2024-03-01 Hacker News Top Stories #
- HDMI论坛拒绝了AMD提出的开源HDMI 2.1驱动支持请求,这可能限制了Linux用户对HDMI 2.1功能的访问。
- Hetzner宣布将从月度计费转变为按小时计费的新模式,这一变化可能会影响用户的账单和使用习惯。
- GitHub上发现超过100,000个被恶意代码感染的仓库,这些仓库通过混淆攻击试图窃取开发人员的敏感信息。
- Heinz公司推出了首款全可回收的番茄酱瓶盖,采用单一材料结构,简化了回收流程,展示了对环境可持续性的承诺。
- 一篇文章介绍了如何将博客文章转换为Linux手册页,通过HTTP请求和内容协商,提供了一种在终端查看文档的新方式。
- Row Zero是一款由Pandas创始人开发的电子表格软件,它允许用户在熟悉的界面中快速处理和分析大量数据。
- 南极英语是一种独特的英语变体,由南极科学家和旅游业工作者使用,包含了丰富的特定词汇和独特的口音。
- 一篇文章分享了作者如何使用复选框创建动画和游戏,展示了编程技能在创造有趣和互动内容方面的潜力。
HDMI Forum Rejects Open-Source HDMI 2.1 Driver Support Sought by AMD #
https://www.phoronix.com/news/HDMI-2.1-OSS-Rejected
根据提供的链接内容,这篇文章讨论了 HDMI 2.1 驱动在开源社区中被拒绝的情况。AMD 寻求支持开源 HDMI 2.1 驱动,但 HDMI 论坛拒绝了他们的提议。这意味着目前无法在开源社区中获得对 HDMI 2.1 的全面支持,这可能会对一些用户和开发人员造成困扰。
详细内容包括:
AMD 寻求开源 HDMI 2.1 驱动支持,以便在 Linux 系统中更好地支持新的 HDMI 2.1 标准。
HDMI 论坛拒绝了 AMD 的请求,这意味着目前无法在开源社区中获得对 HDMI 2.1 的全面支持。
这可能会影响那些希望在 Linux 系统中充分利用 HDMI 2.1 功能的用户和开发人员。
这个决定可能会对 Linux 系统中使用 HDMI 2.1 的用户和开发人员产生一定的影响,因为他们可能无法获得开源驱动程序的支持,从而限制了他们在新标准下的应用和开发。
HN 评论 192 comments | 作者:jiripospisil | 1 day ago #
https://news.ycombinator.com/item?id=39543291
评论中提到长期以来希望有一个便宜的小盒子,可以在电视上叠加自定义信息,但由于解码 HDMI 信号非法,类似项目很少。
有人提到 Video Toaster(80 年代末)的字符生成器和色度键功能,但现代视频技术/协议仍无法以低成本实现。
有人分享了使用视频 Toaster 设备的经历,回忆起年少时的趣事。
有人指出现在有很多设备可以实现这一功能,如 ATEM Mini Pro,价格为 300 美元。
建议使用树莓派可以实现类似功能。
有人提到 ATEM 设备可以实现这一功能,并分享了相关的 YouTube 教程。
Twitch 主播使用 OBS 和 Twitch 聊天功能与粉丝一起观看视频并互动。
有人认为有行业玩家串通阻止人们,这在设备中有所体现。
有人分享了使用 HDMI 分配器剥离 HDCP 的经验,价格约为 20 美元。
有人提到可以使用 HDMI 2.0 分配器转换为 HDMI 1.x 信号。
有人分享了使用 HD Fury Arcana 2 VRR 设备叠加文本的经验。
有人讨论了 HDMI 和 DisplayPort 的区别,包括速度和法律问题。
有人分享了自己制作的盒子,成本为 20 美元,可以添加字幕。
建议使用树莓派和廉价的 USB HDMI 捕获卡。
有人提到使用 HDMI 捕获卡可能会有轻微的质量损失,但可以实现所需功能。
