דלג לתוכן הראשי

2024-09-11

״הוצאנו 20 דולר כדי להשיג RCE ובטעות הפכנו למנהלים של .mobi״

  • חוקרים ניצלו פגיעויות בלקוחות WHOIS וגילו כי הדומיין של שרת WHOIS הישן של סיומת .MOBI היה זמין לרכישה, מה שהוביל לשליטה בלתי צפויה בדומיין.
  • ״השרת שלהם קיבל 2.5 מיליון שאילתות מגורמים שונים, כולל ממשלה וצבא, חברות סייבר ואבטחת מידע ורשויות אישורי תעודות (CAs), מה שחושף סיכוני אבטחה משמעותיים.״
  • התקרית מדגישה את הפגיעויות במערכת WHOIS ובתהליך האימות של CA, ומבליטה את הצורך בבדיקות אבטחה מתמשכות ובערנות נגד תשתיות אינטרנט מיושנות.

תגובות

  • חוקרים הוציאו 20 דולר כדי להשיג ביצוע קוד מרחוק (RCE) ובטעות הפכו למנהלים של ה-TLD .mobi עקב דומיין שפג תוקפו.
  • התקרית מדגישה את החשיבות של לא לתת לדומיין לפוג ומרמזת כי יש להסדיר את המונופול של וריסיין על דומיינים.
  • ״המאמר מדגיש את השבריריות של TLS/SSL ואת הצורך הקריטי לשמור על בעלות על הדומיין כדי למנוע פרצות אבטחה.״

מדוע Pave חוקי?

  • פייב, סטארטאפ הנתמך על ידי YC, מסייע לסטארטאפים אחרים בנושאי שכר על ידי שילוב עם מערכות HR ושכר כדי לאסוף נתונים ולספק פירוט של טווחי שכר.
  • ״יש חששות לגבי האם ניתן לראות בפרקטיקה זו קיבוע שכר אנטי-תחרותי, בדומה למקרה של RealPage, מה שמעלה שאלות לגבי חוקיות התיאום על השכר.״
  • הלגיטימיות וההשלכות האתיות של מודל העסקי של Pave נמצאות תחת בדיקה, שכן תיאום שכר הוא בדרך כלל בלתי חוקי.

תגובות

  • פייב, סטארטאפ הנתמך על ידי YC, מאגד נתונים ממערכות HR ושכר כדי לספק טווחי פיצויים, מה שמעלה שאלות לגבי פרקטיקות אנטי-תחרותיות פוטנציאליות.
  • מבקרים משווים את השירות של Pave לבעיות תמחור השכירות של RealPage, בעוד שאחרים טוענים ששיתוף נתוני פיצויים אינו בלתי חוקי ללא הסכמי קיבוע שכר מפורשים.
  • שירותים דומים, כמו "The Work Number" של Equifax ו-Radford, קיימים כבר שנים, אך חששות לגבי פרטיות ודיכוי שכר ממשיכים להתקיים.

עוד פשיטה משטרתית בגרמניה

  • ״ב-16 באוגוסט 2024, המשטרה הגרמנית פשטה על הבית והמשרד של Artikel 5 e.V., במטרה לחשוף את זהותם של משתמשי Tor, אך לא תפסה חומרה כלשהי.״
  • עמותת Artikel 5 מתכננת לערער משפטית על צו החיפוש כדי למנוע פשיטות עתידיות וקוראת לאסיפה כללית ב-21 בספטמבר 2024 כדי לדון בעתיד הארגון.
  • האספה תשקול אפשרויות כגון מציאת חברי דירקטוריון חדשים, הפסקת צמתי יציאה, או פירוק הארגון, עם פרטים זמינים באתר האינטרנט שלהם.

תגובות

  • ״משתמש בפורום של פרויקט טור שיתף את חוויותיו מהפעלת צמתי יציאה של טור במשך חמש שנים, שבמהלכן ספק האירוח שלו קיבל שלוש זימונים מרשויות החוק.״
  • הזימונים היו קשורים לאירועים חמורים, כולל איום בפצצה, דוא"ל פישינג והאקרים ממדינת קטר, מה שהוביל את המשתמש לסגור את צמתי היציאה שלו עקב לחץ מחשש לתוצאות משפטיות פוטנציאליות.
  • דיון זה הדגיש את ההשלכות האתיות ואת האיזון בין פרטיות למניעת פשיעה, עם תקוות לחדש את הפעילות בעתיד למרות האתגרים מצד רשויות האכיפה.

