一个克制的、理性的关注互联网科技和人文的频道,也谈谈美食和电影,发现和分享一切有趣有价值的内容,啰哩啰嗦周刊主持人。
前几天突然发现领导坐着轮椅从走道上快速划过,才知道原来上上周领导没来不是出差去了,可能是出车祸了。
领导不在的这一周,就好像还在一样,该干啥还干啥,井井有条。
大公司就是这样,有规章制度有计划,有惯性,缺了谁也是一样转,跟着流程走就行。
也不知道互联网圈子和一些自媒体,天天盯着阿里腾讯这种顶级互联网企业的人事调动和离职干啥,吃饱撑的?
一个部门人事变动,也能洋洋洒洒大几千字文章,讲一个负责人的履历和能力,强调这些职业经理人对企业发展的重要性。
确实吃的太饱。
文字输出能力太强,给他一句话,他就能衍生写出几十万字小说,这也是我不喜欢马伯庸的原因之一。
领导不在的这一周,就好像还在一样,该干啥还干啥,井井有条。
大公司就是这样,有规章制度有计划,有惯性,缺了谁也是一样转,跟着流程走就行。
也不知道互联网圈子和一些自媒体,天天盯着阿里腾讯这种顶级互联网企业的人事调动和离职干啥,吃饱撑的?
一个部门人事变动,也能洋洋洒洒大几千字文章,讲一个负责人的履历和能力,强调这些职业经理人对企业发展的重要性。
确实吃的太饱。
文字输出能力太强,给他一句话,他就能衍生写出几十万字小说,这也是我不喜欢马伯庸的原因之一。
今天看到老家公布的高考喜报,有一所我熟悉的学校,与清华北大并列同一页表格,录取分数和排名均超过一些985,这就是中国最牛专科:上海海关学院。
录取分数也很高,622-646,北大和人大的最低分数线是658,这个分数线超过了四川大学,吉林大学等老牌985(均为文史类录取分数线)。
在我高考的时候,这所学校还是一个专科学校,我们村一个跟我差不多同龄小姑娘考的就是这学校,2003年毕业时月薪5000。
现在这所学校升级为本科了,但是敢于藐视一众985的分数,也显示了最近20多年择业观的变化趋势。
最后,我们村那个小姑娘的父亲是一个老师,你看,这就是20多年前信息差的应用。
录取分数也很高,622-646,北大和人大的最低分数线是658,这个分数线超过了四川大学,吉林大学等老牌985(均为文史类录取分数线)。
在我高考的时候,这所学校还是一个专科学校,我们村一个跟我差不多同龄小姑娘考的就是这学校,2003年毕业时月薪5000。
现在这所学校升级为本科了,但是敢于藐视一众985的分数,也显示了最近20多年择业观的变化趋势。
最后,我们村那个小姑娘的父亲是一个老师,你看,这就是20多年前信息差的应用。
关于调查记者,1890-1920年代,美国有个专门的术语Muckraker。老罗斯福曾描述他们是所谓“扒粪人”。
许多记者不喜欢这说法,认为这是老罗斯福对他们的污名化。
但调查记者扒粪,有可能让人吃的东西稍微健康点。比如1904年厄普顿·辛克莱匿名去芝加哥的肉类加工厂干了七个星期,第二年以连载的方式陈述他所见的肉厂现状。当时老罗斯福看了都觉得恶心。从此有了肉类检验检疫法案,有了1906食品药品管理法案,甚至有了后来的食品和药物管理局。
调查记者有可能让病人或非病人,都稍微过得像个人。比如1872年,《纽约论坛报》的朱利叶斯·钱伯斯将自己送进了布鲁明代尔精神病院,做出了病院如何对付事实上没病的病人。他的报导让十二个没病但被困在病院里的病人得以释放,反逼医院对员工和管理层进行了改组,并最终改变了精神病法。1887年,伊丽莎白·科克伦·西曼一度靠装疯,调查纽约女子精神病院,然后以奈莉·布莱的笔名,写了《疯人院十日》,揭露了医院的内部操作,大大改善了病院的情况。
调查记者有可能直接救人命。比如1996年《芝加哥论坛报》的约翰·M·克鲁德森发表研究分析,认为改在美国航空公司的飞机上安装除颤器。这文章让航空公司开始在飞机上安装除颤器。十年后美国航空公司报告说,这些机器挽救了80人的生命。大概这80个人,会直接感谢克鲁德森。
调差记者可以让世界上最大的垄断组织头疼。比如1904年,美国史上第一富豪约翰·洛克菲勒经营的标准石油公司,成为当世最大的垄断机构。公司前员工富兰克林·塔贝尔的女儿艾达·塔贝尔在在杂志上连载了《标准石油公司的历史》,这报导后来直接作为指控标准石油公司的证据,导致世上最大的托拉斯被拆分为34家小公司。
大概洛克菲勒这类人,相当不喜欢调查记者。1974年尼克松下台,与鲍勃·伍德沃德和卡尔·伯恩斯坦孜孜不倦的追查分不开,大概尼克松也不喜欢他们。
但即便如此,老罗斯福也承认过:只要所揭露的现象绝对真实,他感恩每个扒粪人。
