## React 服务器组件:发现新的漏洞 (2025年12月11日) 在上周的关键安全补丁(CVE-2025-55182)之后,React 服务器组件中发现了两个新的漏洞。重要的是,这些漏洞**不会**导致远程代码执行,并且原始补丁仍然可以有效防御该威胁。然而,**仍然建议立即升级**,因为这些新问题被认为是高危和中危。 第一个(CVE-2025-55184,高危)涉及拒绝服务——一个精心构造的HTTP请求可能导致无限循环,从而导致服务器崩溃。第二个(CVE-2025-55183,中危)允许从服务器函数中泄露潜在的源代码,特别是泄露这些函数中硬编码的密钥。 这些漏洞影响 React 版本 19.0.0 – 19.2.1,修复程序可在 19.0.2、19.1.3 和 19.2.2 中获得。受影响的框架,如 Next.js、React Router 和 Vite 也需要更新。在 monorepo 中的 React Native 用户应更新特定包。 托管提供商已经实施了临时缓解措施,但更新仍然至关重要。漏洞的详细信息将在修复程序完全推出后发布。
每日HackerNews RSS
## React 服务器组件面临新的安全问题
最近的报告详细说明了 React 服务器组件 (RSC) 中的拒绝服务和源代码泄露漏洞。这紧随上周解决的一个关键安全漏洞之后,凸显了一种模式:最初的修复会暴露进一步的问题。Cloudflare 发布了一份威胁简报,详细说明了这些风险。
核心问题源于 RSC 引入的复杂性,RSC 旨在融合服务器和客户端代码。开发者对理解代码执行位置以及底层序列化机制的不透明性表示担忧。一些人认为这种方法不必要地使开发复杂化并引入安全风险,更倾向于更简单、更分离的架构。
讨论的中心是 React 是否超出了其作为视图库的原始目的,以及 RSC 的好处是否超过了增加的复杂性和安全问题。一些开发者正在探索替代方案,如 Solid.js、TanStack Router 和 Inertia.js,这些方案优先考虑清晰的关注点分离。React 团队承认 RSC 的实验性质,并正在努力改进,但这些漏洞引发了人们对框架整体方向的质疑。
《塞尔达传说:觉醒岛》(和《塞尔达传说:过去时代》)中异常频繁的省略号(“…”及其变体)的使用,引发了关于日文游戏剧本与英文翻译中省略号用法差异的讨论。 正式英语通常使用三个点作为省略号,表示思考的中断或停顿,而日语则没有严格的标点规则,并使用“引导点”(数量不定的点),通常用于控制节奏或产生戏剧效果(“停顿”)。
这些塞尔达游戏的原始日文剧本使用了各种数量的点,甚至单个点,这并非标准用法。 然而,英文翻译几乎总是默认使用三个点,编辑有时还会*减少*来自日语版本的省略号,以创建更简洁的英文文本,从而可能改变原始的语气。
作者推测,《觉醒岛》中省略号的丰富使用可能是作者的风格选择,或者是在本地化过程中保留的特点。 最终,标点符号——即使是像省略号这样看似微小的细节——在传达细微差别方面起着重要作用,甚至会影响游戏的整体感觉,正如诸如小岛秀夫等创作者所表达的担忧。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
在英文翻译中遇到日语省略号 (2013) (legendsoflocalization.com)
34 分,由 tosh 1 天前发布 | 隐藏 | 过去的 | 收藏 | 1 条评论
corysama 1 天前 [–]
从小玩这些游戏长大,当我发现有人在网上指出我“错误”地使用了省略号时,我有点吃惊。我一直以为这是常见的做法……回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
