#linux https://www.youtube.com/watch?v=bS9em7Bg0iU
查了下我一共有1275个二进制使用了 Lempel–Ziv–MArkov chain(xz算法),近4k个文件包含了依赖
各种7zip 支持格式的跑分: https://morotti.github.io/lzbench-web/?dataset=monitorware/maillog&machine=desktop#results
但不清楚有多少个需要root,这些文件属于523个包,包含 apt;dbus-daemon;pulseaudio;putty;gvfs;gdb;Xorg 和近30个systemd-*; GNOME服务
for f in /{bin,lib64}/*; do ldd 2>&1 $f|grep liblzma.so && echo $f ; done |grep '^/' >1
xargs <1 pacman -Qo|cut -d' ' -f3|sort|uniq >2查了下我一共有1275个二进制使用了 Lempel–Ziv–MArkov chain(xz算法),近4k个文件包含了依赖
各种7zip 支持格式的跑分: https://morotti.github.io/lzbench-web/?dataset=monitorware/maillog&machine=desktop#results
但不清楚有多少个需要root,这些文件属于523个包,包含 apt;dbus-daemon;pulseaudio;putty;gvfs;gdb;Xorg 和近30个systemd-*; GNOME服务
YouTube
Linux got wrecked by backdoor attack
A popular compression library called XZ Utils was recently backdoored by a hacker which compromised Linux distros like Debian, OpenSUSE, Fedora, and Kali. Learn how the liblzma hack happened who is behind it.
#programming #linux #thecodereport
💬 Chat…
#programming #linux #thecodereport
💬 Chat…
Forwarded from 螺莉莉的黑板报
关于 ffmpeg 发推公淦的事情,我目前的完整观点如下:
0. 我不抵触开源和自由软件,这当中也有成功的例子,Blender 和 Linux 都混得风生水起,在他们的成功中,项目运营能力起着至关重要的作用。
1. 任何一个项目的经营都不是单凭技术水准就能撑起来的,找不到钱其直接原因是稀烂的运营,这是一种无能。
2. 开源项目的 Donation 模式在本质上是一种商业谈判,讨价还价是一种博弈,讨不来是你的问题不是给钱人的问题。
3. 开发者在私下抱怨和用官方账号公淦有着本质性的区别,商业谈判破裂,就以官方身份在推特上公淦婊甲方,不仅是一种无能狂怒,也是一种非常幼稚的行为。
4. 道德指责是最羸弱的一种攻击方式,这叙事方式要是搁学术界估计要被 Editor 永久拉黑了,make something sound and continue the discussion。
5. 自由软件界和开源软件作者没必要摆出一副受害者的姿态,大型开源软件带来的生态位和话语权是与劳动对等的收益,至于你有没有用好它是你的问题,很明显有些人有有些人没有。
6. 不懂钱就不要指望会得到钱,这不是彩虹小马的异想世界。
0. 我不抵触开源和自由软件,这当中也有成功的例子,Blender 和 Linux 都混得风生水起,在他们的成功中,项目运营能力起着至关重要的作用。
1. 任何一个项目的经营都不是单凭技术水准就能撑起来的,找不到钱其直接原因是稀烂的运营,这是一种无能。
2. 开源项目的 Donation 模式在本质上是一种商业谈判,讨价还价是一种博弈,讨不来是你的问题不是给钱人的问题。
3. 开发者在私下抱怨和用官方账号公淦有着本质性的区别,商业谈判破裂,就以官方身份在推特上公淦婊甲方,不仅是一种无能狂怒,也是一种非常幼稚的行为。
4. 道德指责是最羸弱的一种攻击方式,这叙事方式要是搁学术界估计要被 Editor 永久拉黑了,make something sound and continue the discussion。
5. 自由软件界和开源软件作者没必要摆出一副受害者的姿态,大型开源软件带来的生态位和话语权是与劳动对等的收益,至于你有没有用好它是你的问题,很明显有些人有有些人没有。
6. 不懂钱就不要指望会得到钱,这不是彩虹小马的异想世界。
Forwarded from 前端工具鏈沒有說的秘密 (Pig Fang)
Medium
New Flow Language Features for React
Write Safer and more Succinct React with Flow
Forwarded from Solidot
FFmpeg 7.0
2024-04-06 13:09 by 蓝色骇客
开源多媒体框架 FFmpeg 释出了代号 Dijkstra 的 v7.0,距离上一个大版本号更新约 1 年 1 个月。主要新变化包括:实验性的原生 VVC 解码器,IAMF 支持,多线程 ffmpeg CLI 工具等。该版本不向后兼容,移除了 6.0 版本前标记为弃用的 API,构建代码将需要 C11 兼容的编译器。本周值得一提与 FFmpeg 项目相关的一件事情是,一位微软开发者报告了一个 bug,希望开发者将其作为高优先级尽快修复,并表示愿意提供一次性的数千美元作为赞助费。FFmpeg 开发者认为如果微软项目依赖于 FFmpeg,那么应该签订一个长期支持合同。其他微软开发者指出,在微软签订合同是相当繁琐的,而微软内部有一个选择开源项目一次性资助数千美元的投票,急于修复代码的微软工程师可能认为后者更方便。
https://ffmpeg.org//index.html#pr7.0
https://news.ycombinator.com/item?id=39912916
#开源
2024-04-06 13:09 by 蓝色骇客
开源多媒体框架 FFmpeg 释出了代号 Dijkstra 的 v7.0,距离上一个大版本号更新约 1 年 1 个月。主要新变化包括:实验性的原生 VVC 解码器,IAMF 支持,多线程 ffmpeg CLI 工具等。该版本不向后兼容,移除了 6.0 版本前标记为弃用的 API,构建代码将需要 C11 兼容的编译器。本周值得一提与 FFmpeg 项目相关的一件事情是,一位微软开发者报告了一个 bug,希望开发者将其作为高优先级尽快修复,并表示愿意提供一次性的数千美元作为赞助费。FFmpeg 开发者认为如果微软项目依赖于 FFmpeg,那么应该签订一个长期支持合同。其他微软开发者指出,在微软签订合同是相当繁琐的,而微软内部有一个选择开源项目一次性资助数千美元的投票,急于修复代码的微软工程师可能认为后者更方便。
https://ffmpeg.org//index.html#pr7.0
https://news.ycombinator.com/item?id=39912916
#开源
🦄1
Forwarded from Hacker News
The xz sshd backdoor rabbithole goes quite a bit deeper (🔥 Score: 156+ in 3 hours)
Link: https://readhacker.news/s/65xe9
Comments: https://readhacker.news/c/65xe9
Link: https://readhacker.news/s/65xe9
Comments: https://readhacker.news/c/65xe9
X (formerly Twitter)
blasty (@bl4sty) on X
the xz sshd backdoor rabbithole goes quite a bit deeper. I was just able to trigger some harder to reach functionality of the backdoor. there's still more to explore.. 1/n
Forwarded from Hacker News
Is the frequency domain a real place? (Score: 152+ in 9 hours)
Link: https://readhacker.news/s/65xNn
Comments: https://readhacker.news/c/65xNn
Link: https://readhacker.news/s/65xNn
Comments: https://readhacker.news/c/65xNn
lcamtuf’s thing
Is the frequency domain a real place?
The discrete Fourier transform is vital to electronics, signal processing, and radio -- but we're reading too much into what it means.
Forwarded from Solidot
Kodi 21.0 “Omega” 释出
2024-04-06 23:10 by 造星主
开源媒体中心项目 Kodi 释出了代号为 Omega 的 v21.0 版本。主要变化包括:支持 FFmpeg 6.0,支持 NFSv4,支持读写 M3U8 播放列表,支持 AVIF 图像,改进 Linux 平台的 AudioEngine,Linux 平台支持透传格式如 DTS-HD 和 TrueHD,等等。其它还有改进 VAAPI VP9 Profile 2 回放支持,改进 PipeWire 支持,改进 Android 平台的杜比全景声检测等等。更多信息可浏览 GitHub 上的发布公告。
https://github.com/xbmc/xbmc/releases/tag/21.0-Omega
https://kodi.tv/download/
#开源
2024-04-06 23:10 by 造星主
开源媒体中心项目 Kodi 释出了代号为 Omega 的 v21.0 版本。主要变化包括:支持 FFmpeg 6.0,支持 NFSv4,支持读写 M3U8 播放列表,支持 AVIF 图像,改进 Linux 平台的 AudioEngine,Linux 平台支持透传格式如 DTS-HD 和 TrueHD,等等。其它还有改进 VAAPI VP9 Profile 2 回放支持,改进 PipeWire 支持,改进 Android 平台的杜比全景声检测等等。更多信息可浏览 GitHub 上的发布公告。
https://github.com/xbmc/xbmc/releases/tag/21.0-Omega
https://kodi.tv/download/
#开源
#history 趣闻 https://youtu.be/-AfL1SxOkQ4?t=295 苏格拉底(公元前469年~公元前399年)是古希腊哲学的创始人之一,他的影响在后来的古代和近代哲学家中强烈地存在[^1^][1] [^2^][2] [^3^][3]。尽管他没有亲自著书立说,但他的言行和思想被他的学生以及同时代的其他作家记录下来,其中最著名的就是柏拉图[^1^][1]。
苏格拉底的一生充满了哲学探讨和对话。他常常在雅典的街头漫步,与各种人辩论,探讨生命的本质。他总是不知疲倦地提问,似乎想挖掘人们认识自我的潜力。他的话语被形容为无与伦比的睿智之声,充满知识、技艺、智慧和真理[^1^][1]。
苏格拉底的死因也成为了人们关注的焦点。在他70岁时,雅典法庭以“不敬神明”、“信仰新神”和“蛊惑青年”等罪名审判了他,最终他选择喝下毒酒而死。柏拉图对苏格拉底死后的前景感到反胃,于是逃离了雅典,流亡他乡。虽然他最后又回到了雅典,但那已经是另外一个故事
#LGBT 郑板桥 https://www.youtube.com/watch?v=M0HC_kCzCYg
鄭板橋直言不諱自己酷愛男色,還感歎自己又老又醜。美男大都是為了錢才跟他在一起的。在另一篇文章中,鄭板橋還坦言自己對美男的臀部情有獨鍾,所以一直極力反對往屁股上打板子的刑罰,說“夫堆雪之臀,肥鵝之股,為全身最佳最美之處,我見猶憐,此心何忍”。有一次,鄭板橋看到美男被打屁股,甚至心疼到“幾至淚下”。 🌟👨❤️💋👨🍑😢
苏格拉底的一生充满了哲学探讨和对话。他常常在雅典的街头漫步,与各种人辩论,探讨生命的本质。他总是不知疲倦地提问,似乎想挖掘人们认识自我的潜力。他的话语被形容为无与伦比的睿智之声,充满知识、技艺、智慧和真理[^1^][1]。
苏格拉底的死因也成为了人们关注的焦点。在他70岁时,雅典法庭以“不敬神明”、“信仰新神”和“蛊惑青年”等罪名审判了他,最终他选择喝下毒酒而死。柏拉图对苏格拉底死后的前景感到反胃,于是逃离了雅典,流亡他乡。虽然他最后又回到了雅典,但那已经是另外一个故事
#LGBT 郑板桥 https://www.youtube.com/watch?v=M0HC_kCzCYg
鄭板橋直言不諱自己酷愛男色,還感歎自己又老又醜。美男大都是為了錢才跟他在一起的。在另一篇文章中,鄭板橋還坦言自己對美男的臀部情有獨鍾,所以一直極力反對往屁股上打板子的刑罰,說“夫堆雪之臀,肥鵝之股,為全身最佳最美之處,我見猶憐,此心何忍”。有一次,鄭板橋看到美男被打屁股,甚至心疼到“幾至淚下”。 🌟👨❤️💋👨🍑😢
YouTube
历史已经证明,大众的认知无法改变,试图唤醒别人是没用的!苏格拉底与《毒堇之杯》
#安争鸣 #读书时间
在一个骗子和傻子组成的社会里,人们痛恨的不是说谎的人,而是揭穿谎言的人。
00:00 洞穴预言
02:32 雅典黄金时代
06:30 苏格拉底的声音
影片背景音乐:
Adding the Sun, by Kevin MacLeod https://www.youtube.com/watch?v=P-AdygRH3PM
The Britons, by Kevin MacLeod https://www.youtube.com/watch?v=oEQ4eizMfIM
Evil Incoming…
在一个骗子和傻子组成的社会里,人们痛恨的不是说谎的人,而是揭穿谎言的人。
00:00 洞穴预言
02:32 雅典黄金时代
06:30 苏格拉底的声音
影片背景音乐:
Adding the Sun, by Kevin MacLeod https://www.youtube.com/watch?v=P-AdygRH3PM
The Britons, by Kevin MacLeod https://www.youtube.com/watch?v=oEQ4eizMfIM
Evil Incoming…
#china #life 电动车 https://youtu.be/42k05vxz0lY?t=774
在汉语世界,充斥着对于电动车铺天盖地的宣传。这就让很多人都默以为,电动车一定就是未来的方向。电动车的出现,也就会像曾经智能机取代非智能机一样。在很多人眼里,一些电动车企业就是当代的苹果,他们会形成摧枯拉朽之势,摧毁传统的汽车行业。而现在的宝马丰田,就像曾经的诺基亚、黑莓一样,他们活在了上个世纪之中,止步不前,固步自封。
但实际上现实它并非如此。电动车和燃油车的区别,并非是诺基亚和苹果。电动车的优势也没有我们想象的大,它取代燃油车的速度也会比我们想象的要慢很多。目前,大家认为电动车一定是未来的原因,主要还是出于以下两个原因:一个是环保原因,这是从国家策略上考虑的;而另一个则是省钱原因,这是从我们日常生活中考虑的。这两点也是目前电动车的主要优势,但这两个原因呢,其实都和我们的想象有些出入。电动车特别省钱,主要是因为中国的汽油价格比较偏高,而电价则比较偏低。
美国现在的油价算下来
荣放4跑一公里就只要0.38元了
而model 3跑一公里则要0.18元
虽然还是有价格优势但是远没有中国的8.1元 vs 0.52元明显
对于环保问题,我们这里就不纠结。全球变暖它到底存不存在,毕竟现在很多右派领导人呢,都直接否定这一概念。但是即使存在环保问题,电动车能解决的也比我们想象的要轻得多。这就要先说到电动车,它到底环保不环保。
电动车制造的过程中,会产生大量的污染,这个电不也主要依靠的是化石燃料来产生的吗?这到头来不是多此一举吗?华尔街日报和多伦多大学曾经联合做过一个研究,也就是41,800公里的时候,特斯拉才具有排放上的优势。
一个比较反常识的概念,比如在中国之前,根据新华网发布的信息,在中国的碳排放总量中,汽车运行产生的碳排放只占总量的8%,而家用车更是仅占其中的4%。
现在,就开始鼓吹中国电动车的行为呢,更像是半场开香槟,也很像曾经在新冠防疫开始的第一年,就开始鼓吹中国新冠防疫政策天下无敌一样。中国的电动车行业,除去不赚钱的问题,其本身也违背了市场规律。整个电动车的行业的需求,是被中共人为制造出来的,而新能源汽车产品力上的领先,也是依靠巨额补贴而产生的。这种发展模式很快会迎来转折点,而这个转折点就是开始出海。在出海之后,电动车行业将失去中共的庇护,走入自由的市场竞争之中。欧盟不受我们习主席领导。 🌿🚗🌏⚡️🏭🚫🛢
https://youtu.be/JKm6bqzE26s?t=1045
狗哥:中国电动车内私密影像泄露事件、电车三年贬值60%
—
☺️ 中国有新科技潮流,总体对日常生活是好的,但无法指望它超英赶美。
方脸: https://youtu.be/p4Har79uQIE?t=388
即便是太空竞赛,美国只拿出4.4%GDP。中国为新生产力有10%
曾拖垮《牢不可破的联盟》的,只是美国盲流的一杯咖啡
脸哥这一期不留情面了,我还以为世界在变好呢
方脸今天讲电动车,评论居然一大半都是骂他的。。。变天了变天了
正常啊,国家转移支付那么多钱,作为消费者当然是捧的
狗哥也说可能买
视频8:13 “所以这种车如果能在加拿大上市,为啥不买,在我看来买到就是赚到,买到就是薅到中国政府的羊毛,何乐而不为呢”
在汉语世界,充斥着对于电动车铺天盖地的宣传。这就让很多人都默以为,电动车一定就是未来的方向。电动车的出现,也就会像曾经智能机取代非智能机一样。在很多人眼里,一些电动车企业就是当代的苹果,他们会形成摧枯拉朽之势,摧毁传统的汽车行业。而现在的宝马丰田,就像曾经的诺基亚、黑莓一样,他们活在了上个世纪之中,止步不前,固步自封。
但实际上现实它并非如此。电动车和燃油车的区别,并非是诺基亚和苹果。电动车的优势也没有我们想象的大,它取代燃油车的速度也会比我们想象的要慢很多。目前,大家认为电动车一定是未来的原因,主要还是出于以下两个原因:一个是环保原因,这是从国家策略上考虑的;而另一个则是省钱原因,这是从我们日常生活中考虑的。这两点也是目前电动车的主要优势,但这两个原因呢,其实都和我们的想象有些出入。电动车特别省钱,主要是因为中国的汽油价格比较偏高,而电价则比较偏低。
美国现在的油价算下来
荣放4跑一公里就只要0.38元了
而model 3跑一公里则要0.18元
虽然还是有价格优势但是远没有中国的8.1元 vs 0.52元明显
对于环保问题,我们这里就不纠结。全球变暖它到底存不存在,毕竟现在很多右派领导人呢,都直接否定这一概念。但是即使存在环保问题,电动车能解决的也比我们想象的要轻得多。这就要先说到电动车,它到底环保不环保。
电动车制造的过程中,会产生大量的污染,这个电不也主要依靠的是化石燃料来产生的吗?这到头来不是多此一举吗?华尔街日报和多伦多大学曾经联合做过一个研究,也就是41,800公里的时候,特斯拉才具有排放上的优势。
一个比较反常识的概念,比如在中国之前,根据新华网发布的信息,在中国的碳排放总量中,汽车运行产生的碳排放只占总量的8%,而家用车更是仅占其中的4%。
现在,就开始鼓吹中国电动车的行为呢,更像是半场开香槟,也很像曾经在新冠防疫开始的第一年,就开始鼓吹中国新冠防疫政策天下无敌一样。中国的电动车行业,除去不赚钱的问题,其本身也违背了市场规律。整个电动车的行业的需求,是被中共人为制造出来的,而新能源汽车产品力上的领先,也是依靠巨额补贴而产生的。这种发展模式很快会迎来转折点,而这个转折点就是开始出海。在出海之后,电动车行业将失去中共的庇护,走入自由的市场竞争之中。欧盟不受我们习主席领导。 🌿🚗🌏⚡️🏭🚫🛢
https://youtu.be/JKm6bqzE26s?t=1045
狗哥:中国电动车内私密影像泄露事件、电车三年贬值60%
—
☺️ 中国有新科技潮流,总体对日常生活是好的,但无法指望它超英赶美。
方脸: https://youtu.be/p4Har79uQIE?t=388
即便是太空竞赛,美国只拿出4.4%GDP。中国为新生产力有10%
曾拖垮《牢不可破的联盟》的,只是美国盲流的一杯咖啡
脸哥这一期不留情面了,我还以为世界在变好呢
方脸今天讲电动车,评论居然一大半都是骂他的。。。变天了变天了
正常啊,国家转移支付那么多钱,作为消费者当然是捧的
狗哥也说可能买
视频8:13 “所以这种车如果能在加拿大上市,为啥不买,在我看来买到就是赚到,买到就是薅到中国政府的羊毛,何乐而不为呢”
YouTube
方脸说:中国电动车到底是个什么水平?真的是遥遥领先吗?中国电动车行业或许和你想象的有所不同!中国电动车的困境丨小米SU7丨比亚迪
00:00 从市场占有率看中国电动车行业
01:40 领先从何而来?
05:29 繁荣之下-千疮百孔的中国电动车
10:08 电动车行业的转折点即将到来
18:43 电动车行业的未来
01:40 领先从何而来?
05:29 繁荣之下-千疮百孔的中国电动车
10:08 电动车行业的转折点即将到来
18:43 电动车行业的未来
👎2👍1
#security Telegram Desktop Windows <=v4.16.6 + 安装Python环境远程代码执行漏洞已被确认
Linux 的话至少得自己主动把 pyzw 格式绑到 Python 解释器上面
危害程度极高,建议用户根据文章建议关闭自动下载功能
▎情况介绍
・4月9日
一条视频宣称Telegram Desktop客户端有漏洞,能轻松实现远程代码执行恶意攻击
当日,Telegram 称无法确认 Desktop 版本远程代码执行漏洞
・4月12日
笔者发现,Telegram Desktop Github库下一条PR中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。
▎危害示例 示例1
点击后会打开CMD,完全没有危害性,感兴趣可以点链接跳转测试范例。
https://t.me/Rosmontis_Daily/4632
Linux 的话至少得自己主动把 pyzw 格式绑到 Python 解释器上面
危害程度极高,建议用户根据文章建议关闭自动下载功能
▎情况介绍
・4月9日
一条视频宣称Telegram Desktop客户端有漏洞,能轻松实现远程代码执行恶意攻击
当日,Telegram 称无法确认 Desktop 版本远程代码执行漏洞
・4月12日
笔者发现,Telegram Desktop Github库下一条PR中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。
▎危害示例 示例1
点击后会打开CMD,完全没有危害性,感兴趣可以点链接跳转测试范例。
https://t.me/Rosmontis_Daily/4632
X (formerly Twitter)
Telegram Messenger (@telegram) on X
@CertiKAlert We can't confirm that such a vulnerability exists. This video is likely a hoax.
Anyone can report potential vulnerabilities in our apps and get rewards: https://t.co/UkzPFSVigy
Anyone can report potential vulnerabilities in our apps and get rewards: https://t.co/UkzPFSVigy
Forwarded from Solidot
X 自动将用户帖子里的 Twitter.com 改为 X.com
2024-04-10 22:58 by 诺比、龙和意识星云
我们所熟悉的 Twitter 早在去年年中就被其新主人改名为 X,而 X/Twitter 的主人不希望用户继续用 Twitter 这一名字,他现在让程序员自动将用户帖子里的 Twitter.com 改为 X.com,此举导致了很多问题。自动转换甚至涵盖了其他网站里包含的 Twitter 单词,这无疑会产生错误网址。有人注册了一个域名叫 seTwitter.com,在 X/Twitter 上,它被显示为 sex.com。该域名的注册者对 X 的自动转换可能导致用户访问恶意网站发出警告,建议用户不要随意点击可疑网址。目前 X/Twitter 的程序员已经释出更新,不再自动转换其他网站中的
Twitter。但这一变动尚未在它的 iOS应用上生效。
https://mashable.com/article/twitter-dot-com-posts-change-to-x-dot-com-ios
#Twitter
2024-04-10 22:58 by 诺比、龙和意识星云
我们所熟悉的 Twitter 早在去年年中就被其新主人改名为 X,而 X/Twitter 的主人不希望用户继续用 Twitter 这一名字,他现在让程序员自动将用户帖子里的 Twitter.com 改为 X.com,此举导致了很多问题。自动转换甚至涵盖了其他网站里包含的 Twitter 单词,这无疑会产生错误网址。有人注册了一个域名叫 seTwitter.com,在 X/Twitter 上,它被显示为 sex.com。该域名的注册者对 X 的自动转换可能导致用户访问恶意网站发出警告,建议用户不要随意点击可疑网址。目前 X/Twitter 的程序员已经释出更新,不再自动转换其他网站中的
Twitter。但这一变动尚未在它的 iOS应用上生效。
https://mashable.com/article/twitter-dot-com-posts-change-to-x-dot-com-ios
🦄1
duangsuse::Echo
#china #life 电动车 https://youtu.be/42k05vxz0lY?t=774 在汉语世界,充斥着对于电动车铺天盖地的宣传。这就让很多人都默以为,电动车一定就是未来的方向。电动车的出现,也就会像曾经智能机取代非智能机一样。在很多人眼里,一些电动车企业就是当代的苹果,他们会形成摧枯拉朽之势,摧毁传统的汽车行业。而现在的宝马丰田,就像曾经的诺基亚、黑莓一样,他们活在了上个世纪之中,止步不前,固步自封。 但实际上现实它并非如此。电动车和燃油车的区别,并非是诺基亚和苹果。电动车的优势也…
🤔很像曾经在新冠防疫开始的第一年,就开始鼓吹中国新冠防疫政策天下无敌一样。中国的电动车行业
方脸这一期有很多反贼观众骂他,说他不客观,不过请注意, 方脸是站在卖方(投资者)视角和具体数字来分析的; 那些大彩屏冰箱的内饰,是财政代付的,这是这次中国车赢的关键。
如果纯粹从「生产一个东西」的资本和工程的角度,这样的产品和胜利,是不可持续的,它违背了供给侧规律。 当然方脸是很赞成大家消费这个的
视频8:13 “所以这种车如果能在加拿大上市,为啥不买,在我看来买到就是赚到,买到就是薅到中国政府的羊毛,何乐而不为呢”
希望过几年,能再回顾这一期,看看产能过剩的发展是不是应了「疫情反应曲线」
有例可循:砸钱搞5G、VR元宇宙、共享经济、水氢汽车,最终雷声大雨点小不了了之
这个财政花在人民电动车车身上,总归是比建高速公路要好
方脸这一期有很多反贼观众骂他,说他不客观,不过请注意, 方脸是站在卖方(投资者)视角和具体数字来分析的; 那些大彩屏冰箱的内饰,是财政代付的,这是这次中国车赢的关键。
如果纯粹从「生产一个东西」的资本和工程的角度,这样的产品和胜利,是不可持续的,它违背了供给侧规律。 当然方脸是很赞成大家消费这个的
视频8:13 “所以这种车如果能在加拿大上市,为啥不买,在我看来买到就是赚到,买到就是薅到中国政府的羊毛,何乐而不为呢”
希望过几年,能再回顾这一期,看看产能过剩的发展是不是应了「疫情反应曲线」
有例可循:砸钱搞5G、VR元宇宙、共享经济、水氢汽车,最终雷声大雨点小不了了之
这个财政花在人民电动车车身上,总归是比建高速公路要好
Forwarded from 层叠 - The Cascading
#CVE:PuTTY 使用 ECDSA p-521 密钥对的方式不安全;攻击者或能从大量签名中还原私钥。
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
- 其它类别密钥,包括 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
ecdsa-sha2-nistp521 识别名开头。- 其它类别密钥,包括 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
cve.mitre.org
CVE -
CVE-2024-31497
CVE-2024-31497
The mission of the CVE™ Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