“那个手里拿着粪耙的人,目光只能向下看;有人为他的粪耙献上一顶天上的王冠,但他既不抬头,也不理会别人给他的王冠,而是继续耙着地上的污秽。”
毕竟,很难指望尼克松和洛克菲勒,会自己凭空幡然悔悟。那就只有调查与揭露咯。
扒粪人这称呼不好听,但毕竟是因为:那会儿的美国还有待扒的污秽与阴暗,还有芝加哥肉类加工厂这类粪坑。 source
许多记者不喜欢这说法,认为这是老罗斯福对他们的污名化。
但调查记者扒粪,有可能让人吃的东西稍微健康点。比如1904年厄普顿·辛克莱匿名去芝加哥的肉类加工厂干了七个星期,第二年以连载的方式陈述他所见的肉厂现状。当时老罗斯福看了都觉得恶心。从此有了肉类检验检疫法案,有了1906食品药品管理法案,甚至有了后来的食品和药物管理局。
调查记者有可能让病人或非病人,都稍微过得像个人。比如1872年,《纽约论坛报》的朱利叶斯·钱伯斯将自己送进了布鲁明代尔精神病院,做出了病院如何对付事实上没病的病人。他的报导让十二个没病但被困在病院里的病人得以释放,反逼医院对员工和管理层进行了改组,并最终改变了精神病法。1887年,伊丽莎白·科克伦·西曼一度靠装疯,调查纽约女子精神病院,然后以奈莉·布莱的笔名,写了《疯人院十日》,揭露了医院的内部操作,大大改善了病院的情况。
调查记者有可能直接救人命。比如1996年《芝加哥论坛报》的约翰·M·克鲁德森发表研究分析,认为改在美国航空公司的飞机上安装除颤器。这文章让航空公司开始在飞机上安装除颤器。十年后美国航空公司报告说,这些机器挽救了80人的生命。大概这80个人,会直接感谢克鲁德森。
调差记者可以让世界上最大的垄断组织头疼。比如1904年,美国史上第一富豪约翰·洛克菲勒经营的标准石油公司,成为当世最大的垄断机构。公司前员工富兰克林·塔贝尔的女儿艾达·塔贝尔在在杂志上连载了《标准石油公司的历史》,这报导后来直接作为指控标准石油公司的证据,导致世上最大的托拉斯被拆分为34家小公司。
大概洛克菲勒这类人,相当不喜欢调查记者。1974年尼克松下台,与鲍勃·伍德沃德和卡尔·伯恩斯坦孜孜不倦的追查分不开,大概尼克松也不喜欢他们。
但即便如此,老罗斯福也承认过:只要所揭露的现象绝对真实,他感恩每个扒粪人。
“那个手里拿着粪耙的人,目光只能向下看;有人为他的粪耙献上一顶天上的王冠,但他既不抬头,也不理会别人给他的王冠,而是继续耙着地上的污秽。”
毕竟,很难指望尼克松和洛克菲勒,会自己凭空幡然悔悟。那就只有调查与揭露咯。
扒粪人这称呼不好听,但毕竟是因为:那会儿的美国还有待扒的污秽与阴暗,还有芝加哥肉类加工厂这类粪坑。 source
植物油混装煤油?北方的网友可以多试试自己炼猪油。
根据国家统计局的统计结果,31个省区市都以食用植物油为主,绝大多数地区,植物油占食用油的比重都在90%以上,植物油占比在90%以下的只有6个省份,分别为四川(89.7%)、重庆(87.6%)、湖南(84.8%)、贵州(82.7%)、云南(78.4%)、西藏(68.6%),均分布在西南地区。
根据国家统计局的统计结果,31个省区市都以食用植物油为主,绝大多数地区,植物油占食用油的比重都在90%以上,植物油占比在90%以下的只有6个省份,分别为四川(89.7%)、重庆(87.6%)、湖南(84.8%)、贵州(82.7%)、云南(78.4%)、西藏(68.6%),均分布在西南地区。
对于2FA的使用,我发现有的人用了不短时间的TOTP,但是并不懂其中的原理。
TOTP 通常30/60秒一刷新,但是看到那个token和输入到应用中,是有一个时间差的,手快的快也要四五秒。有的人看到token快要过期了,就会停下来等下一次生成新的token,然后再输入。
这其实是完全没必要的,在TOTP的算法里,有个属性叫window_size,这个属性就是允许你输入的token和当前实际token不一致的,设计时就考虑到了“输入”这个操作导致的时间差。
通常这个window_size是2,因此完全没必要等。
TOTP 通常30/60秒一刷新,但是看到那个token和输入到应用中,是有一个时间差的,手快的快也要四五秒。有的人看到token快要过期了,就会停下来等下一次生成新的token,然后再输入。
这其实是完全没必要的,在TOTP的算法里,有个属性叫window_size,这个属性就是允许你输入的token和当前实际token不一致的,设计时就考虑到了“输入”这个操作导致的时间差。
通常这个window_size是2,因此完全没必要等。