在美国乃至全球范围内,要求在线“年龄验证”的法律正在迅速增加,尽管声称是为了保护儿童。电子前沿基金会(EFF)认为这些法律是有害的,会造成大范围的审查、监控和隐私风险,不仅对年轻人,而是对*所有*用户。 这些规定采用各种方法——从上传身份证件到面部扫描——全部收集敏感的个人数据并限制互联网访问。超过半数的美国州现在已经制定了此类法律,并且联邦层面也在考虑更多,这与英国和澳大利亚等国家的趋势相呼应。 EFF认为,年龄验证不是解决在线安全的方案,反而会破坏言论自由,阻止访问重要信息,并危及安全。他们提倡制定全面的联邦隐私法,作为一种更有效的方法。 为了应对这种情况,EFF启动了一个资源中心(EFF.org/Age),提供解释、指南和倡导工具,以了解和对抗这些规定。他们还将举办Reddit AMA和直播讨论会,以进一步吸引公众参与这一关键问题。
Hacker News 上的一场讨论围绕着一个新的资源中心展开,该中心旨在对抗年龄验证要求(链接来自 eff.org)。用户们强烈担忧,在线年龄验证并非为了保护儿童,而是政府用来控制言论和结社的欺骗性策略。
一位评论员认为,这些系统为监管在线活动提供了一个“硬编码的技术选项”,代表着那些寻求控制他人的人权力的不受欢迎的扩张。他提倡公开反对这些数字身份计划,认为它们是非法的,并且是由强迫个人意志的愿望所驱动的。该讨论链接到平台上一场先前相关的讨论。
Please provide the content you want me to translate. I need the text to be able to translate it to Chinese.
## 将高容量Postgres复制到Elasticsearch在Go中的优化 将Postgres复制槽中的数据流式传输到Elasticsearch可以提供低延迟搜索,但在高负载下会迅速使Go应用程序面临压力。 本摘要详细介绍了应对此挑战的实际服务优化方案,重点是在持续复制和有限内存缓冲的约束下保持稳定性。 主要瓶颈包括JSON序列化、内存分配和垃圾回收。 切换到`jsoniter`而不是标准库的`encoding/json`,通过减少反射和更快的编码/解码显著提高性能——但需要仔细测试行为差异。 `sync.Pool`对于重用频繁分配的对象(结构体、缓冲区)至关重要,可以减少GC压力。 最后,利用实验性的Green GC(Go 1.25+)可以以略高的内存使用量为代价,换取更平滑的性能和更低的延迟峰值。 但是,GC调优在优化分配和序列化*之后*效果最佳。 最终的架构采用有界队列、高效的数据转换与池化、快速的JSON编码器以及调整后的Elasticsearch批量索引。 这种方法确保服务跟上数据库的变化,避免无限制的缓冲,并有效地利用资源。
SVG(可缩放矢量图形)提供了一种令人惊讶的强大且持久的方法来分享科学研究,超越了简单的图像。作者强调了它们创建完全交互式环境以伴随研究论文的潜力——允许读者在浏览器中直接探索数据、重新运行实验和操纵参数。 一个来自2004年的个人项目,一个嵌入在单个SVG文件中的真菌网络数据可视化,至今仍然完美运行,展示了这种格式的卓越持久性。SVG通过客户端处理实现这一点,只需要一个静态Web服务器进行分发,并且可以轻松地与版本控制(溯源)和数据许可(权限)集成。 这种方法与Anil的知识系统“四大P”——持久性、溯源、权限和位置——相符,并利用浏览器计算能力的显著提高,有可能在SVG文件中托管整个数据分析流程,从而促进研究的轻松共享和重组。它为Jupyter/Marimo笔记本和其他交互式平台提供了补充。
## 黑客新闻讨论:SVG 的持久力量
最近一篇黑客新闻帖子强调了 SVG(可伸缩矢量图形)作为一种强大的网络开发格式,即使在 20 年后仍然具有令人惊讶的相关性。Recoil.org 上的原始文章引发了关于 SVG 能力超越简单可视化的讨论。
