先考虑出售漏洞而不是报告漏洞的安全公司最终会爆炸。祝 Okta 股东好运。回复
dovys 发表于 1 小时前 | 上一个 [–]
要么是充斥着 AI 垃圾 PR 的免费开源软件,让维护者不堪重负;要么是利用 AI 垃圾来挫败贡献者的企业开源软件。有没有我没见过的积极案例?回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式
搜索:
## Astral操作系统上的Minecraft:一个里程碑
将游戏移植到自制操作系统表明了它的成熟度,Astral OS的作者最近取得了一个重要里程碑:成功运行Minecraft。这并非易事,由于Minecraft依赖Java、OpenGL和各种Java库,需要克服许多挑战。
该项目始于移植OpenJDK 17和LWJGL2(一个Java游戏库),面临代码腐坏和构建系统复杂性等挫折。修复操作系统libc中与格式字符串处理相关的错误对于再次运行Java至关重要。移植LWJGL2涉及对其构建系统的广泛修补。
调试生成的Minecraft构建版本揭示了进一步的问题——缺少符号和与OpenJDK中文件处理相关的错误。解决这些问题需要在Astral的libc中进行修复,并调整LWJGL构建过程以确保正确使用头文件。
最终,这些努力促成了一个可玩版本的Minecraft Alpha 1.2.0,这是业余操作系统开发的首例,并为其他人提供了宝贵的资源。Astral未来的计划包括继续改进可用性、发布自托管指南,以及恢复Wine和WebKitGTK的移植工作。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 展示 HN:我的业余操作系统,可以运行 Minecraft (astral-os.org) 18 分,由 avaliosdev 3 小时前发布 | 隐藏 | 过去 | 收藏 | 3 条评论
jakemanger 2 小时前 | 下一个 [–]
“从零开始的 Astral 指南”这个想法真的吸引了我。不得不说,这将会是 DIY 电子套件到操作系统套件的一个很酷的演变。回复
phendrenad2 2 小时前 | 上一个 | 下一个 [–]
喜欢 Motif 风格的窗口边框!回复
ZebusJesus 2 小时前 | 上一个 [–]
做得很好,谢谢分享,很高兴看到有人制作业余操作系统,而且它还能玩 Minecraft!你已经工作了多久的 Astral?回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式
搜索:
关于按住版权联系我们创作者广告开发者条款隐私政策和安全性YouTube的工作原理测试新功能© 2025 Google LLC
一个黑客新闻的讨论围绕着最近发现的、被认为是J.S.巴赫的作品,并在一个视频中展示(链接已提供)。这一发现引发了关于巴赫在音乐史地位的争论,一位评论员称他为有史以来最伟大的作曲家,赞扬他将智力复杂性与情感共鸣融为一体的能力。
其他人承认巴赫在巴洛克时代的辉煌,并想知道如果他使用现代乐器能取得什么成就。然而,并非所有人都对这些新作品印象深刻;一位听众认为它们不如巴赫更成熟的作品有趣。
对话还包括对视频冗长介绍和不幸时机、无法跳过的广告的幽默评论。这场讨论突出了巴赫持久的遗产和艺术欣赏的主观性。
要使用 Mastodon 网页应用程序,请启用 JavaScript。或者,尝试为您的平台使用 Mastodon 的原生应用程序。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
BitBLT 50周年 (mastodon.sdf.org)
25 分,by todsacerdoti 4小时前 | 隐藏 | 过去 | 收藏 | 1 评论
ChrisArchitect 1小时前 [–]
祝所有庆祝BitBLT的人节日快乐 https://www.jwz.org/blog/2025/11/happy-bitblt-day-to-all-who... 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 重新思考地外文明搜寻
人类在太空中的持续存在已达25年,促使我们反思超越地球的不断扩张的雄心。然而,我们相对较短的太空探索历史——自加加林飞行以来仅65年——强调了在考虑比我们古老得多的文明的潜在发展时需要谨慎。
布鲁克斯等人的最新研究挑战了SETI(地外文明搜寻)中固有的以人类为中心的偏见。研究人员认为,我们可能忽略了信号,仅仅是因为我们在寻找*我们*会创造的东西。相反,他们建议研究地球上的非人类交流——特别是萤火虫复杂的闪烁模式——以识别信号设计的普遍原则。
萤火虫通过优化信号结构而非语义内容,在嘈杂的背景下有效地进行交流。将这一概念应用于SETI,该研究模拟了一个外星文明如何在诸如脉冲星之类的天体物理“噪声”中创建可检测的信号,优先考虑独特性和能源效率。研究结果表明,应该关注结构特性——例如信号持续时间和频率——而不是试图破译含义。
这种“结构驱动”的方法鼓励更广泛、更少以人类为中心的搜索策略,可能增加我们识别真正外星信号的机会,即使我们不理解它。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
萤火虫与脉冲星 (centauri-dreams.org)
4 点赞 by JPLeRouzic 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 建造高性能住宅:摘要 本文详细记录了在发现湾区市场不可行后,在东海岸历时多年建造高性能、节能住宅的经历。整个过程充满挑战,主要源于承包商问题以及在专业建筑技术方面陡峭的学习曲线。 作者优先考虑步行便利性,并对土地获取、建筑师和建筑商进行了细致的研究,最初依赖能源部(DOE)的资源和建议。尽管咨询了像艾米丽·莫特拉姆(Pretty Good House)这样的专家,但找到称职的团队仍然很困难。一系列沟通不畅、合同问题和质量低劣的施工困扰了整个项目——从地基工程、隔热材料安装到外墙和电气系统。 关键收获包括详细合同、彻底审查分包商以及深入理解建筑科学原理(如Manual J计算和气密性处理)的重要性。作者强烈建议不要仅仅依赖建筑商,并推荐通过Matt Risinger和Stud Pack等资源进行自我教育。 最终,房屋完工了,但并非没有经历重大的挫折和成本。作者现在计划利用这次经验来改造湾区的一处房产,并梦想着未来建造一座温室集成住宅。本文最后列出了根据经验推荐和不推荐的产品/公司清单。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
