MemeData

每日HackerNews RSS

在Active Directory中禁用RC4的课程 Lessons in disabling RC4 in Active Directory (2021) 3 天前

## Active Directory 中 RC4 的教训最近一起事件凸显了禁用 Active Directory (AD) 中的 RC4 加密的复杂性。虽然 RC4 已被证实存在密码学漏洞，但其移除可能会导致问题，因为 RC4 在 AD 从 NTLM 身份验证过渡期间发挥了独特的历史作用。最初，AD 需要一种方法来无缝迁移用户从 NTLM 到 Kerberos，而无需更改密码。RC4 填补了这一空白，因为它不需要盐值——更强加密（如 AES）所需的随机值。这使得 AD 能够使用现有的密码派生密钥，而无需修改。然而，禁用 RC4 强制使用 AES，而 AES *确实* 需要盐值。当系统依赖于使用不正确的盐信息生成的密钥文件（存储预派生密钥的文件）时，就会出现问题，这通常是由于用户名更改或自定义域配置造成的。一位客户在禁用 RC4 后经历了广泛的身份验证失败，因为他们的密钥文件使用的盐值已过时。根本原因通常源于初始域控制器设置，即在建立正确的领域之前，第一个域管理员帐户的盐值被派生。虽然 RC4 并非理想选择，但其移除需要仔细的规划和密钥文件配置的验证，以避免破坏身份验证。

一个黑客新闻的讨论围绕着一篇2021年的文章，详细介绍了在Active Directory中禁用过时的RC4加密算法的挑战。用户指出，禁用弱密码学可能导致系统无法使用，凸显了一个核心问题：系统*就是*它所做的，即使这意味着依赖不安全的方法。对话涉及潜在的故意后门，引用了有关NSA影响技术标准以维持可利用性的报告。几位评论员对Active Directory中继续使用极其古老的加密算法（如MD4）表示惊讶，并指出其安全基础主要建立在90年代和2000年代初，此后一直在逐步修补。一位用户简洁地将情况总结为“画蛇添足”。该讨论链接到一篇关于“Kerberoasting”的相关文章，这是一种从Active Directory提取凭据的技术。

反对社交媒体的理由比你想象的更充分。 The case against social media is stronger than you think 3 天前

## 社交媒体对政治影响的论证 – 摘要卡尔·霍克纳回应了丹·威廉姆斯认为人们对社交媒体负面影响政治的担忧被夸大的观点，认为对社交媒体的负面评价可能被*低估*了。虽然他同意威廉姆斯的一些观点，但霍克纳专注于政治极化，认为这并非衡量危害的唯一标准。威廉姆斯指出，政治极化早于社交媒体，在非用户（老年人）中增长最快，在广泛使用社交媒体的国家/地区之间存在差异，并且在个体层面的实验中影响微乎其微。霍克纳反驳说，这些证据的结论性不如表面上看起来，引用了有限的数据以及“溢出效应”问题——社交媒体通过媒体报道、家庭等方式影响那些*不*直接使用它的人。霍克纳提出了一种“精英激进化”理论：社交媒体激励情绪化的极端内容，赋予一类政治影响者权力，他们放大愤怒并重塑政治话语。这不一定*增加*党派极化，但会加剧愤怒和不信任，可能削弱党派认同，并导致更动荡的政治格局。证据表明，社交媒体与极端行为（抗议、仇恨犯罪）的增加相关，即使情感极化保持稳定。霍克纳得出结论，即使社交媒体并非极化的唯一原因，其对政治的破坏性影响——通过日益增长的极端主义和不信任来证明——也需要认真对待，并超越淡化其风险。

维皮 vs. 麦当劳：汉堡之战 Wimpy vs. McDonald's: The Battle of the Burgers 3 天前

## 英国汉堡故事：威姆比 vs. 麦当劳威姆比酒吧于1954年登陆英国，最初代表着一种现代、便捷的战后享受——带有明显英国特色的正式感所呈现的美国风味。由J. Lyons and Company率先推出，它们迅速普及，以实惠的价格提供汉堡，以及鱼和香肠，在一个让英国人适应新的餐饮习惯的环境中。到1971年，500家门店蓬勃发展，被视为英国的创新。然而，1974年麦当劳的到来引发了一场文化冲突。威姆比在很大程度上被呈现为国家机构——英国传统美食的继承者——而麦当劳则被描绘成对英国本土食物传统（如炸鱼薯条和酒吧）的威胁，象征着美国全球化。人们对公司化、标准化服务以及对进口食材的依赖表示担忧，甚至包括土豆和洋葱。尽管受到批评，麦当劳凭借其更广泛的吸引力和大量投资获得了发展。这引发了公众辩论，并最终导致了“汉堡抵制！”等抗议活动以及具有里程碑意义的“麦乐 libel” 审判，凸显了人们对企业力量的焦虑以及英国食物身份认同的流失。汉堡的故事最终反映了英国不断变化的餐饮环境中，拥抱便利与保护文化遗产之间更广泛的紧张关系。