הקסם של המרת מתח DC-DC (2023)

תגובות

  • ממירי DC-DC משתמשים בסלילים ליצירת קפיצות מתח, אשר מטעינות קבלים, בדומה למערכת הצתה של רכב.
  • הם יעילים אך דורשים אמצעי בטיחות כמו מגבילי זרם או נתיכים כדי למנוע שריפות.
  • ״הסוגים כוללים ממירי בוסט, באק ומבוססי שנאי, כאשר האחרונים מציעים בידוד בין הכניסה ליציאה לצורכי בטיחות; שימושים מעשיים כוללים המרת USB 5V ל-120V עבור מכשירים עתיקים.״

צ'אי-1: פענוח האינטראקציות המולקולריות של החיים

  • ״Chai-1 הוא מודל בסיסי רב-מודלי חדש לחיזוי מבנה מולקולרי, המצטיין במשימות גילוי תרופות, וזמין בחינם דרך ממשק אינטרנטי לשימוש מסחרי וכספריית תוכנה לשימוש לא מסחרי.״
  • ״הוא משיג שיעור הצלחה של 77% במבחן PoseBusters ועוקף את AlphaFold-Multimer בקיפול מולטימרים, עם דיוק של 69.8%.״
  • ״Chai-1 יכול לחזות מבני מולטימר באמצעות רצפים בודדים ולהכפיל את דיוק חיזוי מבנה נוגדן-אנטיגן עם התניה של אפיטופ.״

תגובות

  • ״צ'אי-1, דגם חדש לפענוח אינטראקציות מולקולריות, שוחרר ועורר עניין רב בקהילת הטכנולוגיה.״
  • ״המודל טוען לשיפור על פני AlphaFold, כלי ידוע לחיזוי מבנה חלבונים, אך השיפורים הם שוליים, עם עלייה של 1% בלבד בניקוד באחד המדדים.״
  • ״הועלו חששות לגבי האפשרות לשימוש לרעה בטכנולוגיה כזו ליצירת נשק ביולוגי, אם כי מומחים טוענים כי המורכבות של הביולוגיה המולקולרית הופכת זאת לבלתי סביר.״

״עד כמה חסכוני סניף טאקו בל המקומי שלך?״

תגובות

  • דיון מתמקד בתמחור ובמאפיינים של סניפי טאקו בל שונים, תוך הדגשת סניף טאקו בל הייחודי בפסיפיקה עם מתקנים כמו אח ומרגריטות.
  • סניף הקומבו של טאקו בל/KFC בסיאטל, בלואר קווין אן, נחשב לטאקו בל היקר ביותר במדינה, כאשר משתמשים משתפים את חוויותיהם ותסכוליהם עם אפליקציית המובייל של טאקו בל.
  • ״אפליקציית טאקו בל זוכה לביקורת על שיטות איסוף הנתונים שלה, כאשר משתמשים מתווכחים על נחיצותה לעומת שיטות הזמנה מסורתיות, ועל תפקידה באפליית מחירים ושיווק ממוקד.״

״למה לא תגובות״

  • ״הגרסה v0.3 של "לוגיקה למתכנתים" שוחררה, עם דגש על שיפור עיצוב הספר.״
  • ״ההודעה מדגישה את החשיבות של הערות בקוד, במיוחד לצורך הסבר "למה" של החלטות ופשרות, שלא תמיד ניתן לתעד אותן בעצמן באמצעות שמות של פונקציות או משתנים.״
  • ניתן דוגמה שבה הערה מסבירה את הבחירה בשיטה לא יעילה להחלפת סימני מתמטיקה בסמלי יוניקוד, תוך הדגשת הפשרה והפוטנציאל לשיפור עתידי.

