Gå til hovedinnhold

2024-07-31

Onze audit van Homebrew

  • Een audit van Homebrew, een cruciale pakketbeheerder voor macOS en Linux, onthulde niet-kritieke beveiligingsproblemen die onverwachte code-uitvoering en compromittering van CI/CD-workflows zouden kunnen toestaan.
  • Belangrijke bevindingen omvatten kwetsbaarheden in de brew CLI, zoals sandbox-ontsnappingen en privilege-escalaties, en problemen in CI/CD-workflows zoals shell-injectie kwetsbaarheden.
  • De audit, gesponsord door het Open Tech Fund, was gericht op het beveiligen van kritieke internetinfrastructuur en benadrukte het belang van Homebrew's beveiliging gezien het uitgebreide gebruik ervan.

Reaksjoner

  • Trail of Bits voerde een uitgebreide beveiligingsaudit uit van Homebrew, een populaire open-source pakketbeheerder voor macOS, waarbij verschillende beveiligingsproblemen en verbeterpunten aan het licht kwamen.
  • De audit heeft discussies aangewakkerd over de inherente beveiligingsproblemen in de toeleveringsketen bij open-source pakketbeheerplatforms, waarbij de nadruk ligt op de noodzaak van betere beoordelingsprocessen en snellere reacties op onbetrouwbare bronnen.
  • De auditbevindingen hebben geleid tot een verhoogde interesse in alternatieve pakketbeheerders zoals Nix, die sommige gebruikers veiliger en flexibeler vinden, ondanks de complexiteit ervan.

macOS in QEMU in Docker

  • Docker-OSX stelt gebruikers in staat om macOS in een Docker-container uit te voeren met bijna-native prestaties, en ondersteunt versies van High Sierra tot Sonoma.
  • Het project wordt onderhouden door Sick.Codes en bevat functies zoals X11-forwarding, iMessage-beveiligingsonderzoek en iPhone USB-passthrough.
  • Deze tool is bijzonder nuttig voor het uitvoeren van beveiligingsonderzoek op macOS met zowel Linux- als Windows-omgevingen.

Reaksjoner

  • Het draaien van macOS in QEMU binnen Docker is haalbaar, maar heeft beperkingen, vooral met GPU-versnelling, aangezien nieuwere Intel- en NVIDIA-GPU's niet worden ondersteund.
  • Met Docker-OSX kun je macOS-virtuele machines in Docker draaien, wat voordelig is voor iOS-builds met tools zoals Unity of React Native.
  • Het herverdelen van macOS-afbeeldingen kan inbreuk maken op Apple's Eindgebruikerslicentieovereenkomst (EULA), die macOS beperkt tot Apple-hardware, maar het project is populair voor ontwikkeling en testen.

find+mkdir` is Turing compleet

Reaksjoner

  • De bewering dat het gebruik van de find en mkdir commando's Turing compleet is, is ingetrokken vanwege een gebrekkig bewijs.
  • De discussie gaat over technische details met betrekking tot bestandssystemen, directory-invoeren en de Master File Table (MFT) in Windows, evenals debatten over de Turing-volledigheid van verschillende systemen zoals C en Python.
  • Het gesprek verkent ook theoretische aspecten van Turing-machines, Regel 110 en functionele volledigheid, met een update beloofd als het bewijs wordt gecorrigeerd.

Meta introduceert Segment Anything Model 2

  • Meta heeft het Segment Anything Model 2 (SAM 2) geïntroduceerd, een segmentatiemodel voor nauwkeurige objectselectie in afbeeldingen en video's met behulp van klikken, vakken of maskers als invoer.
  • SAM 2 blinkt uit in zero-shot prestaties, realtime interactiviteit en efficiënte videobewerking, en overtreft bestaande modellen in objectsegmentatie.
  • Meta brengt een vooraf getraind SAM 2-model, de SA-V-dataset, een demo en code uit naar de onderzoeksgemeenschap, ter bevordering van open innovatie en verder onderzoek.

Reaksjoner

  • Meta heeft het Segment Anything Model 2 gelanceerd, wat aanzienlijke interesse heeft gewekt in de mogelijke impact ervan op AI-onderzoek en de technologiesector.
  • Enkele experts suggereren dat Meta Google overtreft in AI-vooruitgangen en gemeenschapsbijdragen, wat zou kunnen leiden tot nieuwe innovaties en zakelijke waarde.
  • De discussie omvat ook Meta's open-source inspanningen en de bredere implicaties van AI-technologie, evenals de concurrentiedynamiek tussen grote technologiebedrijven.