这次黑客新闻的讨论围绕着一篇比较温皮汉堡和麦当劳汉堡的文章，引发了怀旧的回忆和对快餐业态的观察。许多评论者回忆起温皮汉堡曾经是英国备受喜爱的机构，将其堂食服务与麦当劳专注于外卖，现在是外卖和配送形成了对比。虽然温皮汉堡在英国、南非和澳大利亚仍有少量门店，但其影响力已显著减弱。对话还涉及相关话题：“麦当劳诽谤案”——麦当劳与绿色和平组织抗议者之间的一场旷日持久的法律斗争——以及20世纪80年代美国文化对英国的影响日益增强。一些用户哀叹温皮汉堡和小厨师等英国连锁店的衰落，认为这是消费者偏好改变的结果。其他人则分享个人轶事和地区差异，例如爱尔兰的“Burger Star”和“Supermacs”。最终，这个帖子突显了对过去快餐时代的一种喜爱之情。

WhoBIRD 已在认证的 Android 设备上停止支持。 WhoBIRD is now deprecated on certified Android devices 3 天前

## whoBIRD：鸟叫声识别应用 whoBIRD 是一款离线 Android 应用，利用 BirdNET 项目实时识别超过 6000 种鸟类的叫声。它完全在设备上运行，非常适合在没有互联网连接的偏远地区使用。该应用分析音频输入（通过设备麦克风或 USB），并显示检测到的鸟类名称，提供查看详细观察记录、备份数据以及调整降噪和检测灵敏度等设置的选项。 **重要提示：** 由于 Google Play 商店的新政策，从 2026/2027 年起将要求开发者身份验证，whoBIRD 在此之后将不再与认证的 Android 设备兼容。如果您喜欢这款应用，请考虑通过 [email protected] 支持开发者。该应用需要 Android 12+ 版本，并采用 GPLv3 许可。

开源维护者说“不”指南 An open-source maintainer's guide to saying “no” 3 天前

维护成功的开源项目需要对项目管理有深刻理解——即使是好的想法，也要懂得拒绝。成功不在于功能数量，而在于与用户产生共鸣的清晰愿景。项目的核心理念必须明确记录，以吸引志同道合的贡献者并简化开发流程。大型语言模型的出现使情况变得复杂，它们可以快速生成代码，但往往缺乏对项目目标的上下文理解。维护者现在面临着更高数量的低质量贡献，需要进行大量的审查。诸如在提交拉取请求之前要求创建问题，或使用“contrib”模块来处理核心范围之外的功能等策略，可以有所帮助。最终，维护者必须记住合并代码会产生持续的责任。优先考虑贡献者的深思熟虑的参与和直接沟通至关重要。虽然大型语言模型是工具，但一种深思熟虑、精益求精的方法——优先考虑高质量的讨论和哲学上的严谨性——对于构建真正伟大的开源项目和培养强大的社区仍然至关重要。对共同愿景的承诺，如MCP项目所展示的那样，是将实用性与持久影响力区分开来的艰苦工作。

## 作为开源维护者说“不” 一则Hacker News讨论集中在开源维护者在决定是否接受贡献时面临的挑战。核心问题是：即使设计良好、技术上合理的功能，也并非总是合适的。维护者经常需要拒绝请求，以维护项目的核心愿景，避免范围蔓延，并管理维护开销。对话强调了随着LLM的兴起，代码变得“廉价”，导致更频繁、潜在考虑较少的贡献。许多评论员强调，维护者没有义务接受更改，即使来自忠实用户，并且分支允许贡献者追求自己的愿景。分享的经验表明，贡献者不尊重项目边界会令人沮丧，更糟糕的是，他们的想法被维护者实现却没有得到认可。最终，讨论强调了维护者清晰地阐明项目理念，并乐于说“不”以保护其工作的长期健康和重点的重要性。它也承认了维护项目所付出的个人代价，有时长达数年，这源于奉献而非外部回报。