OpenSSH 服务端中发现远程未经身份验证代码执行漏洞
7月1日消息,Qualys 的威胁研究部门在基于 glibc 的 Linux 系统中发现了 OpenSSH 服务端 (sshd) 中存在一个远程未经身份验证的代码执行 (RCE) 漏洞。该漏洞影响 8.5p1 到 9.7p1 之间的版本。分配给此漏洞的编号为 CVE-2024-6387,评分 8.1,严重性为高。通过使用 Censys 和 Shodan 进行搜索发现,超过 1400 万个可能存在漏洞的 OpenSSH 服务器实例暴露在互联网上。
该漏洞是 OpenSSH 服务端 (sshd) 中的一个信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE);这会带来重大的安全风险。此竞争条件会影响默认配置下的 sshd。
如果 sshd 无法更新或重新编译,请在配置文件中将 LoginGraceTime 设置为 0。这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中,但它可以防止远程代码执行风险。
注1:意味着几乎所有主流系统的版本都在漏洞范围内
注2:32位系统需要耗时6-8小时以完成攻击,64位系统预计得打一周。更新时间很充裕,别忘了就行
—— Qualys
7月1日消息,Qualys 的威胁研究部门在基于 glibc 的 Linux 系统中发现了 OpenSSH 服务端 (sshd) 中存在一个远程未经身份验证的代码执行 (RCE) 漏洞。该漏洞影响 8.5p1 到 9.7p1 之间的版本。分配给此漏洞的编号为 CVE-2024-6387,评分 8.1,严重性为高。通过使用 Censys 和 Shodan 进行搜索发现,超过 1400 万个可能存在漏洞的 OpenSSH 服务器实例暴露在互联网上。
该漏洞是 OpenSSH 服务端 (sshd) 中的一个信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE);这会带来重大的安全风险。此竞争条件会影响默认配置下的 sshd。
如果 sshd 无法更新或重新编译,请在配置文件中将 LoginGraceTime 设置为 0。这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中,但它可以防止远程代码执行风险。
注1:意味着几乎所有主流系统的版本都在漏洞范围内
注2:32位系统需要耗时6-8小时以完成攻击,64位系统预计得打一周。更新时间很充裕,别忘了就行
—— Qualys
达里奥·福放了一个屁,
崩到莫斯科,
来到意大利,
意大利的国王正在看戏,
闻到这个屁,
很不满意,
找来科学家,
研究分析,这个屁一股气,在人的肚子里窜来窜去……
一不小心打开后门溜了出去。 放屁的人,欢天喜地,
闻屁的人,垂头丧气,
有屁不放,憋坏心脏,
没屁硬挤,锻练身体,
屁放得响,能当校长,
屁放得臭,能当教授,
不响不臭,思想落后。
Source: 1998年孟京辉导演话剧《一个无政府主义者的意外死亡》
崩到莫斯科,
来到意大利,
意大利的国王正在看戏,
闻到这个屁,
很不满意,
找来科学家,
研究分析,这个屁一股气,在人的肚子里窜来窜去……
一不小心打开后门溜了出去。 放屁的人,欢天喜地,
闻屁的人,垂头丧气,
有屁不放,憋坏心脏,
没屁硬挤,锻练身体,
屁放得响,能当校长,
屁放得臭,能当教授,
不响不臭,思想落后。
Source: 1998年孟京辉导演话剧《一个无政府主义者的意外死亡》
Navicat Premium Lite 免费版重现
众所周知,Navicat Premium Lite 免费版消失很多年了,如今官方再次推出免费版。
免费版相比收费版缺少了数据同步/结构同步 等功能。
公众号链接: https://mp.weixin.qq.com/s/5e41u1vtt5ia7eRnxRJeZg
下载地址:https://www.navicat.com.cn/products/navicat-premium-lite
免费版相比收费版缺少了数据同步/结构同步 等功能。
公众号链接: https://mp.weixin.qq.com/s/5e41u1vtt5ia7eRnxRJeZg
下载地址:https://www.navicat.com.cn/products/navicat-premium-lite
谁动了我的 DNS 解析?
