一个克制的、理性的关注互联网科技和人文的频道,也谈谈美食和电影,发现和分享一切有趣有价值的内容。
MySQL 已死,PostgreSQL 当立
本月,MySQL 9.0 终于发布了(2024-07),距离上一次大版本更新 8.0 (2016-09) 已经过去八年了。然而这个空洞无物的所谓“创新版本”却犹如一个恶劣的玩笑,宣告着 MySQL 正在死去。
PostgreSQL 正在高歌猛进,而 MySQL 却日薄西山,而 MySQL 却日薄西山,作为 MySQL 生态主要抗旗者的 Percona 也不得不悲痛地承认这一现实,连发了三篇《MySQL将何去何从》,《Oracle最终还是杀死了MySQL》,《Oracle还能挽救MySQL吗》,公开表达了对 MySQL 的失望与沮丧。
https://pigsty.cc/zh/blog/db/mysql-is-dead/
本月,MySQL 9.0 终于发布了(2024-07),距离上一次大版本更新 8.0 (2016-09) 已经过去八年了。然而这个空洞无物的所谓“创新版本”却犹如一个恶劣的玩笑,宣告着 MySQL 正在死去。
PostgreSQL 正在高歌猛进,而 MySQL 却日薄西山,而 MySQL 却日薄西山,作为 MySQL 生态主要抗旗者的 Percona 也不得不悲痛地承认这一现实,连发了三篇《MySQL将何去何从》,《Oracle最终还是杀死了MySQL》,《Oracle还能挽救MySQL吗》,公开表达了对 MySQL 的失望与沮丧。
作者是PostgreSQL社区界大牛,带有强烈主观性,但仍不失为一篇好文章
https://pigsty.cc/zh/blog/db/mysql-is-dead/
植物油混装煤油?北方的网友可以多试试自己炼猪油。
根据国家统计局的统计结果,31个省区市都以食用植物油为主,绝大多数地区,植物油占食用油的比重都在90%以上,植物油占比在90%以下的只有6个省份,分别为四川(89.7%)、重庆(87.6%)、湖南(84.8%)、贵州(82.7%)、云南(78.4%)、西藏(68.6%),均分布在西南地区。
根据国家统计局的统计结果,31个省区市都以食用植物油为主,绝大多数地区,植物油占食用油的比重都在90%以上,植物油占比在90%以下的只有6个省份,分别为四川(89.7%)、重庆(87.6%)、湖南(84.8%)、贵州(82.7%)、云南(78.4%)、西藏(68.6%),均分布在西南地区。
对于2FA的使用,我发现有的人用了不短时间的TOTP,但是并不懂其中的原理。
TOTP 通常30/60秒一刷新,但是看到那个token和输入到应用中,是有一个时间差的,手快的快也要四五秒。有的人看到token快要过期了,就会停下来等下一次生成新的token,然后再输入。
这其实是完全没必要的,在TOTP的算法里,有个属性叫window_size,这个属性就是允许你输入的token和当前实际token不一致的,设计时就考虑到了“输入”这个操作导致的时间差。
通常这个window_size是2,因此完全没必要等。
TOTP 通常30/60秒一刷新,但是看到那个token和输入到应用中,是有一个时间差的,手快的快也要四五秒。有的人看到token快要过期了,就会停下来等下一次生成新的token,然后再输入。
这其实是完全没必要的,在TOTP的算法里,有个属性叫window_size,这个属性就是允许你输入的token和当前实际token不一致的,设计时就考虑到了“输入”这个操作导致的时间差。
通常这个window_size是2,因此完全没必要等。
OpenSSH 服务端中发现远程未经身份验证代码执行漏洞
7月1日消息,Qualys 的威胁研究部门在基于 glibc 的 Linux 系统中发现了 OpenSSH 服务端 (sshd) 中存在一个远程未经身份验证的代码执行 (RCE) 漏洞。该漏洞影响 8.5p1 到 9.7p1 之间的版本。分配给此漏洞的编号为 CVE-2024-6387,评分 8.1,严重性为高。通过使用 Censys 和 Shodan 进行搜索发现,超过 1400 万个可能存在漏洞的 OpenSSH 服务器实例暴露在互联网上。
该漏洞是 OpenSSH 服务端 (sshd) 中的一个信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE);这会带来重大的安全风险。此竞争条件会影响默认配置下的 sshd。
如果 sshd 无法更新或重新编译,请在配置文件中将 LoginGraceTime 设置为 0。这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中,但它可以防止远程代码执行风险。
注1:意味着几乎所有主流系统的版本都在漏洞范围内
注2:32位系统需要耗时6-8小时以完成攻击,64位系统预计得打一周。更新时间很充裕,别忘了就行
—— Qualys
7月1日消息,Qualys 的威胁研究部门在基于 glibc 的 Linux 系统中发现了 OpenSSH 服务端 (sshd) 中存在一个远程未经身份验证的代码执行 (RCE) 漏洞。该漏洞影响 8.5p1 到 9.7p1 之间的版本。分配给此漏洞的编号为 CVE-2024-6387,评分 8.1,严重性为高。通过使用 Censys 和 Shodan 进行搜索发现,超过 1400 万个可能存在漏洞的 OpenSSH 服务器实例暴露在互联网上。