感知年龄 Perceived Age (2024) 3 天前

## 时间流逝的变迁我们体验时间是主观的，并且这种感知会随着年龄的增长而发生巨大变化。正如费尔南多·佩索阿所说，真正*感受*就是每时每刻都不同——重温昨天仅仅是回忆，而非体验。这与童年时期看似无尽的夏天逐渐让位于成年后加速的节奏相吻合。这不仅仅是一种感觉；研究表明，我们的大脑实际上以不同的方式感知时间。年轻的大脑，因新奇体验而充满多巴胺，会拉伸时间。随着年龄的增长，多巴胺水平随着新奇感的降低而下降，导致岁月变得更短。我们的大脑在皮层下估计时间，并且像兴奋剂或抑郁症这样的因素会直接影响这种感知。重要的是，我们可以影响这一点。寻求新的体验——学习、旅行、挑战自我——可以对抗时间缩短的感觉。这与通过与“回忆高峰”相关的初次体验来塑造身份有关。理解时间是一种可塑的结构，受神经生物学和心理学塑造，这令人鼓舞。与其被动地看着时间飞逝，我们可以通过拥抱变化并优先选择充满新事物的生活来主动*延长*它，即使——尤其是——在人生的后期。

科学家们正在重新思考SARS-CoV-2的免疫影响。 Scientists are rethinking the immune effects of SARS-CoV-2 3 天前

启用 JavaScript 和 Cookie 以继续。

## 重新思考SARS-CoV-2与免疫一篇《英国医学杂志》(BMJ)的文章正在Hacker News上引发关于SARS-CoV-2长期免疫效应的争论。讨论的中心是已被证伪的“免疫债务”假说——即封锁期间减少了疾病暴露导致免疫系统减弱，随后更容易感染疾病。许多评论员认为“免疫债务”不科学，指出其源于有缺陷的研究，并且被方便地用作结束新冠预防措施的理由。他们强调，病毒实际上可能*耗尽*免疫防御，类似于麻疹，而不仅仅是需要“锻炼”。对话涉及免疫记忆的复杂性、通过暴露（如疫苗）建立免疫力与持续“挑战”之间的区别，以及长期免疫破坏的可能性。一些人认为最初的假设本身并非不科学，而是被政治化利用，而另一些人则强调严格的科学证据比“常识”解释更重要。该帖子还强调了对错误信息以及有偏叙述影响公共卫生讨论的担忧。

RIP pthread_cancel RIP pthread_cancel 3 天前

Curl 8.16.0 版本尝试使用 `pthread_cancel()` 提升性能，结果适得其反，现在该功能正在被移除（#18540）。目标是使用单独的线程进行 `getaddrinfo()`（DNS 解析），以防止在长时间的名称查找过程中阻塞主 curl 进程。然而，使用 `pthread_cancel()` 取消线程导致了内存泄漏。问题在于 `glibc` 处理 `getaddrinfo()` 的方式及其与 `/etc/gai.conf` 文件的交互。在 `getaddrinfo()` 内部读取文件时进行取消会导致分配的内存成为孤儿，并且这种情况可能会反复发生。开发者认为，在 `glibc` 的设计中可靠地防止这些泄漏过于复杂且对于一个如此常用的库来说是不可接受的。他们选择恢复到可能在 `getaddrinfo()` 上阻塞，而不是冒着内存泄漏的风险。需要非阻塞 DNS 解析的用户建议使用 `c-ares`，但它可能无法提供 `glibc` 的全部功能。

## Hacker News 讨论：pthread_cancel 终结与 DNS 解析一场 Hacker News 讨论围绕着一篇关于 libcurl 中 `pthread_cancel` 问题的最新博文，具体与阻塞 DNS 解析相关。核心问题：取消执行 `getaddrinfo` 的线程可能导致内存泄漏，因为缺少清理程序。用户强调可靠线程取消的困难，提倡使用非阻塞 API。许多人指出跨平台缺乏标准化的、可取消的异步 DNS 解析。讨论的解决方案包括使用像 c-ares 这样的库，利用特定平台的异步 API（Windows、BSD、Android），或采用线程池。一个反复出现的主题是 POSIX 标准的历史遗留问题和复杂性，特别是关于超时和异步操作。许多人认为 DNS 解析应该作为系统服务处理，而不是在 libc 中处理，以便更好地缓存和管理。讨论还涉及线程创建开销与潜在资源泄漏之间的权衡，以及在使用线程解决方案时 fork() 兼容性的挑战。

