Passa al contenuto principale

2024-07-31

Il nostro audit di Homebrew

  • Un audit di Homebrew, un gestore di pacchetti critico per macOS e Linux, ha rivelato problemi di sicurezza non critici che potrebbero consentire l'esecuzione di codice imprevisto e compromettere i flussi di lavoro CI/CD.
  • Le principali scoperte includevano vulnerabilità nel brew CLI, come le fughe dalla sandbox e le escalation di privilegi, e problemi nei flussi di lavoro CI/CD come le vulnerabilità di iniezione di shell.
  • Il controllo, sponsorizzato dall'Open Tech Fund, mirava a proteggere l'infrastruttura critica di internet, evidenziando l'importanza della sicurezza di Homebrew dato il suo ampio utilizzo.

Reazioni

  • Trail of Bits ha condotto un'analisi completa della sicurezza di Homebrew, un popolare gestore di pacchetti open-source per macOS, rivelando diverse preoccupazioni sulla sicurezza e aree di miglioramento.
  • Il controllo ha suscitato discussioni sulle problematiche intrinseche di sicurezza della catena di approvvigionamento nelle piattaforme di gestione dei pacchetti open-source, sottolineando la necessità di processi di verifica migliori e risposte più rapide alle fonti non affidabili.
  • Le conclusioni dell'audit hanno portato a un maggiore interesse per gestori di pacchetti alternativi come Nix, che alcuni utenti trovano più sicuro e flessibile, nonostante la sua complessità.

macOS in QEMU in Docker

  • Docker-OSX consente agli utenti di eseguire macOS in un container Docker con prestazioni quasi native, supportando versioni da High Sierra a Sonoma.
  • Il progetto è mantenuto da Sick.Codes e include funzionalità come l'inoltro X11, la ricerca sulla sicurezza di iMessage e il passthrough USB per iPhone.
  • Questo strumento è particolarmente utile per condurre ricerche sulla sicurezza su macOS utilizzando sia ambienti Linux che Windows.

Reazioni

  • È possibile eseguire macOS in QEMU all'interno di Docker, ma ci sono delle limitazioni, in particolare con l'accelerazione GPU, poiché le GPU Intel e NVIDIA più recenti non sono supportate.
  • Docker-OSX consente di eseguire macchine virtuali macOS in Docker, il che è utile per le build iOS utilizzando strumenti come Unity o React Native.
  • Redistribuire le immagini di macOS potrebbe violare il Contratto di Licenza con l'Utente Finale (EULA) di Apple, che limita macOS all'hardware Apple, tuttavia il progetto è popolare per lo sviluppo e il testing.

find + mkdir è Turing completo

Reazioni

  • Il reclamo che l'uso dei comandi find e mkdir sia Turing completo è stato ritirato a causa di una prova errata.
  • Il dibattito riguarda dettagli tecnici sui file system, le voci di directory e la Master File Table (MFT) in Windows, oltre a discussioni sulla completezza di Turing di vari sistemi come C e Python.
  • Il discorso esplora anche aspetti teorici delle macchine di Turing, della Regola 110 e della completezza funzionale, con la promessa di un aggiornamento se la dimostrazione viene corretta.

Meta introduce il modello Segment Anything 2

  • Meta ha introdotto il Segment Anything Model 2 (SAM 2), un modello di segmentazione per la selezione precisa degli oggetti in immagini e video utilizzando clic, riquadri o maschere come input.
  • SAM 2 eccelle nelle prestazioni zero-shot, nell'interattività in tempo reale e nell'elaborazione efficiente dei video, superando i modelli esistenti nella segmentazione degli oggetti.
  • Meta sta rilasciando un modello SAM 2 preaddestrato, il dataset SA-V, una demo e il codice alla comunità di ricerca, promuovendo l'innovazione aperta e ulteriori ricerche.

Reazioni

  • Meta ha lanciato il Segment Anything Model 2, suscitando un notevole interesse per il suo potenziale impatto sulla ricerca nell'IA e sull'industria tecnologica.
  • Alcuni esperti suggeriscono che Meta stia superando Google nei progressi dell'IA e nei contributi alla comunità, il che potrebbe portare a nuove innovazioni e valore aziendale.
  • Il dibattito include anche gli sforzi open-source di Meta e le implicazioni più ampie della tecnologia AI, nonché le dinamiche competitive tra le principali aziende tecnologiche.

