Hoppa till huvudinnehåll

2024-09-11

Vi spenderade 20 dollar för att uppnå RCE och blev av misstag administratörer för .mobi

  • Forskare utnyttjade sårbarheter i WHOIS-klienter och upptäckte att den gamla .MOBI TLD WHOIS-serverdomänen var tillgänglig för köp, vilket ledde till oväntad kontroll över domänen.
  • Deras server mottog 2,5 miljoner förfrågningar från olika enheter, inklusive regering och militär, cybersäkerhetsföretag och certifikatutfärdare (CAs), vilket exponerade betydande säkerhetsrisker.
  • Incidenten belyser sårbarheter i WHOIS-systemet och CA-verifieringsprocessen, vilket understryker behovet av kontinuerlig säkerhetstestning och vaksamhet mot föråldrad internetinfrastruktur.

Reaktioner

  • Forskare spenderade 20 dollar för att få fjärrkodskörning (RCE) och blev av misstag administratörer för .mobi TLD på grund av en utgången domän.
  • Incidenten understryker vikten av att aldrig låta en domän löpa ut och antyder att Verisigns monopol på domäner bör regleras.
  • Artikeln betonar TLS/SSL:s bräcklighet och det kritiska behovet av att upprätthålla domänägarskap för att förhindra säkerhetsintrång.

Varför är Pave lagligt?

  • Pave, en YC-stödd startup, hjälper andra startups med ersättning genom att integrera med HR- och lönesystem för att samla in data och tillhandahålla uppdelningar av ersättningsintervall.
  • Det finns farhågor om huruvida denna praxis kan betraktas som konkurrenshämmande lönefixering, liknande fallet med RealPage, vilket väcker frågor om lagligheten i att samarbeta om löner.
  • Legaliteten och de etiska konsekvenserna av Paves affärsmodell granskas, eftersom samverkan kring löner i allmänhet är olagligt.

Reaktioner

  • Pave, en startup med stöd från YC, samlar in data från HR- och lönesystem för att tillhandahålla löneintervall, vilket väcker frågor om potentiella konkurrensbegränsande metoder.
  • Critics compare Pave's service to RealPage's rent pricing issues, while others argue that sharing compensation data isn't illegal without explicit wage-fixing agreements.
  • Liknande tjänster, såsom Equifaxs "The Work Number" och Radford, har funnits i flera år, men oro över integritet och lönedämpning kvarstår.

Ytterligare en polisräd i Tyskland

  • Den 16 augusti 2024 gjorde tysk polis en razzia mot hemmet och kontoret tillhörande Artikel 5 e.V., med målet att av-anonymisera Tor-användare, men beslagtog ingen hårdvara.
  • Artikel 5 e.V. planerar att juridiskt bestrida husrannsakningsordern för att förhindra framtida räder och kallar till en allmän sammankomst den 21 september 2024 för att diskutera organisationens framtid.
  • Församlingen kommer att överväga alternativ som att hitta nya styrelsemedlemmar, stoppa exitnoder eller likvidera organisationen, med detaljer tillgängliga på deras webbplats.

Reaktioner

  • En användare på Tor Projects forum delade med sig av sin erfarenhet av att driva Tor-exitnoder i fem år, under vilken tid deras värdleverantör mottog tre stämningar från brottsbekämpande myndigheter.
  • Stämningarna var relaterade till allvarliga incidenter, inklusive ett bombhot, phishingmejl och statsstödda hackare från Qatar, vilket ledde till att användaren stängde ner sina exitnoder på grund av stress över potentiella juridiska konsekvenser.
  • Diskussionen belyste de etiska konsekvenserna och balansen mellan integritet och brottsförebyggande, med förhoppningar om att återuppta verksamheten i framtiden trots utmaningar från brottsbekämpande myndigheter.

Magin med DC-DC spänningsomvandling (2023)

Reaktioner

  • DC-DC-omvandlare använder induktorer för att skapa spänningsspikar, vilka laddar kondensatorer, liknande ett bilens tändsystem.
  • De är effektiva men kräver säkerhetsåtgärder som strömbegränsare eller säkringar för att förhindra bränder.
  • Typer inkluderar boost-, buck- och transformatorbaserade omvandlare, där den sistnämnda erbjuder ingångs-utgångsisolering för säkerhet; praktiska användningsområden inkluderar att omvandla USB 5V till 120V för antika enheter.