Creativiteit komt fundamenteel voort uit memorisatie

  • De auteur stelt dat het toepassen van systemen op creatieve bezigheden, zoals DJ-overgangen en humorpatronen, de creativiteit bevordert door kennis en patronen te internaliseren.
  • Zij pleiten voor een leermethode die het memoriseren van patronen en het blootstellen aan verschillende gevallen omvat, wat kan worden toegepast buiten de academische wereld in gebieden zoals sport en verkoop.
  • De auteur suggereert dat het beheersen van de basisprincipes door middel van systemen hogere niveaus van innovatie en creativiteit mogelijk maakt, zoals te zien is in domeinoverschrijdende expertise in startups en muziek.

Reaksjoner

  • Creativiteit wordt vaak gekoppeld aan geïnternaliseerde kennis, wat een resultaat kan zijn van memorisatie.
  • Er is een debat over de vraag of het uit het hoofd leren essentieel is voor creativiteit, waarbij sommigen pleiten voor het belang van begrip en context boven louter herhaling.
  • Het internaliseren van concepten door herhaalde blootstelling kan helpen bij het ontwikkelen van heuristieken en patronen die nuttig zijn voor creatieve toepassingen.

Problemen oplossen: Terminalvertraging

  • De gebruiker ervoer aanzienlijke vertraging bij het openen van xterm op een Windows 11-machine in vergelijking met een Fedora Linux-werkstation, waarbij Windows aanvankelijk ongeveer 1600 ms nodig had.
  • Profilering en foutopsporing onthulden dat het uitschakelen van venstereffecten en bepaalde xterm-functies, zoals de werkbalk en Tektronix-emulatie, de prestaties verbeterde.
  • Het implementeren van een servermodus met uitgestelde mapping met behulp van een LD_PRELOAD-bibliotheek verminderde de opstarttijd verder tot ongeveer 366 ms op Windows, waardoor het bijna net zo snel was als op Fedora.

Reaksjoner

  • Het artikel bespreekt het oplossen van terminalvertraging, met specifieke aandacht voor de Microsoft Console Debugger (cdb) en de bijbehorende commando's om het gedrag van functies te wijzigen.
  • Het benadrukt het gebruik van het eb win32u!NtUserSetLayeredWindowAttributes c3-commando om een functie uit te schakelen door het eerste byte te vervangen door een ret-instructie, waardoor het onmiddellijk terugkeert.
  • De discussie omvat verschillende gebruikerservaringen en methoden om de opstarttijd van de terminal te meten en te verminderen, zoals het gebruik van de hyperfine benchmarking tool en verschillende terminalemulators.

Rustgo: Rust aanroepen vanuit Go met bijna nul overhead (2017)

  • Het artikel onderzoekt het aanroepen van Rust vanuit Go om assembly code te vervangen, met als doel bijna geen overhead zonder diepgaande kennis van Rust of de compiler te vereisen.
  • Rust wordt gekozen vanwege de hoge optimaliseerbaarheid en leesbaarheid in vergelijking met assembly, en de aanpak toont betere prestaties dan het gebruik van cgo voor kleine, veelgebruikte functies.
  • Benchmarking geeft aan dat het aanroepen van Rust vanuit Go bijna net zo snel is als een native Go-functieaanroep en aanzienlijk sneller dan cgo, waardoor het geschikt is voor prestatiekritische taken.

Reaksjoner

  • Rustgo is een tool die het mogelijk maakt om Rust-code aan te roepen vanuit Go met bijna geen overhead, wat belangrijk is voor prestatiegevoelige toepassingen.
  • De discussie benadrukt de complexiteit en mogelijke valkuilen van het gebruik van Foreign Function Interface (FFI) tussen verschillende programmeertalen, met name Go en Rust.
  • Er worden vergelijkingen gemaakt met andere talen zoals C# en Python, waarbij de afwegingen in FFI-prestaties en het belang van het kiezen van het juiste gereedschap voor de taak worden benadrukt.

Ik geef de voorkeur aan rST boven Markdown

  • De auteur heeft "Logic for Programmers v0.2" uitgebracht, met ondersteuning voor epub, constraint solving en formele specificatie-inhoud.
  • De auteur geeft de voorkeur aan reStructuredText (rST) boven Markdown vanwege de superieure aanpasbaarheid en uitbreidbaarheid, wat vooral nuttig is voor complexe documentatiebehoeften.
  • Er werd een aangepaste oefeningsuitbreiding in rST gemaakt voor het boek om verschillende weergavevereisten voor HTML-, epub- en PDF-formaten te verwerken.