用户分享了利用 SVG 的个人项目,包括舞蹈编排软件(StageKeep)和带有交互式 Web UI 的烧烤控制器。虽然有些人注意到复杂 SVG 可能存在的性能问题以及内联脚本带来的安全问题,但另一些人则赞扬了它的可移植性、清晰的渲染效果和持久性。
对话涉及了 canvas 和 PDF 等替代方案,但许多人认为 SVG 结合了矢量图形和 JavaScript 交互性,仍然是独一无二的。 许多评论者对使用 SVG 进行数据可视化和交互式研究论文表示兴奋,并指出它有潜力创建自包含的可探索内容。 SVG 消毒和压缩工具也被提及,以及对其图灵完备性的提醒。 总而言之,该帖子展示了对 SVG 作为一种“无聊技术”的重新认识,它能够提供强大且持久的网络体验。
System76,一家Linux电脑和Pop!_OS发行版开发者,正在庆祝其20周年,并取得重大进展:发布了搭载全新COSMIC桌面环境的Pop!_OS 24.04 LTS。经过三年的开发,COSMIC代表着超越他们先前潜力的突破。 这不仅仅是一次更新,而是一个为开源社区构建的完整桌面环境,旨在模块化、适应性强,并鼓励进一步创新。System76 将COSMIC视为未来20年Linux桌面演进的基础。 Pop!_OS 24.04 LTS完全通过System76硬件销售资助,现已可用,现有22.04 LTS用户的升级将于2026年1月推出。CEO Carl Richell鼓励用户探索COSMIC并为Linux桌面的未来做出贡献。
## Pop!_OS 24.04 与 COSMIC 桌面:总结
经过 значительный 开发期,Pop!_OS 24.04 LTS 搭载 COSMIC 桌面环境已发布。用户反馈体验良好,称赞其稳定性和窗口堆叠等功能(类似于浏览器标签页)。 许多评论者已将 COSMIC 作为日常驱动,欣赏其平铺窗口管理和整体生产力。
讨论中既有赞扬也有担忧。 一些人认为 COSMIC 是 GNOME 和 KDE 的一种令人耳目一新的替代方案,而另一些人则指出缺乏自定义选项。一个反复出现的主题是该项目的潜在寿命,因为它由一家公司(System76)支持。
此次发布还引发了关于 Wayland 开发的争论,一些人希望 COSMIC 的影响能够推动目前因 GNOME 项目内部的意识形态冲突而受阻的协议。 用户还讨论了 Pop!_OS 对 Nvidia 用户的优势及其作为“去bloatware化”Ubuntu 体验的潜力。
最终,此次发布被视为一个重要里程碑,提供了一种现代且可能引人入胜的 Linux 桌面体验。
拉里·里布斯,一位50多岁的波兰吉他手,是位于芝加哥湖景酒吧的常驻乐队“夜巡者”的核心人物。他和贝斯手劳尔·查巴里亚和鼓手吉尔伯特·坎乔拉一起,演奏各种风格的音乐——从布鲁斯和爵士乐到乡村和摇滚乐——以满足酒吧多元化、国际化的顾客。
湖景酒吧是社区的一处地标,尽管人口结构变化和城市似乎一心追求现代化,但它仍然顽强地存在着。“夜巡者”并不追求名利,而是靠小费和忠实的观众为生,即使观众不多。拉里那把装饰着水钻和复古铬的定制吉他,反映了酒吧饱经沧桑、略显褪色的昔日辉煌。
每位音乐家都拥有丰富的经历——劳尔的墨西哥裔美国人成长经历,吉尔伯特的爵士乐根源,以及拉里自己60年代摇滚乐坛的旅程——所有这些都在这个不起眼的场所汇聚。他们见证了潮流的兴衰,但仍然提供舒适、朴实无华的氛围,一片抵御变革潮流的旧芝加哥。尽管时间很晚,有时房间里空无一人,“夜巡者”仍然坚持演奏,一次一首歌地延续着音乐。
这场 Hacker News 的讨论围绕着 1999 年《芝加哥读者报》的文章“彻夜证明”(Prove It All Night),探讨了音乐家在缺乏名誉或财富的情况下,继续演奏的动力。许多评论者,通常是音乐家本人,分享了相关的经历。