Chai-1: Avkodning av livets molekylära interaktioner

  • Chai-1 är en ny multimodal grundmodell för förutsägelse av molekylstrukturer, som utmärker sig inom läkemedelsupptäckt, och är tillgänglig gratis via ett webbgränssnitt för kommersiellt bruk och som ett mjukvarubibliotek för icke-kommersiellt bruk.
  • Den uppnår en framgångsgrad på 77 % på PoseBusters-benchmarken och överträffar AlphaFold-Multimer i vikning av multimers, med en noggrannhet på 69,8 %.
  • Chai-1 kan förutsäga multimerstrukturer med hjälp av enskilda sekvenser och fördubbla noggrannheten i antikropp-antigenstrukturförutsägelse med epitopkonditionering.

Reaktioner

  • Chai-1, en ny modell för avkodning av molekylära interaktioner, har släppts och väckt stort intresse i teknikgemenskapen.
  • Modellen påstår sig förbättra AlphaFold, ett välkänt verktyg för förutsägelse av proteinstrukturer, men förbättringarna är marginella, med endast 1 % högre poäng på en metrisk skala.
  • Farhågor har väckts om den potentiella missbruket av sådan teknik för att skapa biovapen, även om experter hävdar att komplexiteten i molekylärbiologi gör detta osannolikt.

Hur ekonomisk är din lokala Taco Bell?

Reaktioner

  • Diskussionen kretsar kring prissättningen och funktionerna på olika Taco Bell-platser, med fokus på den unika Pacifica Taco Bell som har bekvämligheter som en öppen spis och margaritas.
  • Seattle Lower Queen Anne Taco Bell/KFC-kombinationsbutik är känd som den dyraste Taco Bell i landet, med användare som delar sina upplevelser och frustrationer med Taco Bells mobilapp.
  • Appen från Taco Bell kritiseras för sina datainsamlingsmetoder, där användare debatterar dess nödvändighet jämfört med traditionella beställningsmetoder, samt dess roll i prisdiskriminering och riktad marknadsföring.

Varför inte kommentarer

  • "Logic For Programmers v0.3" har släppts, med fokus på förbättrad bokformatering.
  • Utgåvan betonar vikten av kommentarer i kod, särskilt för att förklara "varför" beslut och kompromisser, vilket inte alltid kan själv-dokumenteras genom funktions- eller variabelnamn.
  • En exempel ges där en kommentar förklarar valet av en ineffektiv metod för att ersätta matematiska notationer med Unicode-symboler, vilket belyser avvägningen och framtida optimeringspotential.

Reaktioner

  • Kommentarer i kod bör fokusera på att förklara "varför" och "varför inte" för att underlätta framtida förståelse, särskilt i stora, komplexa kodbaser.
  • Obligatoriska kommentarer för uppenbara funktioner ses som slöseri och kan leda till att kommentarer ignoreras helt och hållet.
  • Medan vissa föredrar långa funktionsnamn eller commit-meddelanden, anser författaren att kommentarer är väsentliga för tydlighet, underhåll och dokumentation av beslut och kompromisser.

Flipper Zero får stor firmwareuppdatering, kan avlyssna walkie-talkies

  • Flipper har släppt en stor 1.0 firmware-uppdatering för sitt Flipper Zero multiverktyg, vilket avsevärt förbättrar dess funktionalitet och användarupplevelse.
  • Viktiga förbättringar inkluderar en fördubbling av Bluetooth-dataöverföringshastigheter från Android, en 40% ökning av installationshastigheten för Bluetooth-firmware och en omarbetad NFC-motor som stöder fler korttyper och snabbare dataavläsning.
  • Uppdateringen introducerar också nya funktioner som möjligheten att avlyssna analog walkie-talkie-ljud, avkoda 89 radioprotokoll, köra appar direkt från microSD-kort och förlänga batteritiden till en månad i lågeffektläge.