该漏洞是 OpenSSH 服务端 (sshd) 中的一个信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE);这会带来重大的安全风险。此竞争条件会影响默认配置下的 sshd。
如果 sshd 无法更新或重新编译,请在配置文件中将 LoginGraceTime 设置为 0。这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中,但它可以防止远程代码执行风险。
注1:意味着几乎所有主流系统的版本都在漏洞范围内
注2:32位系统需要耗时6-8小时以完成攻击,64位系统预计得打一周。更新时间很充裕,别忘了就行
—— Qualys
达里奥·福放了一个屁,
崩到莫斯科,
来到意大利,
意大利的国王正在看戏,
闻到这个屁,
很不满意,
找来科学家,
研究分析,这个屁一股气,在人的肚子里窜来窜去……
一不小心打开后门溜了出去。 放屁的人,欢天喜地,
闻屁的人,垂头丧气,
有屁不放,憋坏心脏,
没屁硬挤,锻练身体,
屁放得响,能当校长,
屁放得臭,能当教授,
不响不臭,思想落后。
Source: 1998年孟京辉导演话剧《一个无政府主义者的意外死亡》
崩到莫斯科,
来到意大利,
意大利的国王正在看戏,
闻到这个屁,
很不满意,
找来科学家,
研究分析,这个屁一股气,在人的肚子里窜来窜去……
一不小心打开后门溜了出去。 放屁的人,欢天喜地,
闻屁的人,垂头丧气,
有屁不放,憋坏心脏,
没屁硬挤,锻练身体,
屁放得响,能当校长,
屁放得臭,能当教授,
不响不臭,思想落后。
Source: 1998年孟京辉导演话剧《一个无政府主义者的意外死亡》
独立开发者技术栈
https://guangzhengli.com/blog/zh/indie-hacker-tech-stack-2024/
写这篇文章的目的是为了庆祝 X/Twitter 的粉丝突破了 10K 🎉,突然间有了一些分享欲望,在技术栈和云服务厂商的选择如此丰富多样的今天,我们如果需要独立开发的话,应该需要选择什么技术栈呢?
https://guangzhengli.com/blog/zh/indie-hacker-tech-stack-2024/
Navicat Premium Lite 免费版重现
众所周知,Navicat Premium Lite 免费版消失很多年了,如今官方再次推出免费版。
免费版相比收费版缺少了数据同步/结构同步 等功能。
公众号链接: https://mp.weixin.qq.com/s/5e41u1vtt5ia7eRnxRJeZg
下载地址:https://www.navicat.com.cn/products/navicat-premium-lite
免费版相比收费版缺少了数据同步/结构同步 等功能。
公众号链接: https://mp.weixin.qq.com/s/5e41u1vtt5ia7eRnxRJeZg
下载地址:https://www.navicat.com.cn/products/navicat-premium-lite
谁动了我的 DNS 解析?
以前经常遇到 /etc/resolv.conf 被Network Manager 覆盖,最暴力的解决方式是用chattr 锁定这个文件。
这样做并没有搞清楚Linux的DNS优先级,对于复杂场景也解决不了问题。这个问题本质上是Network Manager,systemd-resolved等每个工具都有额外的策略并试图修改DNS解析配置。
大部分程序做 DNS 解析实际上是调用 glibc 里面 getaddrinfo 这个 API,所以在它后面我们就可以做一些工作。一个叫做 Name Service Switch 的东西发明出来就是干这个的,它是基于插件的,我们可以通过阅读 /etc/nsswitch.conf 里面的 hosts 这一行来理解。
source:
https://sh.alynx.one/posts/Who-Moved-My-DNS-Resolving-Remastered/
以前经常遇到 /etc/resolv.conf 被Network Manager 覆盖,最暴力的解决方式是用chattr 锁定这个文件。
这样做并没有搞清楚Linux的DNS优先级,对于复杂场景也解决不了问题。这个问题本质上是Network Manager,systemd-resolved等每个工具都有额外的策略并试图修改DNS解析配置。
大部分程序做 DNS 解析实际上是调用 glibc 里面 getaddrinfo 这个 API,所以在它后面我们就可以做一些工作。一个叫做 Name Service Switch 的东西发明出来就是干这个的,它是基于插件的,我们可以通过阅读 /etc/nsswitch.conf 里面的 hosts 这一行来理解。
source:
https://sh.alynx.one/posts/Who-Moved-My-DNS-Resolving-Remastered/
RTranslator端侧实时离线同传翻译
在 「端侧」上实现可离线的「实时同传」翻译,支持 29+ 语言的 RTranslator 开源一天飙升 1700 Star 。
- 号称世界上第一个开源实时翻译的 App