תגובות

  • ״הערות בקוד צריכות להתמקד בהסבר "למה" ו"למה לא" כדי לסייע בהבנה עתידית, במיוחד בקוד מורכב וגדול.״
  • ״הערות חובה עבור פונקציות ברורות נחשבות כבזבוז ויכולות להוביל להתעלמות מהערות בכלל.״
  • בעוד שיש המעדיפים שמות פונקציות ארוכים או הודעות התחייבות, המחבר מוצא שהערות הן חיוניות לצורך בהירות, תחזוקה ותיעוד החלטות ופשרות.

״פליפר זירו מקבל עדכון קושחה משמעותי, יכול להאזין למכשירי קשר״

  • פליפר שחררה עדכון קושחה משמעותי 1.0 עבור כלי הרב-תכליתי שלה, פליפר זירו, שמשפר באופן ניכר את הפונקציונליות וחוויית המשתמש.
  • ״השיפורים המרכזיים כוללים הכפלת מהירות העברת הנתונים ב-Bluetooth מאנדרואיד, עלייה של 40% במהירות התקנת הקושחה של Bluetooth, ומנוע NFC מחודש התומך ביותר סוגי כרטיסים וקריאת נתונים מהירה יותר.״
  • ״העדכון גם מציג תכונות חדשות כגון היכולת לצותת לאודיו של מכשירי קשר אנלוגיים, לפענח 89 פרוטוקולי רדיו, להפעיל אפליקציות ישירות מכרטיסי microSD ולהאריך את חיי הסוללה לחודש במצב צריכת חשמל נמוכה.״

תגובות

  • פליפר זירו, מכשיר שמומן במימון המונים, קיבל עדכון קושחה משמעותי המאפשר לו לצותת למכשירי קשר, ובכך מקיים את הבטחתו לשיפורי תוכנה מתמשכים.
  • ״המכשיר בולט בזכות הרב-תכליתיות והממשק הידידותי למשתמש שלו, מה שהופך אותו לנגיש למשימות שונות בתחום תדרי הרדיו, בניגוד למקלטי רדיו מוגדרי תוכנה (SDRs) מסורתיים שדורשים מעבדים חזקים יותר.״
  • ״העדכון עורר עניין בשל יכולתו של Flipper Zero לבצע פונקציות מרובות מעבר להאזנה, מה שממצב אותו ככלי מקיף לחובבי תדרי רדיו ואנשי מקצוע.״

מדריך על מודלים של דיפוזיה להדמיה וראייה

  • ״המדריך של סטנלי ה. צ'אן מתמקד במודלים של דיפוזיה, שהם מרכזיים בכלים גנרטיביים ליישומים של טקסט לתמונה וטקסט לוידאו.״
  • זה מיועד לסטודנטים לתואר ראשון ושני המתעניינים בלמידת מכונה ובחזון ממוחשב, ומספק ידע בסיסי למחקר או ליישומים מעשיים.
  • המדריך עודכן פעמיים, כאשר הגרסה האחרונה הוגשה ב-6 בספטמבר 2024, וזמינה לקריאה נוספת ב-arXiv.

תגובות

  • מודרך על מודלים של דיפוזיה להדמיה וראייה הובלט, מעורר עניין בקרב חובבי טכנולוגיה וחוקרים.
  • ״משאבים ודיונים שונים משותפים, כולל מדריכי ה-YouTube של אנדריי קרפתי, הספר החדש של סבסטיאן רשקה על בניית מודלים לשוניים גדולים, וסדרת הווידאו של 3Blue1Brown על טרנספורמרים.״
  • המדריך מדגיש את הבסיס המתמטי של מודלים של דיפוזיה, עם הצעות למשאבים נגישים יותר כמו הקורס והפוסטים בבלוג של Hugging Face להבנה טובה יותר.

גיט באש הוא ה-shell המועדף עליי ב-Windows

  • גיט באש הובלט כקליפת חלונות מועדפת, המציעה פונקציונליות של שורת פקודה בסגנון יוניקס בתוך סביבת חלונות.
  • ״היתרונות המרכזיים כוללים היכרות עם פקודות bash, התקנה קלה, טביעת רגל קטנה ואינטגרציה עם סייר הקבצים של Windows.״
  • Git Bash תומך בהרבה פקודות וסקריפטים דמויי יוניקס, מה שהופך אותו לכלי רב-תכליתי עבור מפתחים העובדים בסביבת Windows.