安全的 C++ 提案已不再继续。 Safe C++ proposal is not being continued 3 天前

雄心勃勃的“安全C++”提案，旨在为C++带来类似Rust的内存和线程安全保证，已被放弃。该提案试图通过选择加入的“安全上下文”来创建C++的安全子集，允许现有代码保持“不安全”状态，同时为新的或重构的代码启用更安全的开发。然而，C++委员会优先考虑了一种不同的方法：“Profiles”（配置）。 Profiles定义了受约束的C++模式，通过*限制*现有语言特性来保证安全属性，而不是引入新的特性。这提供了向后兼容性——代码无需采用Profiles即可继续运行。虽然Profiles的范围不如安全C++全面，但被认为更实用且易于采用，解决了常见的C++陷阱，而无需强制执行完整的Rust安全模型。社区对采用Rust模型的抵制以及委员会对不那么激进的方法的偏好促成了这一决定。尽管Profiles可能提供较弱的保证和不均匀的执行，但它们代表了通往更安全的默认C++标准的一个更现实的途径。

## C++ 安全努力停滞，Rust 仍然是强有力的替代方案 “安全 C++”提案已被取消，凸显了在语言中添加强大安全功能所面临的持续挑战。虽然 C++ 委员会继续致力于“Profiles”（一种旨在逐步提高安全性的系统），但许多人认为这种方法不足以实现真正的内存安全，并且缺乏像 Rust 这样的解决方案的可组合性。一个关键问题是 C++ 社区对安全的重视程度不足，这与 Rust 强大的安全文化形成了鲜明对比。最近的 CppCon 炉边谈话中，人们对委员会的优先事项和进展缓慢表示担忧。一些人认为 Profiles 专注于为了监管目的*看起来*安全，而不是实现真正的安全。讨论还涉及替代方法，例如 scpptool 项目，该项目旨在通过静态分析实现安全，以及构建在 C++ 优势之上的更像 Rust 的语言的可能性。最终，对话强调了将安全逆向移植到像 C++ 这样复杂的语言中的困难，这使得许多人认为 Rust 是优先考虑内存安全的项目的更可行的选择。这场辩论也凸显了系统编程语言中性能、表达力和安全之间的紧张关系。

Ruby 执行 JIT 代码：幕后隐藏的机制 How Ruby executes JIT code 3 天前

## 理解 Ruby 的 JIT 编译器 (YJIT & ZJIT) Ruby 的 JIT（即时编译）编译器，例如 YJIT 和更新的 ZJIT，通过将字节码转换为本机机器码来显著提高性能。然而，这个过程比简单的替换更复杂。Ruby 在每个方法的 ISEQ（指令序列）数据结构中保留字节码 *和* 编译后的代码。`jit_entry` 字段指向可用的编译代码；否则，Ruby 将解释字节码。编译并非自动进行。方法会被分析 – 最初被解释，然后被监控 – 并且只有在达到特定调用阈值后（ZJIT 中目前是 25 用于分析，30 用于编译）才会进行编译。这段“预热”时间对于达到最佳性能至关重要。然而，JIT 编译的代码并非万无一失。它依赖于对代码行为的假设（例如，数据类型）。如果这些假设被违反（例如，当它期望整数时，调用一个将浮点数作为参数的加法方法），代码会“反优化”，恢复到解释执行以确保正确的结果。激活 `TracePoint` 调试或更改核心方法等事件也会触发反优化。这种动态方法在速度、安全性和效率之间取得了平衡，避免对很少使用的代码进行不必要的编译，并保证即使假设发生变化也能正确执行。要深入了解，请参阅“ZJIT 已合并到 Ruby 中”和 Kevin Newton 的“Advent of YARV”系列。

## Ruby JIT 编译讨论于 Hacker News Hacker News 上进行了一场关于通过即时编译 (JIT) 提高 Ruby 性能可能性的讨论。Ruby 的动态特性给 JIT 编译器带来了挑战——由于运行时代码修改，需要不断验证假设——但一些评论员指出，.NET 和 JavaScript 引擎等其他虚拟机中已有的解决方案，使用后台编译（“分层编译”）。核心争论在于 Ruby 是否能达到 JVM 的速度。许多人认为这不太可能，因为 Ruby 的设计优先考虑灵活性而非静态优化。然而，TruffleRuby 和 JRuby（在 JVM 上运行的 Ruby 实现）表明 Ruby *可以* 利用 JVM 的性能，尽管存在权衡。其他提出的想法包括 Ruby 中的一个受限制的“子语言”，禁用动态特性以方便编译，或者一种机制，向 JIT 编译器发出信号，告知代码部分具有有限的动态性。讨论还涉及 VM 快照以加快启动时间，并承认 Ruby VM 开发与 JVM 之间的巨大投资差距。