Fondamentalmente, la creatività deriva dalla memorizzazione

  • Secondo l'autore, applicare sistemi a attività creative, come le transizioni da DJ e i modelli di umorismo, migliora la creatività attraverso l'interiorizzazione di conoscenze e schemi.
  • Promuovono un metodo di apprendimento che prevede la memorizzazione di schemi e l'esposizione a vari casi, applicabile non solo in ambito accademico ma anche in settori come lo sport e le vendite.
  • L'autore suggerisce che padroneggiare i fondamenti attraverso sistemi consente un'innovazione e una creatività di livello superiore, come si vede nell'expertise trasversale nei settori delle startup e della musica.

Reazioni

  • Spesso la creatività è legata alla conoscenza interiorizzata, che può essere il risultato della memorizzazione.
  • Esiste un dibattito sul fatto che la memorizzazione meccanica sia essenziale per la creatività, con alcuni che sostengono l'importanza della comprensione e del contesto rispetto alla mera ripetizione.
  • Interiorizzare i concetti attraverso l'esposizione ripetuta può aiutare a sviluppare euristiche e schemi utili per applicazioni creative.

Risoluzione dei problemi: Ritardo del terminale

  • Il utente ha riscontrato un notevole ritardo nell'aprire xterm su una macchina con Windows 11 rispetto a una workstation Fedora Linux, con Windows che impiega circa 1600ms inizialmente.
  • Il profiling e il debugging hanno rivelato che disabilitare gli effetti delle finestre e alcune funzionalità di xterm, come la toolbar e l'emulazione Tektronix, ha migliorato le prestazioni.
  • Implementare una modalità server con mappatura differita utilizzando una libreria LD_PRELOAD ha ulteriormente ridotto il tempo di avvio a circa 366ms su Windows, rendendolo quasi veloce come su Fedora.

Reazioni

  • Il articolo discute la risoluzione dei problemi di ritardo del terminale, concentrandosi specificamente sul Microsoft Console Debugger (cdb) e sui suoi comandi per modificare il comportamento delle funzioni.
  • Mettere in evidenza l'uso del comando eb win32u!NtUserSetLayeredWindowAttributes c3 per disabilitare una funzione sostituendo il suo primo byte con un'istruzione ret, facendola ritornare immediatamente.
  • Il dibattito include varie esperienze degli utenti e metodi per misurare e ridurre il tempo di avvio del terminale, come l'uso dello strumento di benchmarking hyperfine e diversi emulatori di terminale.

Rustgo: Chiamare Rust da Go con quasi zero overhead (2017)

  • Il post esplora come chiamare Rust da Go per sostituire il codice assembly, mirando a un sovraccarico quasi nullo senza richiedere una conoscenza approfondita di Rust o del compilatore.
  • Rust è scelto per la sua alta ottimizzabilità e leggibilità rispetto all'assembly, e l'approccio mostra migliori prestazioni rispetto all'uso di cgo per funzioni piccole e critiche.
  • Il benchmarking indica che chiamare Rust da Go è quasi veloce quanto una chiamata di funzione nativa di Go e significativamente più veloce di cgo, rendendolo adatto per compiti critici in termini di prestazioni.

Reazioni

  • Rustgo è uno strumento che consente di chiamare codice Rust da Go con un sovraccarico quasi nullo, il che è significativo per le applicazioni sensibili alle prestazioni.
  • Il dibattito mette in evidenza le complessità e i potenziali rischi dell'utilizzo dell'Interfaccia di Funzione Straniera (FFI) tra diversi linguaggi di programmazione, in particolare Go e Rust.
  • Si fanno confronti con altri linguaggi come C# e Python, sottolineando i compromessi nelle prestazioni dell'FFI e l'importanza di scegliere lo strumento giusto per il lavoro.

Preferisco rST al Markdown

  • Il autore ha rilasciato "Logic for Programmers v0.2", che include il supporto per epub, la risoluzione dei vincoli e contenuti di specifiche formali.
  • Il autore preferisce reStructuredText (rST) rispetto a Markdown per la sua superiore personalizzazione ed estensibilità, particolarmente utile per esigenze di documentazione complesse.
  • È stata creata un'estensione personalizzata per gli esercizi in rST per il libro, al fine di gestire i diversi requisiti di rendering per i formati HTML, epub e PDF.