תגובות

  • גיט באש מועדף על ידי משתמשי Windows רבים בשל היכרותו עם פקודות Unix, מה שהופך אותו לבחירה נוחה עבור אלו עם ניסיון בלינוקס.
  • בעוד ש-PowerShell זוכה לשבחים על הטיפול במידע מובנה ו-API של .NET, הוא לעיתים קרובות נתון לביקורת על ריבוי מילים ובעיות קידוד.
  • חלופות כמו WSL, MSYS2 ו-Busybox עבור Windows קיימות, אך Git Bash נשאר פופולרי בשל הפשטות והקלות בשימוש בו.

יש בינינו כאלה שאוהבים ביקורת קוד מסוג "interdiff"

  • ג'ריט קוד ריוויו הוא כלי קוד פתוח התואם למאגרי Git, המקל על כתיבת תיקונים, הגשתם, מתן משוב ותיקונים.
  • ״ביקורות קוד מסורתיות ב-GitHub יכולות להוביל ל"מרק דיפ", לסבך את היסטוריות הקומיטים ולהפוך כלים כמו git blame ו-git bisect לפחות יעילים.״
  • מתודת הביקורת "interdiff", שמפרסמת גרסאות חדשות של הקומיטים המקוריים, שומרת על היסטוריות קומיטים נקיות יותר ומפשטת את תהליך הביקורת באמצעות כלים כמו git range-diff.

תגובות

  • הדיון מדגיש את השימוש בזרימות עבודה של סקירת קוד "interdiff" ב-GitHub, המאפשרות לסוקרים לראות את ההבדלים עם המשוב המשולב מבלי לשבור את git blame ו-git bisect.
  • ״תהליך העבודה כולל שימוש ב-git commit --fixup, git rebase --interactive --autosquash, ו-git push --force-with-lease לניהול ומיזוג שינויים בצורה יעילה.״
  • ״השיחה מדגישה את המגבלות של חוויית המשתמש של GitHub בטיפול בתכונות מתקדמות של Git כמו ריבייסינג ואוטוסקוואש, ומציעה שכלים או תהליכי עבודה טובים יותר יכולים לשפר את תהליך סקירת הקוד.״

סימולטור לוטו (2023)

  • הסימולטור של הלוטו PerThirtySix מאפשר למשתמשים לחקור הסתברויות בלוטו ולדמות אלפי כרטיסים בשניות.
  • ״משתמשים יכולים להגדיר סימולציות עבור לוטרות אמריקאיות קיימות כמו מגה מיליונס ופאוורבול או ליצור כללים מותאמים אישית, כולל עלות כרטיס והסתברות לאיזון.״
  • הכלי מספק ויזואליזציות של תשואות וכולל הנחות מפשטות כגון זוכה יחיד בפרס הגדול והתעלמות ממסים.

תגובות

  • נוצר כלי חדש לסימולציה של לוטו, שמעורר עניין רב ומשוב ממשתמשים ב-Hacker News.
  • ״משתמשים מציעים שיפורים שונים, כגון אפשרות לסימולציה מהירה יותר, בחירת מספרים אקראיים לכל הגרלה, ומעקב אחר מספר האנשים שזכו בפרס הגדול.״
  • הכלי מדגיש את הסיכויים הנמוכים לזכייה בלוטו, אפילו כאשר משתמשים בבריכות מספרים מותאמות אישית, ומעורר דיונים על הסתברות, ערך צפוי (EV), והשפעת גודל הקופה על הזכיות.

