MemeData

瑞典电子政务服务源代码泄露 Source code of Swedish e-government services has been leaked 26 天前

## 瑞典电子政务平台源代码泄露威胁行为者ByteToBreach泄露了瑞典电子政务平台的完整源代码，该代码是通过对瑞典政府数字服务关键IT提供商CGI Sverige AB的重大入侵获得的。此前，维京航线也遭受了类似的入侵。泄露的数据不仅包括源代码，还包括员工数据库、API文档签名系统、Jenkins凭据以及用于侦察和利用的工具。敏感公民数据（个人身份信息数据库和电子签名文档）已被收集，并正在单独出售。攻击利用了漏洞，包括完全入侵Jenkins、Docker逃逸和SSH密钥枢纽。ByteToBreach直接指责CGI的基础设施导致了此次泄露，批评将事件归咎于第三方的倾向。源代码正在被免费发布，对瑞典的数字基础设施构成严重风险。

好的主色：如何选择图像的主要颜色 Okmain: How to pick an OK main colour of an image 26 天前

## Okmain：为您的卡片提供更好的背面颜色许多应用程序使用单一颜色来表示卡片的背面，该颜色基于其图像，通常是通过将图像缩小到单个像素并使用该颜色来实现。然而，这经常导致颜色暗淡、浑浊。为了解决这个问题，作者开发了 **Okmain**，一个 Rust 库（带有 Python 封装器），用于从图像中提取具有视觉代表性的颜色。 Okmain 通过在 **Oklab 颜色空间** 中使用 **颜色聚类**（使用 K-means，最多四个聚类）来改进简单的调整大小——这是一种感知上统一的空间，可以避免 sRGB 平均值的浑浊感。然后，它根据像素数量、图像内的中心位置（权重偏向中心）和颜色 **色度**（饱和度）对这些聚类进行排序。性能至关重要，因此 Okmain 会对图像进行降采样并利用自动矢量化的优化。作者还尝试使用 LLM 代理来辅助开发，发现它对初始草稿和调试很有帮助，但最终需要手动完善关键的、对性能敏感的代码。 Okmain 可以在大约 100 毫秒内从多兆像素图像中提取主色调，并且可在 crates.io 和 PyPI 上获取。

## Okmain：选取主图像颜色 - 总结这个Hacker News讨论围绕一个新的Rust库“okmain”，它被设计用来智能地从图像中选择一个代表性颜色。作者解决了简单方法（如简单地平均像素颜色）的常见问题，通过使用感知色彩空间和将图像降采样到最多25万像素以提高性能。最初来自设计师的反馈赞扬了这种方法，但也提出了对潜在性能问题（RAM使用、速度）和处理不受信任的图像的固有风险（PNG炸弹）的担忧。作者澄清该库*确实*进行了降采样，从而减轻了一些性能方面的担忧，并承认在使用图像编解码器时需要谨慎，建议与libvips等库集成以进行流式处理。对话探讨了替代方法，包括随机采样、降采样到单个像素（尽管被认为是一种权宜之计），以及利用现有的工具，如ImageMagick。最终，作者承诺构建一个命令行界面，以便更轻松地测试和使用，认识到易于使用的工具的价值。核心要点是，虽然找到“最佳”颜色很复杂，但okmain比更简单的方法有了显著的改进。

塞诺，无需互联网访问即可浏览网页。 Ceno, browse the web without internet access 26 天前

Ceno是一款免费的手机浏览器，即使在互联网连接中断或被切断的情况下，也能让你访问和分享网络信息。借助其他用户，Ceno帮助你绕过互联网审查。已有566,565名用户加入。

## Ceno 浏览器：摘要 Ceno 是一款旨在绕过审查的浏览器，尤其适用于伊朗等互联网访问受限的地区。它并非提供*无需*互联网的浏览，而是通过利用去中心化网络来访问被屏蔽的网站。与 Tor 不同，Ceno 不专注于匿名性。它通过两种方式运作：一是通过“注入器”（Ceno 运行的服务器）直接获取内容，二是通过“公共”模式，搜索其他 Ceno 用户通过 BitTorrent 分享的网页缓存副本。“个人”模式则用于私密浏览，仅使用注入器。人们对缓存受版权保护的材料可能引发的法律问题以及恶意内容注入的风险表示担忧。虽然浏览器使用来自注入器的签名内容来验证真实性，但用户仍然需要信任 Ceno 的基础设施。该项目受到 Freenet 平台的启发，并最初基于该平台构建。最终，Ceno 旨在提供一种在面对审查时访问网络的方式，但需要互联网连接才能运行。

