On this page
นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในแอปของ Arc ที่อนุญาตให้มีการรัน JavaScript โดยพลการบนเบราว์เซอร์ของผู้ใช้คนอื่นโดยการปรับแต่งฟิลด์ creatorID
ช่องโหว่ถูกรายงาน แก้ไข และมีการมอบรางวั ล $2,000 ภายในวันเดียว โดยมีการกำหนด CVE (CVE-2024-45489) ในภายหลัง
Arc ตอบสนองโดยการแก้ไขข้อกังวลเรื่องความเป็นส่วนตัว ปิดการใช้งาน Firebase และเริ่มโปรแกรมรางวัลสำหรับการค้นหาบั๊กเพื่อปรับปรุงความปลอดภัย
บริษัท Browser ผู้ผลิต Arc เปิดเผยถึงช่องโหว่สำคัญที่ทำให้สามารถเข้าถึงเบราว์เซอร์ของผู้ใช้ได้โดยไม่ต้องเยี่ยมชมเว็บไซต์เฉพาะ ปัญหานี้ได้รับการแก้ไขแล้ว และไม่มีผู้ใช้คนใดได้รับผลกระทบ
บริษัทมีแผนที่จะย้ายออกจาก Firebase, ตั้งโปรแกรมรางวัลสำหรับการค้นหาบั๊ก, และเสริมทีมรักษาความปลอดภัยของพวกเขา รวมถึงการจ้างวิศวกรรักษาความปลอดภัยอาวุโสคนใหม่
เหตุการณ์นี้ได้จุดประกายการถกเถียงเกี่ยวก ับความเพียงพอของรางวัลบั๊กมูลค่า 2,000 ดอลลาร์ โดยหลายคนแนะนำว่าควรจะสูงกว่านี้อย่างมากเนื่องจากความรุนแรงของช่องโหว่
SimpleIcons.org ได้ปล่อยคอลเลกชันไอคอน SVG ฟรีจำนวน 3,000 ไอคอนสำหรับแบรนด์ยอดนิยม ซึ่งได้รับความสนใจอย่างมากจากชุมชนเทคโนโลยี
คอลเลกชันนี้มีความโดดเด่นในเรื่องของความหลากหลายและการใช้งานที่ง่าย แต่ผู้ใช้ควรตรวจสอบข้อตกลงกา รอนุญาตให้ใช้สิทธิ์เพื่อหลีกเลี่ยงการละเมิดเครื่องหมายการค้าที่อาจเกิดขึ้นได้
การเปิดตัวนี้ได้จุดประกายการอภิปรายเกี่ยวกับผลกระทบทางกฎหมายของการใช้โลโก้แบรนด์โดยไม่ได้รับอนุญาตอย่างชัดเจน ซึ่งเน้นย้ำถึงความสำคัญของการเข้าใจสิทธิในทรัพย์สินทางปัญญา
ผู้โจมตีกำลังใช้ประโยชน์จากอีเมลแจ้งเตือนของ GitHub เพื่อแจกจ่ายมัลแวร์โดยการสร้างและลบปัญหาในที่เก็บสาธารณะอย่างรวดเร็ว
มัลแวร์ที่ชื่อว่า "LUMMASTEALER" ขโมยข้อมูลที่สำคัญ เช่น กระเป๋าเงิ นคริปโตเคอเรนซีและข้อมูลรับรองที่เก็บไว้ โดยการหลอกลวงผู้ใช้ให้รันคำสั่ง PowerShell ที่เป็นอันตราย
การโจมตีนี้ใช้ประโยชน์จากจุดอ่อนในการจัดการไฟล์ที่ดาวน์โหลดและใบรับรองการลงนามโค้ดของ Windows และการปรับปรุงในอีเมลแจ้งเตือนของ GitHub อาจช่วยลดภัยคุกคามดังกล่าวได้
อีเมลแจ้งเตือนจาก GitHub ถูกนำไปใช้ในการกระจายมัลแวร์ ทำให้เกิดความกังวลเกี่ยวกับความปลอดภัย
การสนทนาย้ำถึงความสำคัญของการสังเกตสัญญาณเตือน เช่น โดเมนที่น่าสงสัยและคำสั่งที่ต้องการการป้อนข้อมูลในเชลล์ เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการหลอกลวง
การสนทนานี้เน้นให้เห็นว่าผู้ใช้ที่มีประสบการณ์ก็สามารถถูก หลอกได้ ซึ่งชี้ให้เห็นถึงความจำเป็นในการเพิ่มมาตรการรักษาความปลอดภัยบน GitHub
บทความในบล็อกนี้ให้คำแนะนำเชิงลึกเกี่ยวกับการส่งต่อพอร์ตและการทำท่อ รวมถึงกรณีการใช้งาน การกำหนดค่า และข้อจำกัด
หัวข้อสำคัญรวมถึงการเข้ารหัสการเชื่อมต่อที่ไม่ปลอดภัย, การเข้าถึงแผงควบคุมเว็บผ่าน SSH, และการใช้ SSH jumphosts เพื่อเข้าถึงเซิร์ฟเวอร์ภายใน
การกำหนดค่าและคำสั่งที่สำคัญสำหรับการส่งต่อพอร์ตในท้ องถิ่น, ระยะไกล, และแบบไดนามิกมีรายละเอียดไว้ พร้อมกับข้อจำกัดและความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นจากการใช้ SSH tunneling
ในปี 2024 การกำหนดค่า ~/.ssh/config
ด้วย LocalForward
, RemoteForward
, และ ProxyJump
เป็นที่แนะนำเพื่อทำให้การเชื่อมต่อ SSH ราบรื่นและประหยัดเวลา
การตั้งค่านี้ช่วยให้การทำงานของ SSH, SCP และ RSYNC ไปยังเซิร์ฟเวอร์เป้าหมายเป็นไปอย่างราบรื่นผ่านนามแฝง และส่งต่อพอร์ตเฉพาะสำหรับการเข้าถึงในท้องถิ่นและระยะไกล
การใช้ 0.0.0.0
แทน localhost
หรือ 127.0.0.1
อาจทำให้พอร์ตถูกเปิดเผยบนอินเทอร์เฟซเครือข่ายทั้งหมด ดังนั้นควรตั้งค่ากำแพงไฟร์วอลล์ให้เหมาะสมเพื่อรักษาความปลอดภัย
ผู้ที่ชื่นชอบเทคโนโลยีสามารถบูต Debian Linux บนไมโครโปรเซสเซอร์ Intel 4004 ขนาด 4 บิตจากปี 1971 ได้สำเร็จ แสดงให้เห็นถึงความสามารถของซีพียูประวัติศาสตร์นี้
โครงการนี้เกี่ยวข้องกับการสร้างบอร์ดพัฒนาที่กำหนดเองและเขียนอีมูเลเตอร์ 4004 เพื่อรันอีมูเลเตอร์ MIPS R3000 ซึ่งแสดงให้เห็นถึงการเพิ่มประสิทธิภาพของฮาร์ดแวร์และซอฟต์แวร์อย่างมีนัยสำคัญ
ความสำเร็จนี้เน้นถึงศักยภาพของฮาร์ดแวร์ระดับล่างและเป็นหมุดหมายสำคัญในประวัติศาสตร์ของการคำนวณ โดยผลักดันขอบเขตของสิ่งที่เทคโนโลยีเก่าสามารถทำได้
ดมิทรีได้บูตลินุกซ์บนไมโครโปรเซสเซอร์ Intel 4004 ได้สำเร็จ ซึ่งเป็นความสำเร็จที่แสดงให้เห็นถึงขีดจำกัดสูงสุดของความสมบูรณ์แบบของทัวริงและความสามารถในการคำนวณ
โครงการนี้เน้นความสำคัญทางประวัติศาสตร์ของ Intel 4004 ซึ่งเป็นไมโครโปรเซสเซอร์ตัวแรกที่มีจำหน่ายในเชิงพาณิชย์ และแสดงให้เห็นถึงความสามารถในการรันซอฟต์แวร์สมัยใหม่ แม้ว่าจะช้ามากก็ตาม
ความสำเร็จนี้ได้รับความสนใจอย่างมากเนื่องจากความซับซ้อนทางเทคนิคและความแปลกใหม่ของการรันระบบปฏิบัติการสมัยใ หม่บนฮาร์ดแวร์ที่มีพลังงานต่ำและเก่าแก่เช่นนี้