״הלוואי שלא הייתי מתגעגע לאינטרנט של שנות ה-90 וה-2000״

  • ״בן 18 מביע נוסטלגיה לאינטרנט של שנות ה-90 וה-2000, ומשווה אותו לנוף המדיה החברתית הממוסחרת של היום.״
  • המחבר מבקר פלטפורמות מודרניות כמו אינסטגרם וטיקטוק על קידום שטחיות ו-FOMO (פחד מהחמצה), ומתגעגע ליצירתיות ולייחודיות של בלוגים אישיים ומייספייס.
  • ״הם מזכירים קהילה נישתית ב-Neocities שמעריכה את הרשת הישנה, אך מציינים שרוב העמיתים מוצאים תחומי עניין כאלה כבלתי רגילים.״

תגובות

  • ״המחבר נזכר באינטרנט של שנות ה-90 וה-00, ומדגיש את האנרגיה החובבנית, הפסאודו-אנונימיות והתחושה הנגד-תרבותית שלו, שהשפיעו באופן משמעותי על הקריירה שלהם בתעשיית המשחקים.״
  • ״הם מביעים נוסטלגיה לתחושת הפלא והקהילתיות של האינטרנט המוקדם, ומשווים אותה לאינטרנט הממוסחר והמבוסס על אלגוריתמים של היום.״
  • על אף ההתקדמות הטכנולוגית והגישה המוגברת, המחבר ואחרים מרגישים כי הערך המקורי של האינטרנט נפגע בשל הפיכתו למיינסטרים ומסחורו.

אמפרמטרAppleWatch

  • ״ניתן להשתמש ב-Apple Watch Series 5 ודגמים חדשים יותר כאמפרמטר למדידת זרמים ישרים על ידי ניצול המגנטומטר המובנה שלהם.״
  • ״על ידי כריכת סליל תיל סביב השעון, ניתן לזהות ולמדוד את השדה המגנטי הנוצר על ידי זרמים סמוכים, עם רגישות של כ-100 מיקרו-טסלה לאמפר.״
  • ניתן להשתמש באפליקציה כמו 'Sensor-App' לכיול ולהצגת הזרם באמפרים, מה שמאפשר זיהוי שינויים בזרם קטנים עד כדי 10 מיליאמפר.

תגובות

  • דיון סובב סביב הרעיון של שימוש במכשירים חכמים, כמו ה-Apple Watch, למדידת זרם חשמלי, עם התייחסויות לביוהאקינג עשה זאת בעצמך וניסויים היסטוריים הכוללים מגנטים של אדמה נדירה.
  • משתתפים מזכירים שיטות וכלים שונים, כגון חיישני אפקט הול ואפליקציות סמארטפון כמו Phyphox, למדידת זרם ומתח, ומדגישים את האופי החדשני אך המסוכן של ניסויים אלו.
  • ״השיחה כוללת הערות הומוריסטיות וספקולטיביות לגבי הפרקטיות והבטיחות של טכניקות הביוהאקינג הללו, המשקפות שילוב של סקרנות וספקנות.״

רדיקל 1.0 – חלופה מקומית-תחילה ו-P2P ל-GitHub

  • רדיקל 1.0, מערכת שיתוף פעולה בקוד עמיתים-לעמיתים המבוססת על Git, הושקה רשמית לאחר חמישה חודשים של משוב ו-17 גרסאות מועמדות.
  • ״תכונות עיקריות כוללות פרוטוקול רכילות וסנכרון עמית לעמית, אינטראקציות חברתיות (בעיות, תיקונים, ביקורות קוד), אימות מאובטח, ממשק שורת פקודה ואינטרנט אינטואיטיבי, תכונות פרטיות ובניות חתומות שניתנות לשחזור.״
  • תוכניות עתידיות עבור Radicle כוללות CI/CD מקומי, ממשק משתמש טרמינלי, סקירת קוד מתקדמת ועוד, עם אינטגרציות אקוסיסטם מתרחבות כמו תוספים ל-VS Code ו-JetBrains.

תגובות

  • Radicle 1.0 מוצג כחלופה מקומית-תחילה, עמית לעמית (P2P) ל-GitHub, ומעורר דיונים על מוזרויות התקנה והשוואות עם כלים כמו Forgejo ו-Homebrew.
  • משתמשים דנים במעשיות ובפילוסופיה של שיתוף פעולה בקוד מבוזר של Radicle, כאשר חלקם מעדיפים ניהול משימות פשוט יותר באמצעות מאגרי git על מכונות וירטואליות (VMs).
  • השיחה נוגעת גם במימון של Radicle, שיפורים פוטנציאליים, ושילוב עם כלים כמו ForgeFed ו-NOSTR.