标本图库 – CC0 透明标本 PNG，按分类学组织 Specimen Gallery – CC0 transparent specimen PNGs organized by taxonomy 26 天前

标本图库浏览上传标本图库一个开放源代码、CC0许可的自然标本图库——免费使用、贡献和扩展。浏览 94+ 标本上传白尾鹿 Odocoileus virginianus 银柱仙人掌 Cylindropuntia echinocarpa 莫哈韦丝兰 Yucca schidigera 窄叶蓼 Rumex hymenosepalus 曼扎尼塔熊果仙人掌 Opuntia basilaris basilaris 红穗花 Emilia fosbergii 七星瓢虫 Coccinella septempunctata 马达加斯加鼠妇 Armadillidium nasatum 环颈鹦鹉 Psittacula krameri 查看所有标本标本图库——开放源代码自然历史标本关于 · 上传指南 · 条款 · 开源

## 标本库：一个 CC0 透明 PNG 图像库 **specimen.gallery** 是一个旨在解决寻找现成、透明 PNG 格式的生物体（动物、植物、真菌）图像用于设计和教育目的的新项目。创建者在遇到付费图库、许可问题以及带有背景的图像后构建了它。该库目前托管约 90 张 CC0（公共领域）图像，按科学分类法组织，并利用 Rails 8、Postgres、Fly.io 和 Cloudinary 进行背景移除。开发者正在积极寻求贡献者和反馈。讨论强调了潜在的改进，包括：用于验证和编辑权限的用户帐户、规范化的元数据字段（性别、年龄）以及用于 SEO 的透明度网格。创建者正在平衡贡献的简易性与可用性的丰富元数据，并且已经使用 GBIF 的分类法 API 来获取物种名称。虽然目前优先考虑 PNG 格式以获得通用支持，但正在考虑提供 WebP 作为一种选择。 [网站 & 代码](https://specimen.gallery) & [Github](https://github.com/chispainnov/specimen-gallery)

桶坐终于结束了。 Bucketsquatting is finally dead 26 天前

多年来，一种名为“桶抢占”（bucketsquatting）的安全问题一直困扰着AWS S3，攻击者可以注册已删除的桶名称并可能访问敏感数据。这是因为S3桶名称是全局唯一的，并且经常遵循可预测的模式（例如包含区域）。AWS现在发布了一个解决方案：新的桶命名命名空间。新的格式要求在桶名称中包含您的AWS账户ID和区域 – `<yourprefix>-<accountid>-<region>-an`。这确保了只有*您*才能创建具有该名称的桶，从而防止抢占。AWS强烈建议对所有新桶使用此命名空间，并允许组织通过策略强制执行。虽然这不能保护现有的桶，但数据可以迁移到新创建的、具有命名空间的桶中。其他云提供商，如Google Cloud和Azure，具有不同的架构，可以缓解此特定风险，Google利用域名验证进行桶命名。这个新的命名空间是确保AWS S3存储安全的重要一步。

全球人行道乐趣：为社区增添趣味。 Worldwide Sidewalk Joy: Adding whimsy to neighborhoods 26 天前

如果你正在创建谜题图书馆、免费小艺术画廊、种子交换或其他“人行道上的快乐”地点，并且需要保持内部物品干燥，那么你需要考虑防水问题。以下是我多年来学到的一些技巧，以保护你的“人行道上的快乐”地点免受炎热、雨水、雪和冰的侵袭！

一个黑客新闻的讨论围绕着“全球人行道上的快乐”(worldwidesidewalkjoy.com)，强调为社区增添乐趣的小型、社区主导的倡议。用户分享了例子，例如在美国加利福尼亚州伯克利和明尼苏达州明尼阿波利斯发现的“狗狗木棍图书馆”——装满木棍供小狗们享用的盒子。对话还涉及小型免费图书馆和免费艺术交换箱，一位评论员指出这些活动培养了社区意识，并且是纯粹经济追求的积极替代方案。一位怀旧的用户回忆起邻居们过去经常在傍晚户外社交的时光，希望通过这些异想天开的补充方式能够重燃类似的联系。也有人担心由于谷歌地图引擎停用，追踪这些地点的地图可能会丢失。总的来说，这个帖子表达了对这些小型社区建设行为的赞赏。

在transformers中执行程序，实现指数级更快的推理。 Executing programs inside transformers with exponentially faster inference 26 天前