zb เป็นระบบการสร้างในระยะเริ่มต้นที่พัฒนาโดย Roxy Light โดยมีเป้าหมายเพื่อการสร้างที่สามารถทำซ้ำได้อย่างง่ายดายและการจัดการการพึ่งพา
คุณสมบัติหลักประกอบด้วยภาษาสคริปต์ Lua ที่คุ้นเคย ความสามารถในการสร้างที่ทรงพลัง การสนับสนุนการสร้างที่ไม่กำหนดล่วงหน้า ความเข้ากันได้กับ Nix และการสนับสนุนข้ามแพลตฟอร์ม (Windows, Linux, macOS)
zb ได้บรรลุหลักชัยสำคัญโดยไม่ต้องพึ่งพา Nix อีกต่อไป ด้วยระบบ backend ใหม่ที่รองรับการแยกเนื้อหาตามที่อยู่และ "Intensional Model" จาก The Purely Functional Software Deployment Model
Zb เป็นระบบการสร้างในระยะเริ่มต้นที่ออกแบบมาเพื่อทำให้โมเดลการสร้างง่ายขึ้นโดยสนับสนุนเฉพาะการสร้างที่มีการระบุที่อยู่เนื้อหาเท่านั้น ซึ่งแตกต่างจากวิธีการของ Nix
ระบบนี้มีเป้าหมายเพื่อแก้ไขปัญหาการทำงานร่วมกันกับ Nix เช่น การขาดการอ้างอิงข้ามสโตร์และความจำเป็นในการใช้ Nix evaluator เพื่อให้ได้มาซึ่ง Nixpkgs derivations
Zb แนะนำ API สาธารณะบนพื้นฐาน JSON-RPC สำหรับการรันบิลด์ ซึ่งอาจทำให้ระบบโครงสร้างพื้นฐานง่ายต่อการจัดการและบูรณาการมากขึ้น
การดึงข้อมูลเชิงบริบทถูกนำมาใช้เพื่อปรับปรุงขั้นตอนการดึงข้อมูลใน Retrieval-Augmented Generation (RAG) โดยใช้การฝังเชิงบริบทและ Contextual BM25 ซึ่งช่วยลดการดึงข้อมูลที่ล้มเหลวได้ถึง 67% เมื่อรวมกับการจัดอันดับใหม่
วิธีการนี้ช่วยเพิ่มความแม่นยำในการดึงข้อมูล ส่งผลให้มีประสิทธิภาพที่ดีขึ้นในงานที่ตามมา เช่น การสนับสนุนลูกค้าและการวิเคราะห์ทางกฎหมาย และสามารถนำไปใช้ได้โดยใช้คู่มือที่ให้มา
การดึงข้อมูลแบบดั้งเดิม (RAG) มักสูญเสียบริบทโดยการแบ่งเอกสารออกเป็นชิ้นเล็ก ๆ; การดึงข้อมูลเชิงบริบทแก้ไขปัญหานี้โดยการเพิ่มบริบทอธิบายเฉพาะชิ้นก่อนการฝังและสร้างดัชนี BM25
Anthropic ได้แนะนำการแคชคำสั่งเพื่อปรับปรุงความคุ้มค่าของกระบวนการดึงข้อมูลเชิงบริบท ซึ่งเป็นวิธีการเพื่อเพิ่มผลลัพธ์ของการสร้างที่เสริมด้วยการดึงข้อมูล (RAG) โดยการขยายชิ้นส่วนข้อมูลด้วยโมเดลภาษาขนาดใหญ่ (LLM)
การแคชพรอมต์ช่วยให้นักพัฒนาประหยัดค่าใช้จ่ายโดยการเก็บสถานะหลังจากรันเอกสารขนาดใหญ่ผ่านโมเดล แทนที่จะสร้างแต่ละส่วนใหม่ทุกครั้ง ทำให้เป็นการอัปเดตที่สำคัญสำหรับผู้ที่ทำงานกับเวิร์กโฟลว์ RAG
โพสต์นี้เน้นว่าแม้ว่าหนังสือทำอาหารจะให้คำแนะนำสำหรับการทำงานของ RAG เฉพาะทาง แต่ความนวัตกรรมที่แท้จริงอยู่ที่ฟีเจอร์การประหยัดต้นทุนของการแคชคำสั่ง ซึ่งถูกนำเสนอเมื่อเดือนที่แล้ว