有人讨论了 HDMI 信号修改的复杂性,包括解密、解码和重新加密的过程。
以上是对评论帖子中观点的中文摘要。
Hetzner switches to new billing model #
https://docs.hetzner.com/general/others/new-billing-model/
中文摘要:Hetzner 新计费模式 本文介绍了 Hetzner 在 2024 年 3 月至 5 月期间对其计费结构进行的更改。公司将从月度计费转变为按小时计费,部分产品将基于消费量进行计费,类似于其云计费模式。这些变化旨在使产品更加用户友好。在过渡期内,客户可能在 3 月份的账单中看到一些异常情况,但实际的月度价格不会改变。3 月份的账单将不包含已根据旧计费结构计算价格的产品,这可能导致账单金额较之前减少。4 月份的账单将是首个基于小时计费的账单,涵盖 3 月份的使用情况。5 月份的账单将展示 4 月份的产品使用情况。此外,文章还解答了关于账单变化、计费细节、账单日期更改、小时计费计算方式等常见问题。希望这些信息能帮助您理解 Hetzner 的计费结构调整。
HN 评论 167 comments | 作者:throwaway220033 | 15 hours ago #
https://news.ycombinator.com/item?id=39547940
根据您提供的链接,这篇帖子中的评论观点可以总结为:
有人认为 Hetzner 的新计费模式对于进行全面集成测试和水平扩展非常有利。
有人建议与 Hetzner 沟通,希望他们能够免除一些费用以换取开发者为其做的免费工作。
有人对公司是否会合理行事表示怀疑。
有人讨论了 Hetzner 专用服务器的一次性订单费用问题。
有人对 Hetzner 如何计算小时计费提出疑问。
有人讨论了 Hetzner 的云产品和裸金属产品之间的区别。
有人对 Hetzner 的客户服务和价格表示赞赏。
有人对 Hetzner 的账户封禁政策和客户服务提出批评。
有人比较了 Hetzner 和其他提供商的价格和服务。
有人讨论了 Hetzner 的账单日期变更以及可能带来的影响。
这些是从评论中整理出的主要观点,涵盖了对 Hetzner 新计费模式和服务的不同看法。
Over 100k Infected Repos Found on GitHub #
https://apiiro.com/blog/malicious-code-campaign-github-repo-confusion-attack/
恶意代码攻击:GitHub 仓库混淆攻击
攻击原理
与依赖混淆攻击类似,恶意行为者让目标下载他们的恶意版本而不是真正的版本。但是,依赖混淆攻击利用软件包管理器的工作原理,而仓库混淆攻击仅仅依赖于人类错误地选择恶意版本而不是真实版本,有时还会使用社会工程技术。
恶意行为者通过克隆现有仓库(例如:TwitterFollowBot、WhatsappBOT、discord-boost-tool、Twitch-Follow-Bot 等)并感染它们以恶意加载程序,然后以相同的名称重新上传到 GitHub,自动分叉成成千上万次,并通过论坛、discord 等渠道秘密推广它们。
恶意代码影响
一旦毫无戒心的开发人员使用任何恶意仓库,隐藏的载荷将解开七层的混淆,涉及提取恶意 Python 代码和后续的二进制可执行文件。恶意代码将收集来自不同应用程序、浏览器密码和 Cookie 以及其他机密数据的登录凭据,然后将其发送回恶意行为者的 C&C(命令与控制)服务器,并执行一系列额外的恶意活动。
GitHub 上的自动化效应
大多数分叉仓库很快被 GitHub 删除,因为它们被识别为自动化。然而,自动化检测似乎错过了许多仓库,手动上传的仓库幸存下来。由于整个攻击链似乎主要是大规模自动化的,即使有 1% 幸存下来,仍然会有数千个恶意仓库存在。
攻击活动历史