以前经常遇到 /etc/resolv.conf 被Network Manager 覆盖,最暴力的解决方式是用chattr 锁定这个文件。
这样做并没有搞清楚Linux的DNS优先级,对于复杂场景也解决不了问题。这个问题本质上是Network Manager,systemd-resolved等每个工具都有额外的策略并试图修改DNS解析配置。
大部分程序做 DNS 解析实际上是调用 glibc 里面 getaddrinfo 这个 API,所以在它后面我们就可以做一些工作。一个叫做 Name Service Switch 的东西发明出来就是干这个的,它是基于插件的,我们可以通过阅读 /etc/nsswitch.conf 里面的 hosts 这一行来理解。
source:
https://sh.alynx.one/posts/Who-Moved-My-DNS-Resolving-Remastered/
以前经常遇到 /etc/resolv.conf 被Network Manager 覆盖,最暴力的解决方式是用chattr 锁定这个文件。
这样做并没有搞清楚Linux的DNS优先级,对于复杂场景也解决不了问题。这个问题本质上是Network Manager,systemd-resolved等每个工具都有额外的策略并试图修改DNS解析配置。
大部分程序做 DNS 解析实际上是调用 glibc 里面 getaddrinfo 这个 API,所以在它后面我们就可以做一些工作。一个叫做 Name Service Switch 的东西发明出来就是干这个的,它是基于插件的,我们可以通过阅读 /etc/nsswitch.conf 里面的 hosts 这一行来理解。
source:
https://sh.alynx.one/posts/Who-Moved-My-DNS-Resolving-Remastered/
RTranslator端侧实时离线同传翻译
在 「端侧」上实现可离线的「实时同传」翻译,支持 29+ 语言的 RTranslator 开源一天飙升 1700 Star 。
- 号称世界上第一个开源实时翻译的 App
- Onnxruntime 端侧运行,Meta 开源的 SOTA NLLB 跑翻译,Whisper 244M 做 TTS/STT
- 3种模式解决快速、长对话、简单文本翻译
翻译模型使用 Facebook 的 NLLB(No Language Left Behind),支持 200+ 语言互相翻译,支持三种翻译模式:一问一答、对讲机模式、文本模式。
离线,不收集用户隐私,只需要下载 1.2GB 的翻译和语音识别模型即可使用。
目前只有 Android 端,有需要的朋友可以试试。
APP 下载地址:https://github.com/niedev/RTranslator/releases/
在 「端侧」上实现可离线的「实时同传」翻译,支持 29+ 语言的 RTranslator 开源一天飙升 1700 Star 。
- 号称世界上第一个开源实时翻译的 App
- Onnxruntime 端侧运行,Meta 开源的 SOTA NLLB 跑翻译,Whisper 244M 做 TTS/STT
- 3种模式解决快速、长对话、简单文本翻译
翻译模型使用 Facebook 的 NLLB(No Language Left Behind),支持 200+ 语言互相翻译,支持三种翻译模式:一问一答、对讲机模式、文本模式。
离线,不收集用户隐私,只需要下载 1.2GB 的翻译和语音识别模型即可使用。
目前只有 Android 端,有需要的朋友可以试试。
APP 下载地址:https://github.com/niedev/RTranslator/releases/
GitHub
Releases · niedev/RTranslator
Open source real-time translation app for Android that runs locally - niedev/RTranslator
Photok is a free Photo-Safe. It stores your photos encrypted on your device and hides them from others. It uses technologies like, AES-256 encryption standard or bcrypt, to keep your photos secure. Photok is completely free, open source, and contains no ads.
最大特色就是支持伪装成📞应用,然后使用暗码打开。
https://github.com/leonlatsch/photok