Reazioni

  • reStructuredText (rST) è preferito per i libri tecnici grazie alla sua estensibilità e alle sue capacità semantiche, specialmente quando combinato con Sphinx.
  • Markdown è più semplice e leggibile, rendendolo ideale per appunti veloci e documentazione quotidiana.
  • Le funzionalità di rST, come gli oggetti di testo personalizzati e la risoluzione garantita dei collegamenti interni, sono cruciali per progetti di documentazione complessi, ma la semplicità e il supporto di Markdown lo rendono più popolare per l'uso generale.

Call of Duty: Warzone Caldera Set di Dati per Uso Accademico

  • Activision ha rilasciato un set di dati di Call of Duty®: Warzone™ Caldera per uso accademico, come indicato dai metadati della pagina.
  • Il rilascio è significativo per i ricercatori e gli accademici interessati all'analisi dei dati di gioco e potrebbe favorire nuovi studi e approfondimenti nell'industria dei videogiochi.
  • Il set di dati è accessibile tramite il blog di Activision, evidenziando il supporto dell'azienda per la ricerca accademica e la trasparenza dei dati.

Reazioni

  • Activision ha rilasciato un set di dati di Call of Duty: Warzone Caldera per uso accademico su GitHub, includendo risorse di livello di gioco e dati di movimento dei giocatori.
  • Il set di dati è utile per la ricerca grafica, lo sviluppo di motori, la definizione di posizioni strategiche e il test di algoritmi di ray tracing, con potenziali applicazioni nello sviluppo di IA e nel rilevamento di cheat.
  • Il rilascio è considerato vantaggioso per scopi accademici e di ricerca, anche se alcuni lo vedono come uno strumento di reclutamento a causa della sua licenza non commerciale.

Creare binari statici con Go su Linux

  • Go può produrre binari staticamente collegati su sistemi Unix, ma richiede tag di build specifici o la disabilitazione di cgo.
  • Strumenti come file, ldd e nm possono verificare se un binario Go è collegato staticamente.
  • Utilizzare Zig come compilatore C semplifica il processo e supporta la cross-compilazione per il collegamento statico.

Reazioni

  • Compilare binari statici con Go su Linux comporta l'uso di flag e considerazioni specifiche, come l'utilizzo di -tags sqlite_omit_load_extension per SQLite se non vengono utilizzate estensioni.
  • Il dibattito mette in evidenza l'uso di WebAssembly (WASM) per SQLite, che offre prestazioni e manutenibilità migliori rispetto ai metodi tradizionali come la transpile di modernc.
  • Ci sono sfide e problemi di prestazioni associati all'uso di diversi allocatori e implementazioni di libc, come musl, quando si costruiscono binari Go statici, come sperimentato da aziende come Tailscale.

Microprocessori superconduttori? Si scopre che sono ultra-efficienti (2021)

  • È stato sviluppato un prototipo di microprocessore superconduttore a 2,5 GHz, che utilizza 80 volte meno energia rispetto ai microprocessori a semiconduttore tradizionali, anche tenendo conto del raffreddamento.
  • Il microprocessore MANA, basato sulla tecnologia Adiabatic Quantum-Flux-Parametron (AQFP), contiene oltre 20.000 giunzioni Josephson superconduttrici.
  • Questo è il primo microprocessore superconduttore adiabatica, segnando un significativo avanzamento nella tecnologia di calcolo a basso consumo energetico.

Reazioni

  • Ricercatori in Giappone stanno sviluppando microprocessori superconduttori ultra-efficienti che operano adiabaticamente, evitando teoricamente la perdita o il guadagno di energia durante il calcolo.
  • Questa tecnologia sfida il principio di Landauer, che afferma che cancellare informazioni richiede energia, utilizzando il calcolo reversibile con porte logiche speciali come la porta Toffoli per minimizzare il consumo di energia.
  • Nonostante la sua promettente efficienza, l'implementazione pratica affronta sfide significative, in particolare nel raffreddamento e nella scalabilità per l'uso pratico, e richiede ancora energia per impostare i bit iniziali e gestire il rumore ambientale.

Perché il bug di CrowdStrike ha colpito duramente le banche

  • Il 19 luglio, un bug di configurazione in CrowdStrike Falcon, un software di monitoraggio degli endpoint, ha causato guasti catastrofici nei sistemi Windows, colpendo gravemente il settore bancario e altre industrie.
  • Il bug ha portato a diffuse interruzioni operative, inclusi cassieri e banchieri inattivi, e ha persino causato l'esaurimento del contante fisico in alcune banche, evidenziando le vulnerabilità nell'infrastruttura finanziaria.
  • Le autorità di regolamentazione bancaria degli Stati Uniti hanno influenzato indirettamente l'adozione di tali strumenti di sicurezza che, sebbene destinati alla protezione, possono introdurre vulnerabilità significative a causa dei loro alti privilegi e del loro uso diffuso.