Reaktioner

  • Flipper Zero, en crowdfinansierad enhet, har fått en betydande firmwareuppdatering som gör det möjligt att avlyssna walkie-talkies, vilket uppfyller dess löfte om kontinuerliga programvaruförbättringar.
  • Enheten är anmärkningsvärd för sin mångsidighet och användarvänliga gränssnitt, vilket gör den tillgänglig för olika radiofrekvensuppgifter, till skillnad från traditionella mjukvarudefinierade radioapparater (SDR) som kräver kraftfullare processorer.
  • Uppdateringen har väckt intresse på grund av Flipper Zeros förmåga att utföra flera funktioner utöver avlyssning, vilket positionerar den som ett omfattande verktyg för radiofrekvensentusiaster och yrkesverksamma.

Handledning om diffusionsmodeller för bildbehandling och syn

  • Handledningen av Stanley H. Chan fokuserar på diffusionsmodeller, som är avgörande i generativa verktyg för text-till-bild och text-till-video-applikationer.
  • Den riktar sig till grund- och forskarstudenter som är intresserade av maskininlärning och datorseende, och ger grundläggande kunskaper för forskning eller praktiska tillämpningar.
  • Handledningen har uppdaterats två gånger, med den senaste versionen inskickad den 6 september 2024, och finns tillgänglig på arXiv för vidare läsning.

Reaktioner

  • En handledning om diffusionsmodeller för bildbehandling och syn har uppmärksammats, vilket väckt intresse bland teknikentusiaster och forskare.
  • Olika resurser och diskussioner delas, inklusive Andrej Karpathys YouTube-handledningar, Sebastian Raschkas nya bok om att bygga stora språkmodeller och 3Blue1Browns videoserie om Transformers.
  • Handledningen betonar den matematiska grunden för diffusionsmodeller, med förslag på mer lättillgängliga resurser som Hugging Face-kursen och blogginlägg för bättre förståelse.

Git Bash är mitt föredragna Windows-skal

  • Git Bash har lyfts fram som en föredragen Windows-skal, som erbjuder Unix-liknande kommandoradsfunktionalitet inom Windows-miljön.
  • Viktiga fördelar inkluderar bekantskap med bash-kommandon, enkel installation, litet fotavtryck och integration med Windows Utforskaren.
  • Git Bash stöder många Unix-liknande kommandon och skript, vilket gör det till ett mångsidigt verktyg för utvecklare som arbetar i en Windows-miljö.

Reaktioner

  • Git Bash föredras av många Windows-användare för dess likhet med Unix-kommandon, vilket gör det till ett bekvämt val för dem med Linux-erfarenhet.
  • Medan PowerShell beröms för sin hantering av strukturerad data och .NET API, kritiseras det ofta för sin ordrikedom och kodningsproblem.
  • Alternativ som WSL, MSYS2 och Busybox för Windows finns, men Git Bash förblir populärt på grund av sin enkelhet och användarvänlighet.

Vissa av oss gillar "interdiff" kodgranskning

  • Gerrit Code Review är ett open source-verktyg kompatibelt med Git-repositorier, som underlättar skrivning, inlämning, feedback och korrigering av patchar.
  • Traditionella GitHub-kodgranskningar kan leda till 'diff-soppa', vilket komplicerar commit-historiker och gör verktyg som git blame och git bisect mindre effektiva.
  • Interdiff-granskningsmetoden, som publicerar nya versioner av ursprungliga commits, upprätthåller renare commit-historik och förenklar granskningsprocessen med hjälp av verktyg som git range-diff.

Reaktioner

  • Diskussionen belyser användningen av "interdiff" kodgranskningsarbetsflöden på GitHub, vilket gör det möjligt för granskare att se skillnader med feedback inkluderad utan att bryta git blame och git bisect.
  • Arbetsflödet innebär att använda git commit --fixup, git rebase --interactive --autosquash och git push --force-with-lease för att hantera och slå samman ändringar effektivt.
  • Konversationen understryker begränsningarna i GitHubs användarupplevelse när det gäller att hantera avancerade Git-funktioner som rebase och autosquash, och föreslår att bättre verktyg eller arbetsflöden skulle kunna förbättra kodgranskningsprocessen.

Lotterisimulator (2023)

  • PerThirtySix Lottery Simulator låter användare utforska lotterisannolikheter och simulera tusentals lotter på några sekunder.
  • Användare kan ställa in simuleringar för befintliga amerikanska lotterier som Mega Millions och Powerball eller skapa egna regler, inklusive biljettkostnad och brytpunktsprobabilitet.
  • Verktyget tillhandahåller visualiseringar av avkastningar och inkluderar förenklande antaganden som en enda jackpotvinnare och att skatter ignoreras.