建造高性能住宅 (bulwinkle.net)
31 分,来自 pilingual 2 小时前 | 隐藏 | 过去 | 收藏 | 2 条评论
Havoc 1 小时前 [–]
很想做类似的项目。但不适用于市中心。我从未见过科技行业如此无能,也许这就是我如此天真的原因。我感觉房地产总体来说情况非常复杂,偏差远大于我所习惯的。目前正在尝试购买房产,一些声称以此为生的人表现得像是第一次与客户沟通。回复
Havoc 20 分钟前 | 父评论 [–]
重新提交/故障?时间戳显示我一小时前发布了这条评论,但这条评论看起来有 3 天了。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
免费交互式工具,展示主板上PCIe通道的工作原理。
Free interactive tool that shows you how PCIe lanes work on motherboards
3 小时前
启用 JavaScript 和 Cookie 以继续。
一个新的交互式工具,[mobomaps.com](http://mobomaps.com),可视化地展示了主板上的PCIe通道配置,在Hacker News上受到欢迎。用户称赞它对于规划组件设置非常有用,尤其是在配置多GPU等高性能硬件(特别是MI50)时。
一位用户发现该工具有助于识别兼容的AM5主板,而另一位用户则要求支持较旧的AM4主板,因为AM5和DDR5内存成本较高。讨论还涉及旧的双插槽工作站中令人惊讶的通道可用性,以及有时未充分利用的情况。
总的来说,该工具因其清晰详细地展示了PC硬件中一个复杂方面而备受赞誉,被形容为“传奇”和“令人上瘾”。它帮助用户理解PCIe通道的分配方式,并可能避免兼容性问题。
## f32:超紧凑的ESP32开发板
f32是一款非常小的ESP32-C3开发板,尺寸仅为9.85mm x 8.45mm,设计用于直接连接到USB-C端口。它最初是作为研究项目和设计挑战而创建的,有意通过省略标准设计元素(如适当的退耦和天线匹配)来突破界限。
f32具有一个连接到板载LED的单个外露GPIO,最适合WiFi/Web开发。提供了一个 captive portal 应用程序,将板子变成一个接入点,允许用户通过网页界面与基本功能(如LED控制和WiFi扫描)进行交互。
最初的连接问题通过向芯片天线添加一个简单的手工焊接的天线来解决,在视线清晰的测试中实现了大约120英尺的范围。PCB由PCBWay制造,五块板子的成本仅为10.75美元,并使用助焊剂和热板/热风枪手动组装。
虽然功能完备,但f32有意“极简”,作为实验平台,潜在的改进包括外露GPIO和改进的天线设计。
## 黑客新闻上的微型 ESP32 板项目
一位名为“pegor”的用户在黑客新闻上分享了他们的项目:创建一个具有功能性 WiFi 的极小 ESP32 板(github.com/pegork)。该项目被描述为一项实验,旨在探索板子可以做到多小。
最初的反响是积极的,评论者赞扬了文档。有人对天线设计提出了担忧,建议优先考虑更大的芯片天线和更多的 GPIO 引脚,以用于实际的物联网应用。 几位用户指出已经存在类似的小型板子,例如 LilyGo T01-C3。
Pegor 承认天线需要改进,并同意更多的外露 GPIO 引脚会增加功能。 总的来说,即使其实用性受到尺寸限制,该项目仍然被认为是一项有趣且富有洞察力的尝试。
作者:斯泰西·哈夫纳 / 斯科特·汉塞尔曼 今天,我们正在保护游戏历史上的一个重要组成部分,这与我们的内心非常接近。微软开源项目办公室 (OSPO)、Xbox 团队和动视正在以 MIT 许可证提供 Zork I、Zork II 和 Zork III。 我们的目标很简单:将具有历史重要性的代码交给学生、教师和开发人员,以便他们研究、学习,并且,也许最重要的是,玩这些游戏。
微软已经开源了经典的文字冒险游戏,Zork!消息在Hacker News上宣布,这一举动被认为是一个重要的里程碑,用户们认可了发布源代码所付出的努力。代码现在已在GitHub上可用(链接在评论中提供)。
讨论很快转向了Zork的所有权历史,指出动视收购了Infocom(原始创建者)在1980年代,而动视/暴雪现在是微软游戏的一个子公司。
一些用户表示希望这能为其他游戏引擎,比如id Tech 7,也由微软开源铺平道路。最初尝试在GitHub上查看代码时出现了一些错误,但总体反应是积极的,并且让那些记得小时候玩Zork的人感到怀旧。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
展示 HN: Rapid-rs – Rust 的零配置 Web 框架 (crates.io)
8 分,ashish_sharda 发表于 1 小时前 | 隐藏 | 过去 | 收藏 | 2 条评论
我构建 rapid-rs 是为了消除启动新的 Rust Web 服务时需要花费的数小时的样板代码。
一条命令即可获得:
- 自动配置的数据库、日志记录、CORS
- OpenAPI/Swagger UI 在 /docs
- 请求验证
- 生产就绪的可观察性
基于 Axum。初步基准测试显示,使用 10-20MB 内存可达到 ~50K req/s。
这是 v0.1 - 欢迎反馈!
Crates: https://crates.io/crates/rapid-rs
koakuma-chan 11 分钟前 [–]
Axum 包装器的氛围代码
aaronblohowiak 5 分钟前 | 父评论 [–]
非常精简,如果想创建大量的 Rust 微服务,这很好吧。
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索: