דלג לתוכן הראשי

2024-07-31

בדיקתנו של Homebrew

  • בדיקה של Homebrew, מנהל חבילות קריטי עבור macOS ולינוקס, חשפה בעיות אבטחה לא קריטיות שיכולות לאפשר ביצוע קוד בלתי צפוי ולפגוע בתהליכי CI/CD.
  • ״ממצאים מרכזיים כללו פגיעויות ב-brew CLI, כגון בריחות מסנדבוקס והסלמות הרשאות, וכן בעיות בתהליכי CI/CD כמו פגיעויות בהזרקת פקודות לקליפה.״
  • בדיקה זו, בחסות קרן הטכנולוגיה הפתוחה, נועדה לאבטח תשתיות אינטרנט קריטיות, תוך הדגשת חשיבות האבטחה של Homebrew לאור השימוש הנרחב בו.

תגובות

  • Trail of Bits ביצעה ביקורת אבטחה מקיפה על Homebrew, מנהל חבילות קוד פתוח פופולרי עבור macOS, וחשפה מספר חששות אבטחה ותחומים לשיפור.
  • בדיקה זו עוררה דיונים על בעיות האבטחה המובנות בשרשרת האספקה בפלטפורמות ניהול חבילות קוד פתוח, תוך הדגשת הצורך בתהליכי בדיקה טובים יותר ותגובות מהירות יותר למקורות לא מהימנים.
  • ממצאי הביקורת הובילו לעניין מוגבר במנהלי חבילות חלופיים כמו Nix, אשר חלק מהמשתמשים מוצאים אותם בטוחים וגמישים יותר, למרות המורכבות שלו.

macOS ב-QEMU ב-Docker

  • דוקר-OSX מאפשר למשתמשים להריץ macOS במיכל דוקר עם ביצועים כמעט טבעיים, ותומך בגרסאות מ-High Sierra ועד Sonoma.
  • הפרויקט מתוחזק על ידי Sick.Codes וכולל תכונות כמו העברת X11, מחקר אבטחת iMessage, והעברת USB של iPhone.
  • ״כלי זה שימושי במיוחד לביצוע מחקרי אבטחה על macOS באמצעות סביבות לינוקס ווינדוס.״

תגובות

  • להפעיל macOS ב-QEMU בתוך Docker זה אפשרי אך יש מגבלות, במיוחד עם האצת GPU, מכיוון ש-GPU של Intel ו-NVIDIA החדשים אינם נתמכים.
  • דוקר-OSX מאפשר הרצת מכונות וירטואליות של macOS בדוקר, מה שמועיל לבניית iOS באמצעות כלים כמו Unity או React Native.
  • חלוקה מחדש של תמונות macOS עשויה להפר את הסכם רישיון המשתמש הקצה (EULA) של אפל, המגביל את macOS לחומרה של אפל, אך הפרויקט פופולרי לפיתוח ובדיקה.

find + mkdir הוא שלם טיורינג

תגובות

  • נטען כי השימוש בפקודות find ו-mkdir הוא שלם טיורינג, אך הטענה הוסרה בשל הוכחה פגומה.
  • דיון זה עוסק בפרטים טכניים על מערכות קבצים, רשומות ספריות וטבלת הקבצים הראשית (MFT) ב-Windows, וכן בוויכוחים על שלמות טיורינג של מערכות שונות כמו C ו-Python.
  • השיחה גם חוקרת היבטים תיאורטיים של מכונות טיורינג, כלל 110 ושלמות פונקציונלית, עם הבטחה לעדכון אם ההוכחה תתוקן.

Meta מציגה את מודל Segment Anything 2

  • Meta הציגה את מודל Segment Anything 2 (SAM 2), מודל סגמנטציה לבחירה מדויקת של אובייקטים בתמונות ובסרטונים באמצעות לחיצות, תיבות או מסכות כקלט.
  • סאם 2 מצטיין בביצועים ללא דוגמאות קודמות, באינטראקטיביות בזמן אמת וביעילות בעיבוד וידאו, ועולה על המודלים הקיימים בחלוקת אובייקטים.
  • Meta משחררת דגם SAM 2 מאומן מראש, את מאגר הנתונים SA-V, הדגמה וקוד לקהילת המחקר, במטרה לקדם חדשנות פתוחה ומחקר נוסף.

תגובות

  • Meta השיקה את מודל Segment Anything 2, מה שיצר עניין רב בפוטנציאל ההשפעה שלו על מחקר הבינה המלאכותית ותעשיית הטכנולוגיה.
  • ישנם מומחים המציעים כי מטא עוקפת את גוגל בהתקדמות בבינה מלאכותית ובתרומות לקהילה, מה שעשוי להוביל לחדשנות ולערך עסקי חדשים.
  • הדיון כולל גם את מאמצי הקוד הפתוח של מטא ואת ההשלכות הרחבות יותר של טכנולוגיית הבינה המלאכותית, כמו גם את הדינמיקה התחרותית בין חברות הטכנולוגיה הגדולות.

יצירתיות נובעת באופן בסיסי מזיכרון

  • כותב המאמר טוען כי יישום מערכות בעיסוקים יצירתיים, כגון מעברים של תקליטנים ודפוסי הומור, משפר את היצירתיות על ידי הפנמת ידע ודפוסים.
  • ״הם תומכים בשיטת למידה הכוללת שינון דפוסים וחשיפה למקרים שונים, שניתן ליישם מעבר לאקדמיה לתחומים כמו ספורט ומכירות.״
  • המחבר מציע כי שליטה ביסודות באמצעות מערכות מאפשרת חדשנות ויצירתיות ברמה גבוהה יותר, כפי שניתן לראות במומחיות בין-תחומית בסטארטאפים ובמוזיקה.

תגובות

  • יצירתיות מקושרת לעיתים קרובות לידע מופנם, שיכול להיות תוצאה של שינון.
  • יש ויכוח האם שינון בעל פה חיוני ליצירתיות, כאשר יש הטוענים לחשיבות ההבנה וההקשר על פני חזרה בלבד.
  • פנמת מושגים דרך חשיפה חוזרת יכולה לעזור לפתח היוריסטיקות ודפוסים שימושיים ליישומים יצירתיים.

״פתרון בעיות: השהיית מסוף״

  • משתמש חווה השהיה משמעותית בעת פתיחת xterm במחשב עם Windows 11 בהשוואה לעמדת עבודה עם Fedora Linux, כאשר ב-Windows זה לקח כ-1600ms בהתחלה.
  • פרופילינג וניפוי באגים חשפו כי השבתת אפקטי חלון ותכונות מסוימות של xterm, כגון סרגל הכלים ואמולציית Tektronix, שיפרו את הביצועים.
  • יישום מצב שרת עם מיפוי מושהה באמצעות ספריית LD_PRELOAD הפחית עוד יותר את זמן ההפעלה לכ-366ms ב-Windows, מה שהופך אותו לכמעט מהיר כמו ב-Fedora.

תגובות

  • המאמר דן בפתרון בעיות של עיכוב במסוף, תוך התמקדות במנפה השגיאות של קונסולת מיקרוסופט (cdb) ובפקודותיו לשינוי התנהגות פונקציות.
  • זה מדגיש את השימוש בפקודה eb win32u!NtUserSetLayeredWindowAttributes c3 כדי להשבית פונקציה על ידי החלפת הבייט הראשון שלה בהוראת ret, מה שגורם לה לחזור מיד.
  • דיון זה כולל חוויות משתמש שונות ושיטות למדידת והפחתת זמן ההפעלה של הטרמינל, כגון שימוש בכלי הבנצ'מרקינג hyperfine ובאמולטורים שונים של טרמינלים.

״Rustgo: קריאה ל-Rust מ-Go עם תקורה כמעט אפסית (2017)״

  • הפוסט בוחן קריאה ל-Rust מ-Go כדי להחליף קוד אסמבלי, במטרה להשיג תקורה כמעט אפסית מבלי לדרוש ידע מעמיק ב-Rust או במקמפל.
  • ״נבחרה בשל יכולת האופטימיזציה והקריאות הגבוהות שלה בהשוואה לאסמבלי, והגישה מראה ביצועים טובים יותר מאשר שימוש ב-cgo עבור פונקציות קטנות וחמות.״
  • מדידת ביצועים מצביעה על כך שקריאה ל-Rust מתוך Go היא כמעט מהירה כמו קריאה לפונקציה מקורית ב-Go ומהירה משמעותית מ-cgo, מה שהופך אותה למתאימה למשימות קריטיות לביצועים.

תגובות

  • רוסטגו הוא כלי שמאפשר קריאה לקוד רוסט מתוך גו עם כמעט אפס תקורה, מה שחשוב במיוחד עבור יישומים רגישים לביצועים.
  • דיון זה מדגיש את המורכבויות והמלכודות הפוטנציאליות בשימוש בממשק פונקציות זר (FFI) בין שפות תכנות שונות, במיוחד גו ורוסט.
  • נעשות השוואות עם שפות אחרות כמו C# ו-Python, תוך הדגשת הפשרות בביצועי FFI והחשיבות של בחירת הכלי הנכון למשימה.

״אני מעדיף rST על פני Markdown״

  • מחבר הספר שחרר את "לוגיקה למתכנתים גרסה 0.2," הכוללת תמיכה ב-epub, פתרון אילוצים ותוכן של מפרט פורמלי.
  • ״המחבר מעדיף את reStructuredText (rST) על פני Markdown בשל ההתאמה האישית וההרחבה המעולה שלו, במיוחד לצרכים מורכבים של תיעוד.״
  • ״הרחבת תרגילים מותאמת אישית ב-rST נוצרה עבור הספר כדי להתמודד עם דרישות עיבוד שונות עבור פורמטים של HTML, epub ו-PDF.״

תגובות

  • reStructuredText (rST) מועדף עבור ספרים טכניים בשל יכולות ההרחבה והסמנטיקה שלו, במיוחד כאשר הוא משולב עם Sphinx.
  • Markdown הוא פשוט יותר וקריא יותר, מה שהופך אותו לאידיאלי עבור הערות מהירות ותיעוד יומיומי.
  • ״תכונות של rST כמו אובייקטי טקסט מותאמים אישית והבטחת פתרון קישורים פנימיים הן קריטיות לפרויקטים של תיעוד מורכב, אך הפשטות והתמיכה של Markdown הופכות אותו לפופולרי יותר לשימוש כללי.״

סט נתונים של Call of Duty: Warzone Caldera לשימוש אקדמי

  • אקטיוויז'ן שחררה מערך נתונים של Call of Duty®: Warzone™ Caldera לשימוש אקדמי, כפי שמצוין במטא-נתונים של הדף.
  • השחרור הוא משמעותי עבור חוקרים ואקדמאים המתעניינים בניתוח נתוני משחקים ויכול לעודד מחקרים ותובנות חדשים בתעשיית המשחקים.
  • ״מערך הנתונים נגיש דרך הבלוג של אקטיוויז'ן, המדגיש את תמיכת החברה במחקר אקדמי ובשקיפות נתונים.״

תגובות

  • אקטיוויז'ן שחררה ערכת נתונים של Call of Duty: Warzone Caldera לשימוש אקדמי ב-GitHub, הכוללת נכסי משחק ונתוני תנועת שחקנים.
  • ערכת הנתונים שימושית למחקר גרפי, פיתוח מנועים, הגדרת מיקומים אסטרטגיים ובדיקת אלגוריתמים של מעקב קרניים, עם יישומים פוטנציאליים בפיתוח בינה מלאכותית וזיהוי רמאויות.
  • פרסום זה נחשב כמועיל למטרות אקדמיות ומחקריות, אם כי יש הרואים בו כלי גיוס בשל רישיון הלא-מסחרי שלו.

יצירת בינאריים סטטיים עם Go על לינוקס

  • Go יכול להפיק בינאריים מקושרים סטטית במערכות Unix, אך זה דורש תגי בנייה ספציפיים או השבתת cgo.
  • כלים כמו file, ldd, ו-nm יכולים לאמת אם בינארי של Go מקושר סטטית.
  • ״שימוש ב-Zig כקומפיילר C מפשט את התהליך ותומך בקומפילציה חוצת פלטפורמות עבור קישור סטטי.״

תגובות

  • יצירת בינאריים סטטיים עם Go על לינוקס כוללת דגלים ושיקולים ספציפיים, כמו שימוש ב--tags sqlite_omit_load_extension עבור SQLite אם לא משתמשים בתוספים.
  • הדיון מדגיש את השימוש ב-WebAssembly (WASM) עבור SQLite, המציע ביצועים ותחזוקה טובים יותר בהשוואה לשיטות מסורתיות כמו modernc transpile.
  • ישנם אתגרים ובעיות ביצועים הקשורים לשימוש במקצים שונים ובמימושי libc, כמו musl, בעת בניית בינאריים סטטיים ב-Go, כפי שחוו חברות כמו Tailscale.

מעבדים מיקרו-מוליכים על? מתברר שהם אולטרה-יעילים (2021)

  • פותח אבטיפוס של מיקרו-מעבד מוליך-על במהירות 2.5 גיגה-הרץ, המשתמש ב-80 פעמים פחות אנרגיה מאשר מיקרו-מעבדים מסורתיים מבוססי מוליכים למחצה, אפילו כאשר לוקחים בחשבון את הקירור.
  • ״המיקרו-מעבד MANA, המבוסס על טכנולוגיית Adiabatic Quantum-Flux-Parametron (AQFP), מכיל למעלה מ-20,000 צמתים של מוליכי-על ג'וזפסון.״
  • ״זהו המיקרו-מעבד הראשון מסוג מוליך-על אדיאבטי, המסמן התקדמות משמעותית בטכנולוגיית מחשוב חסכונית באנרגיה.״

תגובות

  • חוקרים ביפן מפתחים מיקרו-מעבדים מוליכי-על אולטרה-יעילים שפועלים באופן אדיאבטי, ובתיאוריה נמנעים מאובדן או רווח אנרגיה במהלך החישוב.
  • טכנולוגיה זו מאתגרת את עקרון לנדאואר, הקובע שמחיקת מידע דורשת אנרגיה, על ידי שימוש במחשוב הפיך עם שערי לוגיקה מיוחדים כמו שער טופולי כדי למזער את צריכת האנרגיה.
  • ״למרות היעילות המבטיחה שלו, היישום המעשי נתקל באתגרים משמעותיים, במיוחד בקירור ובקנה מידה לשימוש מעשי, ועדיין דורש אנרגיה לקביעת הביטים הראשוניים ולניהול רעש סביבתי.״

מדוע הבאג של CrowdStrike פגע בבנקים בצורה קשה

  • בתאריך 19 ביולי, באג בתצורה בתוכנת CrowdStrike Falcon, תוכנה לניטור נקודות קצה, גרם לכשלים קטסטרופליים במערכות Windows, והשפיע באופן חמור על מגזר הבנקאות ותעשיות נוספות.
  • הבאג הוביל לשיבושים תפעוליים נרחבים, כולל השבתת קופאים ובנקאים, ואף גרם לכך שחלק מהבנקים אזלו מכסף מזומן, מה שהדגיש את הפגיעות בתשתית הפיננסית.
  • רגולטורים בנקאיים בארה"ב השפיעו בעקיפין על אימוץ כלים אבטחתיים כאלה, אשר, למרות שנועדו להגנה, יכולים להכניס פגיעויות משמעותיות בשל ההרשאות הגבוהות והשימוש הנרחב בהם.

תגובות

  • ״באג ב-CrowdStrike גרם לשיבושים משמעותיים בבנקים עקב עדכון אוטומטי שעקף את הבקרות הקיימות.״
  • התקרית עוררה דיונים על הסיכונים שבסמיכה על ספקים יחידים ועל הצורך באסטרטגיות עדכון טובות יותר.
  • ״למרות הבעיות הנרחבות, חלק מהמשתמשים חוו השפעה מינימלית, מה שמדגיש את החוסן של מערכות מסוימות.״

בניית האתר התת-קרקעי "Cheshire" של AT&T Long Lines

  • מתקן ה-ATT בצ'שייר, שנבנה בשנת 1966, הוא מתחם תת-קרקעי שתוכנן לתקשורת צבאית קריטית, הכולל כבל נשיאה אנלוגי L4 מוקשח ומתג AUTOVON בעל 4 חוטים.
  • המתקן כולל תשתיות נרחבות לסינון אוויר, ייצור חשמל והגנה מפני פיצוצים, כדי להבטיח המשכיות תפעולית במהלך אירועים גרעיניים.
  • ״האתר שימש גם כצומת מטרופולינית להרטפורד וניו הייבן, והתחבר למגוון נתיבי תקשורת ומתקנים קריטיים נוספים.״

תגובות

  • ״אתר התת-קרקעי "Cheshire" של AT&T Long Lines היה מרכז מיתוג AUTOVON, שנבנה כדי לעמוד במלחמה גרעינית באמצעות טכנולוגיית 1ESS של Western Electric.״
  • ״מרכזים אלו מוקמו באופן אסטרטגי הרחק מערים גדולות ומטרות צבאיות, וכללו קישורים מיותרים, מבנים מחוזקים, והגנה מפני קירור וזיהום עבור העובדים.״
  • ״התשתית, שפותחה במהלך המלחמה הקרה, כללה קישורי מיקרוגל נרחבים מנקודה לנקודה ושימוש במתגי 1ESS ומתגי קרוסבר מספר 5, מה שמדגיש את עמידותה ומורכבותה.״

האם אירוע החמצון הגדול היה באמת גדול?

  • מדענים אינם בטוחים מתי הייתה לאטמוספירה של כדור הארץ מספיק חמצן כדי לתמוך בחיים של בעלי חיים מוקדמים, למרות מחקר נרחב.
  • ממצאים חדשים מריו טינטו, ספרד, מציעים כי ייתכן שהיה מספיק חמצן להתפתחות בעלי חיים כמעט 2 מיליארד שנים לפני הופעתם של בעלי החיים.
  • מחקרים עדכניים מצביעים על כך שרמות חמצן משתנות באוקיינוס, מחסור במזון או זמן התפתחות גנטי, ולא רמות החמצן, עשויים היו לעכב את התפתחות בעלי החיים.

תגובות

  • האירוע החמצון הגדול (GOE) סימן עלייה משמעותית בחמצן האטמוספרי של כדור הארץ עקב מיקרובים פוטוסינתטיים במשך לפחות 400 מיליון שנה.
  • עלייה זו ברמות החמצן אפשרה את התפתחותם של יצורים חיים מורכבים ואת האפשרות להיווצרות אש, אך גרמה להכחדה המונית של אורגניזמים אנאירוביים.
  • ה-GOE הוא קריטי לאסטרוביולוגיה, שכן רמות חמצן גבוהות בכוכבי לכת חיצוניים יכולות להצביע על פעילות ביולוגית פוטנציאלית, כאשר מחקרים מתמשכים ממשיכים לחדד את הבנתנו.

FakeTraveler: לזייף את מיקום הטלפון שלך (מיקום מדומה לאנדרואיד)

  • FakeTraveler היא אפליקציית אנדרואיד שמאפשרת למשתמשים לזייף את מיקום הטלפון שלהם לצורכי פרטיות או בדיקת אפליקציות.
  • ״משתמשים יכולים לבחור מיקום באמצעות מפה או להזין קואורדינטות רוחב ואורך ספציפיות, ואז להחיל את השינויים.״
  • ״כדי להשתמש ב-FakeTraveler, על המשתמשים להפעיל את אפשרויות המפתחים ולהגדיר את FakeTraveler כאפליקציית מיקום מדומה.״

תגובות

  • FakeTraveler היא אפליקציית מיקום מזויף לאנדרואיד שמאפשרת למשתמשים לזייף את מיקום הטלפון שלהם.
  • האפליקציה היא קוד פתוח וזמינה ב-F-Droid, מאגר לאפליקציות אנדרואיד חינמיות וקוד פתוח.
  • ״למרות הפונקציונליות שלו, ישנם משתמשים שמציינים כי ייתכן שהוא לא יעקוף מגבלות מסוימות של אפליקציות, כמו אלו באפליקציות בנקאות או Pokémon Go, ללא אמצעים נוספים כמו רוטינג של המכשיר.״