一个共同的主题是在舞台上发现的令人惊讶的*安全感*——一个可以感受到社会价值而不受典型互动压力影响的空间。几位评论者提到多年来在翻唱乐队中演奏,建立本地粉丝群,以及演奏带来的纯粹*乐趣*,即使“一举成名”不切实际。另一些人强调了音乐*社群*的重要性以及与他人一起创作的乐趣。
对话涉及现场音乐环境的变化,一些人希望随着人们渴望超越屏幕的感官体验,现场音乐能够复兴。最终,许多人认为激情和演奏音乐本身的内在回报就足够了,无论外部认可或经济成功如何。关键在于尽可能长时间地做一些令人愉快的事情,在行动本身中找到满足感。
Rivian 最近在其首次自动驾驶和人工智能日上详细介绍了其在汽车自动驾驶和人工智能领域领先的雄心勃勃的计划。其战略核心是自我改进的“大型驾驶模型”,它通过持续的数据循环实现,旨在通过强化学习达到 4 级自动驾驶——最终实现“无需目视”驾驶。
目前的第二代车主将在 2024 年在超过 350 万英里的已测绘道路上获得“通用免提”驾驶功能。展望未来,“Autonomy+” 将于 2026 年推出,一次性费用为 2500 美元或每月订阅费用为 49.99 美元。
这些功能的基础是“Rivian Unified Intelligence”(Rivian 统一智能),一个连接所有车辆系统的综合数据平台。这将实现预测性维护、更智能的诊断,以及一款将于 2026 年推出的新型人工智能语音助手,即使在 R2 上也能离线运行。Rivian 还将其人工智能集成到其服务流程中,为技术人员提供更快、更准确的维修工具,并最终使客户能够进行增强的自我诊断。
## Rivian 新技术与自动驾驶计划 - 摘要
Rivian 最近发布了定制硅芯片、R2 激光雷达路线图以及“通用免手动驾驶”辅助驾驶系统。这在 Hacker News 上引发了讨论,主要集中在自动驾驶的未来及其商业模式。
一个关键要点是可能转向**自动驾驶订阅**,将自动驾驶能力与保险捆绑在一起。这解决了开发、支持和潜在责任的持续成本,随着车辆越来越自动化。虽然消费者可能不欢迎,但它似乎比持续免费更新更可持续。
评论员们争论了 Rivian 的芯片战略,质疑鉴于其目前的财务状况以及 AMD 和 Nvidia 等成熟芯片制造商的专业知识,这是否是一项值得的投资。有猜测 Rivian 旨在将其技术授权给其他汽车制造商,从而可能成为关键供应商。
尽管发布了技术公告,但 Rivian 的股价下跌,可能源于投资者对其执行能力和专注于经济实惠的 R2 车型表示担忧。缺乏 Android Auto/CarPlay 支持仍然是许多潜在买家的一个痛点。最终,这场讨论凸显了不断发展的汽车领域中技术、商业模式和消费者需求之间的复杂相互作用。
## 斯诺登档案项目:XKEYSCORE 分析初步发现
该项目系统性地审查泄露的斯诺登文件,旨在揭示此前未报道的细节。第一部分重点关注一份2009年的美国国家安全局培训演示文稿,详细介绍了XKEYSCORE系统——用于分析计算机网络渗透(CNE)或主动黑客攻击的数据。尽管该文件于2015年由《拦截》发表,但文件本身鲜有进一步分析。
审查揭示了重大的情报行动。值得注意的是,美国国家安全局积极监视中国北方工业公司(Norinco),一家主要的国防承包商,访问其电子邮件基础设施并跟踪联系人。 监视还针对墨西哥联邦执法部门,监控与贩毒集团活动相关的情报报告,并入侵了伊朗海关和铁路系统中的一台计算机。
该文件还暴露了一个被错误地未删除的美国国家安全局分析师用户名(“cryerni”),并突出了此前未知的项目代号,如TURBOCHASER和TUCKER。 它展示了先进的功能,例如通过FOGGYBOTTOM植入物捕获加密前网络流量,分析Windows注册表数据以及多语言键盘记录。
这项分析强调了斯诺登档案中未开发的丰富情报,以及详细、系统性审查的重要性,尽管存在文件质量差等挑战。该项目预计将于2026年中至后期完成。