Forwarded from Solidot
XZ 后门事件可能不是一起孤立事件
2024-04-17 15:08 by 帕迪多街车站
OpenJS 基金会发出警告,称 XZ 后门事件可能不是一起孤立事件。在 XZ 事件中,攻击者 Jia Tan(化名)潜伏长达两年多时间,最终获得信任成为项目的共同维护者。OpenJS 基金会称,他们观察到了类似的行动,他们收到了一系列邮件,要求基金会采取行动更换其管理的流行 JavaScript 项目的维护者,以解决高危漏洞。邮件使用了 GitHub 关联邮箱。这和 XZ 项目维护者 Lasse Collin 收到的施压邮件十分相似。类似事件凸显了快速发展的开源生态系统所面临的安全风险,尤其是今天软件的依赖关系错综复杂。
https://socket.dev/blog/openjs-xz-utils-cyberattack-likely-not-an-isolated-incident
https://openjsf.org/blog/openssf-openjs-alert-social-engineering-takeovers
#安全
2024-04-17 15:08 by 帕迪多街车站
OpenJS 基金会发出警告,称 XZ 后门事件可能不是一起孤立事件。在 XZ 事件中,攻击者 Jia Tan(化名)潜伏长达两年多时间,最终获得信任成为项目的共同维护者。OpenJS 基金会称,他们观察到了类似的行动,他们收到了一系列邮件,要求基金会采取行动更换其管理的流行 JavaScript 项目的维护者,以解决高危漏洞。邮件使用了 GitHub 关联邮箱。这和 XZ 项目维护者 Lasse Collin 收到的施压邮件十分相似。类似事件凸显了快速发展的开源生态系统所面临的安全风险,尤其是今天软件的依赖关系错综复杂。
https://socket.dev/blog/openjs-xz-utils-cyberattack-likely-not-an-isolated-incident
https://openjsf.org/blog/openssf-openjs-alert-social-engineering-takeovers
#安全
🦄1
#news #china #school 白城医专的一名女学生有先天心脏病,她的辅导员因为以前有过纠纷所以处处针对她。
前几天吉林省多所高校都开始早操/跑操,按照正常的流程来说患有一些特殊疾病的学生出示证明就可以不用上操,但是这位辅导员因为和女生有冲突,所以强迫她上操。
很不幸,女生倒在了跑道上,辅导员来了以后声称“她在装病”“躺一会自己就起来了”,不对女生进行急救,导致女生最终死在了医学院内。R.I.P
央视新闻,1.老师没打120,老师先给书记打的电话。2.学生确实可以免出操,但学生确实出操了。3.老师确实收鱼了。
学校方面放出消息说陪了60w,庭外和解,但是央媒这几天才定性此事件,所以应该是陪了但是没陪那么多,而且没有和解
小女孩自己的抖音可以看到只要是露出手腕的视频都可以看见测心率什么的手环,有异常她就会第一时间去医院,她真的很爱惜自己的生命了
《冷眼旁观的鱼》:她明明可以活着,带着跳动的心脏救更多的人
前几天吉林省多所高校都开始早操/跑操,按照正常的流程来说患有一些特殊疾病的学生出示证明就可以不用上操,但是这位辅导员因为和女生有冲突,所以强迫她上操。
很不幸,女生倒在了跑道上,辅导员来了以后声称“她在装病”“躺一会自己就起来了”,不对女生进行急救,导致女生最终死在了医学院内。R.I.P
央视新闻,1.老师没打120,老师先给书记打的电话。2.学生确实可以免出操,但学生确实出操了。3.老师确实收鱼了。
学校方面放出消息说陪了60w,庭外和解,但是央媒这几天才定性此事件,所以应该是陪了但是没陪那么多,而且没有和解
小女孩自己的抖音可以看到只要是露出手腕的视频都可以看见测心率什么的手环,有异常她就会第一时间去医院,她真的很爱惜自己的生命了
《冷眼旁观的鱼》:她明明可以活着,带着跳动的心脏救更多的人