Reaksjoner

  • reStructuredText (rST) wordt geprefereerd voor technische boeken vanwege zijn uitbreidbaarheid en semantische mogelijkheden, vooral in combinatie met Sphinx.
  • Markdown is eenvoudiger en beter leesbaar, waardoor het ideaal is voor snelle notities en dagelijkse documentatie.
  • De functies van rST, zoals aangepaste tekstobjecten en gegarandeerde interne linkresolutie, zijn cruciaal voor complexe documentatieprojecten, maar de eenvoud en ondersteuning van Markdown maken het populairder voor algemeen gebruik.

Call of Duty: Warzone Caldera Data Set voor academisch gebruik

  • Activision heeft een Call of Duty®: Warzone™ Caldera-dataset vrijgegeven voor academisch gebruik, zoals aangegeven door de paginametadata.
  • De release is significant voor onderzoekers en academici die geïnteresseerd zijn in game data-analyse en kan nieuwe studies en inzichten in de gamingindustrie bevorderen.
  • De dataset is toegankelijk via Activisions blog, wat de steun van het bedrijf voor academisch onderzoek en datatransparantie benadrukt.

Reaksjoner

  • Activision heeft een Call of Duty: Warzone Caldera dataset vrijgegeven voor academisch gebruik op GitHub, inclusief spelniveau-assets en spelersbewegingsgegevens.
  • De dataset is nuttig voor grafisch onderzoek, motorontwikkeling, het definiëren van strategische locaties en het testen van ray tracing-algoritmen, met potentiële toepassingen in AI-ontwikkeling en het detecteren van valsspelen.
  • De release wordt gezien als gunstig voor academische en onderzoeksdoeleinden, hoewel sommigen het beschouwen als een wervingsinstrument vanwege de niet-commerciële licentie.

Statische binaries bouwen met Go op Linux

  • Go kan produsere statisk lenkede binærfiler på Unix-systemer, men det krever spesifikke byggemerker eller deaktivering av cgo.
  • Tools zoals file, ldd en nm kunnen verifiëren of een Go-binary statisch is gelinkt.
  • Het gebruik van Zig als een C-compiler vereenvoudigt het proces en ondersteunt cross-compilatie voor statische linking.

Reaksjoner

  • Het bouwen van statische binaries met Go op Linux omvat specifieke vlaggen en overwegingen, zoals het gebruik van -tags sqlite_omit_load_extension voor SQLite als er geen extensies worden gebruikt.
  • De discussie benadrukt het gebruik van WebAssembly (WASM) voor SQLite, wat betere prestaties en onderhoudbaarheid biedt in vergelijking met traditionele methoden zoals modernc transpile.
  • Er zijn utfordringer og ytelsesproblemer knyttet til bruk av forskjellige allokatorer og libc-implementasjoner, som musl, når man bygger statiske Go-binærfiler, slik selskaper som Tailscale har erfart.

Supergeleidende microprocessors? Het blijkt dat ze ultra-efficiënt zijn (2021)

  • Een 2,5 GHz supergeleidende microprocessorprototype is ontwikkeld, die 80 keer minder energie verbruikt dan traditionele halfgeleider-microprocessors, zelfs wanneer rekening wordt gehouden met koeling.
  • De MANA-microprocessor, gebaseerd op Adiabatic Quantum-Flux-Parametron (AQFP) technologie, bevat meer dan 20.000 supergeleider Josephson-juncties.
  • Dit is de eerste adiabatische supergeleidende microprocessor, wat een belangrijke vooruitgang markeert in energie-efficiënte computerttechnologie.

Reaksjoner

  • Onderzoekers in Japan ontwikkelen ultra-efficiënte supergeleidende microprocessors die adiabatisch werken, waardoor ze theoretisch energieverlies of -winst tijdens berekeningen vermijden.
  • Deze technologie daagt het principe van Landauer uit, dat stelt dat het wissen van informatie energie vereist, door gebruik te maken van omkeerbare berekeningen met speciale logische poorten zoals de Toffoli-poort om het energieverbruik te minimaliseren.
  • Ondanks de veelbelovende efficiëntie, ondervindt de praktische implementatie aanzienlijke uitdagingen, vooral bij het koelen en schalen voor praktisch gebruik, en vereist nog steeds energie om initiële bits in te stellen en omgevingsgeluid te beheren.

Waarom de CrowdStrike-bug banken hard trof

  • Op 19 juli veroorzaakte een configuratiefout in CrowdStrike Falcon, een endpoint monitoring software, catastrofale storingen in Windows-systemen, wat ernstige gevolgen had voor de banksector en andere industrieën.
  • De bug leidde tot wijdverspreide operationele verstoringen, waaronder het stilleggen van kassiers en bankiers, en zorgde er zelfs voor dat sommige banken zonder fysiek geld kwamen te zitten, wat kwetsbaarheden in de financiële infrastructuur benadrukte.
  • Amerikaanse bankregulatoren beïnvloedden indirect de adoptie van dergelijke beveiligingshulpmiddelen, die, hoewel bedoeld voor bescherming, aanzienlijke kwetsbaarheden kunnen introduceren vanwege hun hoge privileges en wijdverbreid gebruik.