2023 年 5 月:Phylum 最初报告了几个恶意软件包上传到 PyPI,其中包含当前载荷的早期部分。这些软件包通过在流行 GitHub 仓库的分支中植入 ‘os.system(“pip install package”)’ 调用来传播,例如 ‘chatgpt-api’。
2023 年 7 月至 8 月:几个恶意仓库上传到 GitHub,这次直接传递载荷而不是通过导入 PyPI 软件包。这是在 PyPI 删除恶意软件包后,安全社区加大了对此的关注之后发生的。Trend Micro 的 Aliakbar Zahravi 和 Peter Girnus 发表了一篇出色的技术分析报告。
2023 年 11 月至今:我们已经发现了超过 100,000 个包含类似恶意载荷的仓库,数量还在不断增长。
如何保护自己免受仓库混淆攻击
GitHub 已经收到通知并删除了大部分恶意仓库,但攻击仍在继续,试图向供应链注入恶意代码的攻击越来越普遍。有无数解决方案可以在系统和网络级别捕获恶意软件,但供应链仍然是恶意行为者的一个巨大且有利可图的攻击面。
在 Apiiro,他们构建了一个恶意代码检测系统,监视任何连接的代码库。然后,通过使用多种先进技术进行深度代码分析来检测攻击:基于 LLM 的代码分析、将代码拆解为完整执行流程图、复杂的启发式引擎、动态解码、解密和反混淆等,因此很难欺骗它。
这篇文章详细介绍了恶意代码攻击的背景、攻击原理、影响以及历史发展,强调了保护自己免受此类攻击的重要性。
HN 评论 159 comments | 作者:gnabgib | 23 hours ago #
https://news.ycombinator.com/item?id=39545676
根据您提供的链接,这篇帖子中的评论观点可以总结为:
对于公共代码库中存在恶意软件的警惕和建议。
对于机器学习模型输出可能存在后门的担忧。
关于政府机构可能植入后门的讨论。
就植入后门的方法和效果进行讨论。
对于使用机器学习模型生成代码的安全性和可靠性的讨论。
关于人工智能生成代码可能存在漏洞的观点。
对于使用机器学习模型辅助编码的看法。
对于代码审查和验证的重要性的强调。
对于机器学习模型生成代码的可靠性和正确性的讨论。
对于代码审查和验证的重要性的不同观点。
关于代码审查责任的看法。
对于代码审查和验证的必要性的讨论。
对于代码安全性和漏洞的担忧。
对于软件供应链安全问题的讨论。
对于依赖管理和漏洞更新的重要性的看法。
对于软件包管理和供应链管理的比较和观点。
这些观点涵盖了对于代码安全性、机器学习模型生成代码的可靠性、代码审查的重要性以及软件供应链安全等方面的讨论。
Heinz’s sustainable ketchup cap #
https://www.lumafield.com/article/heinzs-sustainable-ketchup-cap
Heinz 的可持续番茄酱瓶盖
“Heinz 的可持续番茄酱瓶盖"文章介绍了 Heinz 公司与 Berry Global 合作推出的首款全可回收番茄酱瓶盖,通过复杂工程与简单材料的结合,为消费品包装行业提供了减少废物的模范。新瓶盖采用单一材料结构,使用聚丙烯(PP),简化了回收流程,符合塑料#5 的处理设施标准。设计创新的阀门利用番茄酱的剪切稀释特性,确保产品的清洁和控制释放。工业 CT 技术在可持续包装开发中发挥关键作用,通过分析、改进和完善包装解决方案,加速开发过程,减少废物,避免废弃原型和召回产品的成本。Heinz 的可回收瓶盖不仅是一项创新,更是对环境可持续性的承诺,展示了显著减少废物的潜力,未来包装将完全可回收、可重复使用或可堆肥。
HN 评论 422 comments | 作者:viasfo | 18 hours ago #
https://news.ycombinator.com/item?id=39547109
根据您提供的链接,这篇帖子中的评论观点可以总结为:
有人认为美国只有约 3% 的 PP 产品被回收,这只是一种营销手段,实际上瓶盖和瓶子本身都不会被回收。
有人指出 PP 是一种可以回收的塑料,而且在其他国家的回收率比美国高得多,Heinz 的做法是有意义的。
有人认为美国的问题在于教育不足和废物分类不明确,建议像北欧那样使用瓶子回收机制。
有人认为废物分类应该由专业人员完成,而不是让普通人来做,类比了其他领域的专业化工作模式。
有人提到美国食品公司过度使用各种包装,导致废物分类困难,建议出台限制包装种类的法规。
有人指出美国废物回收存在问题,例如玻璃等可回收材料最终被填埋,提出了对废物分类和回收系统的质疑。
有人讨论了玻璃回收的能源成本和环境影响。
有人提出了关于废物分类和回收的不同观点,包括对日本废物分类制度的赞扬和对美国废物处理方式的批评。
有人认为唯一真正的可持续发展路径是减少使用一次性包装,提倡使用有押金的玻璃瓶,并建议采用更合理的包装方式。
有人讨论了在商店/购物中心为顾客提供自行灌装的模式。
有人提到生物降解材料作为一种解决方案。
有人讨论了在美国回收系统中押金制度的效果。
有人认为废物分类应该由消费者自己承担,而不是由专业人员检查。
有人提到了在美国废物处理方面的文化差异,以及对废物分类的态度和行为。
有人讨论了废物回收的效率和可行性问题。
有人对 Heinz 公司的可持续包装做法表示支持,认为这是朝着正确方向迈出的一小步。
希望这个总结对您有帮助!
Serving my blog posts as Linux manual pages #
https://jamesg.blog/2024/02/29/linux-manual-pages/
Serving my blog posts as Linux manual pages | James' Coffee Blog
本文介绍了 Linux 操作系统中的手册页(manual pages)以及如何将博客文章转换为 Linux 手册页的过程。手册页描述了如何使用特定命令,可通过在终端中键入 man
HN 评论 97 comments | 作者:zerojames | 13 hours ago #
https://news.ycombinator.com/item?id=39548410
根据您提供的链接,这篇帖子中的评论观点可以总结为:
提供 deb repo 订阅博客的想法;
担心该方法可能存在恶意软件的机会,不敢订阅;
讨论 HTTP(S) Same Origin 策略在本地文件 URL 上的工作方式;
建议使用 CI 管道创建包含 Debian slim 和 man 页面的 Docker 镜像;
建议为 Arch Linux 创建 AUR 软件包;
建议发布 Flatpak 版本,使其与各种发行版兼容;
提议发布 AppImage 版本;
建议将博客发布为 Electron 应用程序;
讨论在终端上播放动画的 URL;
讨论在终端上查看星球大战;
讨论如何在终端上查看天气信息;
讨论如何在终端上播放 ASCII 视频;
讨论如何在终端上查看图片以减少风险;
讨论 Markdown 转换为 roff 的工具存在;
讨论如何在 Squarespace 中显示博客评论的摘要块;
讨论如何在 Squarespace 主页上显示博客评论。
以上是对帖子中评论观点的中文摘要。
Show HN: We built the fastest spreadsheet #
网站内容摘要:rowzero.io
Row Zero 是一款强大的电子表格软件,让大数据在熟悉的电子表格界面中变得简单易懂。它的创造者 Wes McKinney 是 Pandas 和 Apache Arrow 的创始人之一。
主要功能和用途:
用途:为企业提供访问云数据源的工具,让他们能够探索数亿行数据,进行临时分析,并从电子表格的舒适环境中监控趋势。
功能:
强大速度:即时处理数亿行数据,无需等待;毫秒级过滤、排序、透视和绘图;上传多 GB 的 CSV 和 JSONL 文件,无需数据库或昂贵的商业智能工具。
熟悉界面:与 Excel 兼容,执行 VLOOKUPS、XLOOKUPS、COUNTIFS、INDEX MATCHs 等操作;过滤、排序、透视和绘图方式与您熟悉的方式一致;无需商业智能工具培训。
连接任何数据源:在云中运行,并直接连接到任何数据源,包括数据仓库、数据湖、API 等,以构建实时数据模型。
分享与协作:实时协作,共享每个工作簿并设置编辑和查看权限;提供刷新权限,使业务团队可以基于实时数据构建模型。
HN 评论 177 comments | 作者:gamegoblin | 9 hours ago #
https://news.ycombinator.com/item?id=39551064
根据您提供的链接,评论中的观点可以总结为:
有用户认为产品需要支持现代动态或基于令牌的身份验证,以及允许公司在其自身环境中运行,确保安全性。
有用户关注隐私问题,担心授予产品读取其数据的权限可能存在隐私漏洞。
有用户建议产品应该支持记录宏和可能的 VBA 到 Python 交叉编译,以满足用户需求。
有用户提出产品应该提供更轻量级和高性能的桌面应用程序,具有与 Excel 的功能兼容性。
有用户关注产品的定价策略,认为桌面客户端应该收取更高费用以覆盖开发和支持成本。
以上是对评论观点的中文摘要。
Antarctic English #
https://en.wikipedia.org/wiki/Antarctic_English
中文摘要:南极英语
南极英语是一种由生活在南极洲和次南极岛屿的人们所使用的英语变体。主要由在南极科学家和旅游业工作者使用,包含各种独特词汇,并带有独特的口音。在 19 世纪和 20 世纪,南极英语受到讲西班牙语的南美人和北欧探险家的影响,引入了一些新词汇,这些词汇至今仍在使用。
历史
1989 年,澳大利亚作家伯纳黛特·欣斯前往南极洲研究科学家们在那里工作时使用的词汇。她写了一本关于源自南极洲并在地球其他地方不使用的独特词汇的书。2000 年,她出版了《南极词典》,详细介绍了该方言中的词汇。
2019 年,第一次研究了南极口音,研究人员观察了南极科学家在南极洲冬季期间声音语音学的变化。他们观察到科学家在元音发音上的变化,如“food”和“window”等单词的元音开始在口腔的前部位置发音,而不同于其他英语变体。
词汇
南极英语包含许多其他英语变体中不使用的词汇,例如“Sleeping chamber”对应“Donga”、“Antarctica”对应“The Ice”、“Homebrew beer”对应“Homer”、“Insomnia”对应“Big Eye”等。此外,南极英语还有 200 多个用于描述不同类型冰的词汇,如“tabulars”(大型平顶南极冰山,从南极冰盖上脱落,通常超过十英里长)和“growlers”(大约有一座房子大小的水下腐烂冰山)。
其他语言影响
南极英语受到西班牙语和各种北欧语言的影响。在福克兰群岛,南极英语受到讲西班牙语的南美人的影响,例如“camp”一词源自西班牙语“campo”,指的是城镇外的乡村。18 和 19 世纪,对鲸捕和毛皮贸易感兴趣的北欧工业家引入了各种技术术语,如描述捕鲸过程中残留固体的挪威词“grax”等。
引用来源
Wikipedia - Antarctic English
这份综合的摘要涵盖了南极英语的历史、词汇特点以及受其他语言影响的情况。南极英语作为一种独特的语言变体,反映了南极地区特有的文化和环境对语言的塑造影响。
HN 评论 71 comments | 作者:benbreen | 1 day ago #
https://news.ycombinator.com/item?id=39544498
根据您提供的链接,这篇帖子中的评论观点可以归纳为:
对南极英语的口音和语言特点感兴趣,但找不到相关视频。