不要错过未来 Never snooze a future 26 天前

## Async Rust 中的“休眠”错误本文深入探讨了 Async Rust 中一个微妙但关键的错误：**休眠 (snoozing)**。与取消或饥饿不同，休眠发生在 future 准备好继续执行，但未被轮询 (poll) 的情况下，导致挂起和死锁——最近的“Futurelock”问题就是一个例子。作者认为休眠*几乎总是*一个错误，源于按引用轮询 future 的模式（例如使用 `select!` 或 `poll!`）而不是拥有它们。核心问题是，当一个任务轮询一个 future，然后在其完成或销毁之前继续执行，使其“休眠”并无法释放资源（例如锁）。这类似于在持有锁的情况下暂停线程，这是传统线程编程中一种已知的反模式。提出的解决方案包括使用 owned future（通过像 `join_me_maybe` 这样的 crate）来避免引用，以及可能修改 `Stream` trait 以确保取消安全性。一个关键的结论是，为开发者提出的规则：**避免在 async 函数中处理 `Pin<_>` 值**，因为 pinning 通常表明 future 没有被拥有，并且容易受到休眠的影响。最终，防止休眠需要仔细设计 async 代码，并专注于拥有而不是借用 future。

一个 Hacker News 的讨论集中在 Rust 异步编程模型中潜在的陷阱，特别是关于 `select!` 宏及其与锁等并发原语的使用。一个关键论点是 `select!` 无法被编译器可靠地检查，导致微妙的错误。用户建议使用 `race` 和 `ConcurrentStream` 等替代方案以提高可靠性。对话强调了 Rust 的协同并发与 Go 的抢占式并发之间的区别。在 Rust 中，持有锁的函数可能会无限期休眠，而不会被运行时中断，这与 Go 不同，Go 会保证计划的休眠时间。一个核心要点是，将协同并发与锁结合起来可能会引入难以调试的问题。有人建议避免在异步点持有锁，而另一些人指出即使在多线程执行器中也需要锁。讨论还涉及问题是出在 Rust 本身、其异步特性还是周围的库中。

失落的《神秘博士》剧集被发现 Lost Doctor Who episodes found 26 天前

最近重新发现的经典电视剧《神秘博士》剧集“噩梦的开始”，被粉丝誉为“圣杯”。这些剧集遗失了几十年，提供了罕见的机会，得以一窥该剧早期、快节奏的制作过程——一个没有后期制作的“工厂流程”。恢复的故事讲述了博士为受伤的同伴寻求帮助，导致与达雷克及其与马维克·陈的联盟发生对抗，他们正在策划征服地球。博士设法偷走了一个关键部件，但发现自己被追赶到惩罚星球德斯佩鲁斯。 4月4日在伦敦举行的一次特别放映会，与在BBC iPlayer上的发布同时进行，预计将非常受欢迎，一位粉丝宣称它将超越格拉斯顿伯里音乐节的销量。这次发现对长期观众来说意义深远，提供了与童年记忆的强烈联系。

## 丢失的《神秘博士》剧集被发现 - 摘要最近新闻报道发现了经典英国科幻系列剧《神秘博士》的两集 ранее 丢失的剧集。这引发了关于众多其他失踪剧集命运的讨论，许多剧集据信被私人收藏家持有，他们担心因拥有原本 intended 用于销毁的东西而受到起诉。评论员强调了恢复和修复这些剧集的挑战，并指出数字复制技术的进步使粉丝团体能够修复旧胶片拷贝。然而，法律问题和英国广播公司有时 inflexible 的档案内容发布方式仍然是障碍。一些人建议匿名归还或在线上传，而另一些人则指出英国广播公司囤积内容的倾向，而没有使其易于获取。一个 recurring 主题是完成《神秘博士》档案的愿望，一些人建议人工智能重建作为一种可行但备受争议的解决方案。讨论还涉及原始录音与人工智能重制品的历史和艺术价值，以及保护和访问经典电视的更广泛问题。

显示HN：全球海上战略要道 Show HN: Global Maritime Chokepoints 26 天前

启用 JavaScript 和 Cookie 以继续。

一个黑客新闻的讨论围绕着一篇展示全球海上战略要道（ryansook.org）的文章展开。用户们正在讨论这些要点的战略重要性以及潜在的替代方案。一位评论员指出基尔运河可以绕过丹麦海峡。另一位则提出了一个推测性且有争议的观点，即最近的地缘政治事件，特别是关于伊朗的事件，是否是故意设计用来通过扰乱全球贸易路线来鼓励本地化生产。这引发了一句不屑的回应，质疑特朗普是否事先了解此类基础设施。最后，一位用户建议创造新的航道，以提供替代的航运路线，为系统增加冗余。这场讨论凸显了全球贸易对关键海上地点的破坏的脆弱性。

每日HackerNews RSS