Reazioni

  • Un bug di CrowdStrike ha causato significative interruzioni nelle banche a causa di un aggiornamento automatico che ha bypassato i controlli esistenti.
  • Il incidente ha scatenato dibattiti sui rischi di affidarsi a singoli fornitori e sulla necessità di strategie di aggiornamento migliori.
  • Nonostante i problemi diffusi, alcuni utenti hanno riscontrato un impatto minimo, dimostrando la resilienza di alcuni sistemi.

Costruzione del sito sotterraneo "Cheshire" di AT&T Long Lines

  • Il centro ATT di Cheshire, costruito nel 1966, è un complesso sotterraneo progettato per comunicazioni militari critiche, dotato di un cavo portante analogico L4 rinforzato e di un commutatore a 4 fili AUTOVON.
  • Le strutture includono un'infrastruttura estesa per la filtrazione dell'aria, la generazione di energia e la protezione dalle esplosioni, garantendo la continuità operativa durante eventi nucleari.
  • Il sito serviva anche come snodo metropolitano per Hartford e New Haven, collegandosi a vari altri percorsi e strutture di comunicazione critici.

Reazioni

  • Il sito sotterraneo "Cheshire" di AT&T Long Lines era un centro di commutazione AUTOVON, costruito per resistere a una guerra nucleare utilizzando la tecnologia 1ESS di Western Electric.
  • Questi centri erano situati strategicamente lontano dalle principali città e dai bersagli militari, dotati di collegamenti ridondanti, strutture rinforzate e protezione per il raffreddamento e la contaminazione per i lavoratori.
  • Le infrastrutture, sviluppate durante la Guerra Fredda, includevano estesi collegamenti punto-punto a microonde e utilizzavano sia gli switch 1ESS che quelli Number 5 Crossbar, evidenziando la loro resilienza e complessità.

Quanto è stato grande il Grande Evento di Ossidazione?

  • Nonostante ricerche approfondite, gli scienziati non sono certi di quando l'atmosfera terrestre abbia avuto abbastanza ossigeno per sostenere le prime forme di vita animale.
  • Nuove scoperte da Rio Tinto, in Spagna, suggeriscono che una quantità sufficiente di ossigeno per l'evoluzione degli animali potrebbe essere stata presente quasi 2 miliardi di anni prima della comparsa degli animali.
  • Ricerche recenti indicano che i livelli fluttuanti di ossigeno negli oceani, la scarsità di cibo o il tempo di sviluppo genetico, piuttosto che i livelli di ossigeno, potrebbero aver ritardato l'evoluzione animale.

Reazioni

  • Il Grande Evento di Ossidazione (GOE) segnò un aumento significativo dell'ossigeno atmosferico terrestre dovuto ai microbi fotosintetici per almeno 400 milioni di anni.
  • Questo aumento di ossigeno ha permesso lo sviluppo di forme di vita complesse e la possibilità del fuoco, ma ha causato un'estinzione di massa degli organismi anaerobici.
  • Il GOE è cruciale per l'astrobiologia, poiché alti livelli di ossigeno sugli esopianeti possono indicare una potenziale attività biologica, con ricerche in corso che continuano a perfezionare la nostra comprensione.

FakeTraveler: Falsifica la posizione del tuo telefono (Posizione simulata per Android)

  • FakeTraveler è un'app Android che consente agli utenti di falsificare la posizione del proprio telefono per motivi di privacy o per testare le app.
  • Gli utenti possono selezionare una posizione tramite una mappa o inserire specifiche coordinate di latitudine e longitudine, quindi applicare le modifiche.
  • Per utilizzare FakeTraveler, gli utenti devono abilitare le opzioni sviluppatore e impostare FakeTraveler come app di posizione fittizia.

Reazioni

  • FakeTraveler è un'app di localizzazione fittizia per Android che consente agli utenti di falsificare la posizione del proprio telefono.
  • L'app è open-source e disponibile su F-Droid, un repository per app Android gratuite e open-source.
  • Nonostante la sua funzionalità, alcuni utenti notano che potrebbe non aggirare determinate restrizioni delle app, come quelle nelle app bancarie o in Pokémon Go, senza misure aggiuntive come il rooting del dispositivo.