讨论南极英语是否会因人员变动而改变口音。
推荐了法国法语的相关链接,以及外籍军团发展出的独特方言。
讨论参加“死企鹅之旅”是否会让人感到内疚。
探讨人们在面对特定情境时的情感反应。
讨论旅游业术语,如“柯达中毒”。
探讨语言学分类和英语的归属问题。
讨论人们在接触其他语言或口音时自然地模仿的现象。
推测在南极地区出生长大的孩子数量可能不多,提及新语言形成的过程。
讨论人们在不同语言环境中自然地模仿他人的特征的现象。
推测某些人可能因为强烈的共情能力而更容易模仿
I keep making things out of checkboxes (2021) #
https://www.bryanbraun.com/2021/09/21/i-keep-making-things-out-of-checkboxes/
文章标题:我一直在用复选框制作各种东西
在这篇文章中,作者分享了他如何在过去的一年中一直在制作复选框动画,并且停不下来。在 2020 年疫情前,作者参加了 Recurse Center 一周,在那里他建立了一个名为 Checkboxland 的 JavaScript 库,可以在复选框网格上显示文本和动画。这是一个有趣的小项目,作者制作了一些演示,写了博客,然后将其搁置了一年。
最终,作者渴望寻找一个有趣的编程消遣,于是重新开始了这个项目。他想尝试制作更好、更复杂的动画,于是开始构建一个涟漪效果,并且迷上了这个过程。作者深入研究了一些动画数学,发现可以使用类似的技术构建其他动画。
作者制作了一些交互式演示,包括“激光”动画和“脉冲”动画。随着制作的交互式演示越来越多,作者产生了更多的想法,甚至可以制作游戏,如贪吃蛇、乒乓球、俄罗斯方块等。
作者还尝试将任何图像转换为 ASCII 文本,并最终转换为视频。他扩展了 Checkboxland API,可以加载任何视频,并即时生成复选框版本。这也意味着他可以显示网络摄像头数据,这在 Twitter 上引起了很多关注。
尽管这个过程很有趣,但作者意识到自己应该停下来了。他开始感到内疚,花费数月时间在这些事情上,而他有能力将实际有用的东西带给世界。作者认为自己像超人一样,利用自己的能力来煎蛋。
作者担心如果继续下去,自己会以“复选框人”而闻名。幸运的是,他觉得自己开始耗尽了在这种格式下可以构建的有趣内容。尽管如此,他仍然有一些想法,也许这就像控制的森林火灾,他应该让自己继续制作这些东西,直到它自行熄灭。
这篇文章展示了作者对复选框动画的创作过程和思考,以及他在这个项目中的探索和成长。
来源:Bryan Braun - I keep making things out of checkboxes
HN 评论 44 comments | 作者:surprisetalk | 21 hours ago #
https://news.ycombinator.com/item?id=39546158
根据您提供的链接,评论中的观点可以总结为:
有人认为利用技能创造实用的东西比花时间在琐事上更有意义。
有人觉得克拉克在《小镇风云》中利用超能力做家务很有魅力。
有人认为煎蛋并不难,甚至可以在热天的汽车引擎盖上完成,但煮荷包蛋就不那么容易了。
有人担心如果超人在拯救世界时煎蛋,可能会耗费过多能量而被击败。
有人分享了相关漫画链接。
有人评论漫画作者 13 年前的作品。
有人问在这句话中“真正的事物”是指什么。
有人解释在这句话中“真正的事物”指的是反派。
有人认为鸡也可能是反派。
有人调侃是否鸡有大爪子。
有人讨论超级英雄的能力有限,浪费在琐事上可能导致失败。
有人分享了自己用复选框实现康威生命游戏的经历。
有人期待作者是否实现了康威生命游戏。
有人分享了用复选框渲染《毁灭战士》的相关内容。
有人提到使用禁用属性可以实现更吸引人的动画。
有人认为这样的项目不仅有趣,还提醒我们计算的基础是区分两种状态的能力。
以上是评论中的主要观点总结。