Reaksjoner

  • Een CrowdStrike-bug veroorzaakte aanzienlijke verstoringen in banken door een automatische update die bestaande controles omzeilde.
  • Het incident heeft debatten aangewakkerd over de risico's van het vertrouwen op enkele leveranciers en de noodzaak voor betere update-strategieën.
  • Ondanks de wijdverspreide problemen ondervonden sommige gebruikers minimale impact, wat de veerkracht van bepaalde systemen aantoont.

De bouw van de AT&T Long Lines "Cheshire" ondergrondse locatie

  • De Cheshire ATT-faciliteit, gebouwd in 1966, is een ondergronds complex ontworpen voor kritieke militaire communicatie, met een geharde analoge L4-draagkabel en een AUTOVON 4-draads schakelaar.
  • De faciliteit omvat uitgebreide infrastructuur voor luchtfiltratie, stroomopwekking en explosiebescherming, wat operationele continuïteit tijdens nucleaire gebeurtenissen garandeert.
  • De locatie diende ook als een stedelijk knooppunt voor Hartford en New Haven, met verbindingen naar verschillende andere belangrijke communicatiepaden en -faciliteiten.

Reaksjoner

  • De AT&T Long Lines "Cheshire" ondergrondse locatie was een AUTOVON-schakelcentrum, gebouwd om een nucleaire oorlog te doorstaan met behulp van Western Electric's 1ESS-technologie.
  • Deze centra waren strategisch gelegen weg van grote steden en militaire doelen, met redundante verbindingen, versterkte structuren en koeling en besmettingsbescherming voor werknemers.
  • De infrastructuur, ontwikkeld tijdens de Koude Oorlog, omvatte uitgebreide microgolf point-to-point verbindingen en gebruikte zowel 1ESS als Number 5 Crossbar schakelaars, wat de veerkracht en complexiteit ervan benadrukt.

Hoe groot was de Grote Oxidatiegebeurtenis?

  • Wetenschappers zijn onzeker over wanneer de atmosfeer van de aarde genoeg zuurstof had om vroeg dierlijk leven te ondersteunen, ondanks uitgebreid onderzoek.
  • Nieuwe bevindingen uit Rio Tinto, Spanje, suggereren dat er voldoende zuurstof voor de evolutie van dieren aanwezig zou kunnen zijn geweest bijna 2 miljard jaar voordat dieren verschenen.
  • Recent onderzoek wijst erop dat schommelende zuurstofniveaus in de oceaan, voedseltekort of genetische ontwikkelingstijd, in plaats van zuurstofniveaus, de evolutie van dieren mogelijk hebben vertraagd.

Reaksjoner

  • Het Grote Oxidatie Evenement (GOE) markeerde een significante stijging van de zuurstof in de atmosfeer van de aarde door fotosynthetische microben gedurende minstens 400 miljoen jaar.
  • Deze toename van zuurstof maakte de ontwikkeling van complexe levensvormen en de mogelijkheid van vuur mogelijk, maar veroorzaakte een massale uitsterving van anaerobe organismen.
  • De GOE is cruciaal voor astrobiologie, aangezien hoge zuurstofniveaus op exoplaneten kunnen wijzen op potentiële biologische activiteit, waarbij lopend onderzoek voortdurend ons begrip verfijnt.

FakeTraveler: Fake waar je telefoon zich bevindt (Mock locatie voor Android)

  • FakeTraveler is een Android-app waarmee gebruikers de locatie van hun telefoon kunnen vervalsen voor privacy- of app-testdoeleinden.
  • Gebruikers kunnen een locatie selecteren via een kaart of specifieke breedte- en lengtegraadcoördinaten invoeren, en vervolgens de wijzigingen toepassen.
  • Om FakeTraveler te gebruiken, må brukere aktivere Utvikleralternativer og sette FakeTraveler som appen for falsk posisjon.

Reaksjoner

  • FakeTraveler is een nep-locatie app voor Android waarmee gebruikers de locatie van hun telefoon kunnen vervalsen.
  • De app is open-source en beschikbaar op F-Droid, een repository voor gratis en open-source Android-apps.
  • Ondanks de functionaliteit merken sommige gebruikers op dat het mogelijk niet bepaalde app-beperkingen omzeilt, zoals die in bankapps of Pokémon Go, zonder aanvullende maatregelen zoals het rooten van het apparaat.