Reaktioner

  • En ny lotterisimulator har skapats, vilket har genererat stort intresse och feedback från användare på Hacker News.
  • Användare föreslår olika förbättringar, såsom ett snabbare simuleringsalternativ, slumpmässigt nummerurval för varje dragning och spårning av antalet personer som vinner jackpotten.
  • Verktyget belyser de dåliga utbetalningsoddsen för lotterier, även när man använder anpassade nummerpooler, och stimulerar diskussioner om sannolikhet, förväntat värde (EV) och jackpotstorlekens inverkan på vinster.

Jag önskar att jag inte saknade 90-00-talets internet

  • En 18-åring uttrycker nostalgi för 90-00-talets internet och kontrasterar det med dagens kommersialiserade sociala medielandskap.
  • Författaren kritiserar moderna plattformar som Instagram och TikTok för att främja ytlighet och FOMO (rädsla för att missa något), och längtar efter kreativiteten och individualiteten hos personliga bloggar och MySpace.
  • De nämner en nischad gemenskap på Neocities som uppskattar den gamla webben, men noterar att de flesta jämnåriga finner sådana intressen ovanliga.

Reaktioner

  • Författaren minns internet från 90- och 00-talet, och lyfter fram dess amatörmässiga energi, pseudo-anonymitet och motkulturella känsla, vilket betydligt påverkade deras karriär inom spelindustrin.
  • De uttrycker nostalgi för den tidiga internetens känsla av förundran och gemenskap, i kontrast till dagens kommersialiserade och algoritmdrivna web.
  • Trots teknologiska framsteg och ökad tillgång känner författaren och andra att internetets ursprungliga värde har minskat genom dess mainstreaming och kommersialisering.

AppleWatchAmmeter

  • Apple Watch Series 5 och nyare kan användas som en amperemeter för att mäta likströmmar genom att utnyttja deras inbyggda magnetometer.
  • Genom att linda en trådspole runt klockan kan det magnetfält som genereras av närliggande strömmar detekteras och mätas, med en känslighet på cirka 100 uT/A.
  • En app som 'Sensor-App' kan användas för kalibrering och för att visa strömmen i ampere, vilket möjliggör detektering av strömförändringar så små som 10 mA.

Reaktioner

  • Diskussionen kretsar kring konceptet att använda smarta enheter, som Apple Watch, för att mäta elektrisk ström, med referenser till DIY-biohacking och historiska experiment som involverar sällsynta jordartsmetaller.
  • De deltagande nämner olika metoder och verktyg, såsom Hall-effektsensorer och smartphone-appar som Phyphox, för att mäta ström och spänning, vilket belyser den innovativa men ändå riskfyllda naturen hos dessa experiment.
  • Konversationen innehåller humoristiska och spekulativa kommentarer om praktikaliteten och säkerheten hos sådana biohackingtekniker, vilket speglar en blandning av nyfikenhet och skepsis.

Radicle 1.0 – Ett lokalt först, P2P-alternativ till GitHub

  • Radicle 1.0, en peer-to-peer, lokalförst kodsamarbetsstack byggd på Git, har officiellt lanserats efter fem månaders feedback och 17 releasekandidater.
  • Viktiga funktioner inkluderar ett peer-to-peer skvaller- och synkroniseringsprotokoll, sociala interaktioner (ärenden, patchar, kodgranskningar), säker autentisering, ett intuitivt CLI och webbgränssnitt, integritetsfunktioner och reproducerbara signerade byggen.
  • Framtida planer för Radicle inkluderar inbyggd CI/CD, ett terminalanvändargränssnitt, avancerad kodgranskning och mer, med växande ekosystemintegrationer som VS Code och JetBrains-plugins.

Reaktioner

  • Radicle 1.0 introduceras som ett lokalt först, peer-to-peer (P2P) alternativ till GitHub, vilket väcker diskussioner om installationsnycker och jämförelser med verktyg som Forgejo och Homebrew.
  • Användare debatterar praktikaliteten och filosofin bakom Radicles decentraliserade kodsamarbete, där vissa föredrar enklare uppgiftshantering med hjälp av git-repositorier på virtuella maskiner (VMs).
  • Konversationen berör också Radicles finansiering, potentiella förbättringar och integration med verktyg som ForgeFed och NOSTR.