- Onnxruntime 端侧运行,Meta 开源的 SOTA NLLB 跑翻译,Whisper 244M 做 TTS/STT
- 3种模式解决快速、长对话、简单文本翻译
翻译模型使用 Facebook 的 NLLB(No Language Left Behind),支持 200+ 语言互相翻译,支持三种翻译模式:一问一答、对讲机模式、文本模式。
离线,不收集用户隐私,只需要下载 1.2GB 的翻译和语音识别模型即可使用。
目前只有 Android 端,有需要的朋友可以试试。
APP 下载地址:https://github.com/niedev/RTranslator/releases/
在 「端侧」上实现可离线的「实时同传」翻译,支持 29+ 语言的 RTranslator 开源一天飙升 1700 Star 。
- 号称世界上第一个开源实时翻译的 App
- Onnxruntime 端侧运行,Meta 开源的 SOTA NLLB 跑翻译,Whisper 244M 做 TTS/STT
- 3种模式解决快速、长对话、简单文本翻译
翻译模型使用 Facebook 的 NLLB(No Language Left Behind),支持 200+ 语言互相翻译,支持三种翻译模式:一问一答、对讲机模式、文本模式。
离线,不收集用户隐私,只需要下载 1.2GB 的翻译和语音识别模型即可使用。
目前只有 Android 端,有需要的朋友可以试试。
APP 下载地址:https://github.com/niedev/RTranslator/releases/
GitHub
Releases · niedev/RTranslator
Open source real-time translation app for Android that runs locally - niedev/RTranslator
Photok is a free Photo-Safe. It stores your photos encrypted on your device and hides them from others. It uses technologies like, AES-256 encryption standard or bcrypt, to keep your photos secure. Photok is completely free, open source, and contains no ads.
最大特色就是支持伪装成📞应用,然后使用暗码打开。
https://github.com/leonlatsch/photok
经济发展落后并且出生时男女性别比高的地区,女生的表现更加突出。从过去的经验来看,落后地区对女性的歧视更加严重,是否受到社会歧视的女生读书反而更加用功了?
另一个博主的回复:
这个问题我的解释不同,越穷的地方男性越早出来打工而已,你看相对发达的省份差距就很小,原因在于那些地方的家庭对男性赚钱没有那么迫切而已。
这就很有趣。
来源见水印。
The Absolute Minimum Every Software Developer Must Know About Unicode in 2023
https://tonsky.me/blog/unicode/
很好很详细
https://tonsky.me/blog/unicode/
很好很详细
在浙江杨梅中,乒乓球大小的仙居东魁是每年最耀眼的存在。但实际上,浙江杨梅的产地不仅仅局限在仙居,品种也不只东魁一种,瓯海的丁岙杨梅、上虞的水晶杨梅、余姚荸荠杨梅和舟山的晚稻杨梅,浙江的杨梅从五月到八月,各种滋味精彩纷呈。
source: https://m.163.com/dy/article/J4SO251U0521AAG2.html
很多中国人老说外国人自己动手能力强,是因为国外人工贵。
难道中国就不贵吗?
理发至少25元起,快剪10元不洗头,要是在杭州得50元起,上不封顶。
我现在自己买了电动理发器,70多块,用了一年半了,每次剃头5分钟搞定,早赚回来了。
换窗纱30元,我买了一块钱的压条和一块钱的窗纱(5元10米),成本两元搞定。
换墙壁里嵌入的开关找人敢开口要100,拼多多三四元的螺钉搞定。
刷墙要价300,我去建材市场买了十几块的腻子粉和刮刀,半小时搞定。
做防水1000一天起,换个厨房下水弯管这种小活100块不含材料费,工人还不乐意。现在中国的维修费三线城市都是150上门费起步了。
我现在已经买了电锤,热熔枪,各种卡钳和pc管,没事就看水电装修手册。
中国的人工费我觉得现在远比国外要贵,以后会更甚。
难道中国就不贵吗?
理发至少25元起,快剪10元不洗头,要是在杭州得50元起,上不封顶。
我现在自己买了电动理发器,70多块,用了一年半了,每次剃头5分钟搞定,早赚回来了。
换窗纱30元,我买了一块钱的压条和一块钱的窗纱(5元10米),成本两元搞定。
换墙壁里嵌入的开关找人敢开口要100,拼多多三四元的螺钉搞定。
刷墙要价300,我去建材市场买了十几块的腻子粉和刮刀,半小时搞定。
做防水1000一天起,换个厨房下水弯管这种小活100块不含材料费,工人还不乐意。现在中国的维修费三线城市都是150上门费起步了。
我现在已经买了电锤,热熔枪,各种卡钳和pc管,没事就看水电装修手册。
中国的人工费我觉得现在远比国外要贵,以后会更甚。
