2024 04 08 HackerNews

2024-04-08 Hacker News Top Stories #

一句话摘要 #

  1. The xz sshd backdoor rabbithole goes quite a bit deeper 这条推文探讨了“xz sshd backdoor”这一网络安全话题的深度,并提到触发了后门功能的高级功能。
  2. Faces.js, a JavaScript library for generating vector-based cartoon faces Faces.js 是一个 JavaScript 库,用于生成基于矢量的卡通人脸,允许用户自定义和存储人脸对象。
  3. Show HN: Online database diagram editor DrawDB 是一个免费且直观的在线数据库设计工具,支持图表构建、SQL 脚本导出和编辑器自定义。
  4. WinBtrfs – an open-source btrfs driver for Windows WinBtrfs 是一个开源的 Btrfs 文件系统驱动,专为 Windows 设计,支持读写操作和多种 RAID 配置。
  5. More Agents Is All You Need: LLMs performance scales with the number of agents 研究表明,通过增加代理数量,可以简单有效地提高大型语言模型(LLMs)的性能。
  6. Glory is only 11MB/sec away (2023) 文章讨论了云计算成本问题,指出通过优化网站结构和利用 CDN 等技术,可以低成本实现高性能网站。
  7. Lago, Open-Source Stripe Alternative, banks $22M in funding 巴黎初创公司 Lago 获得 2200 万美元融资,开发了一款开源计费平台,旨在提供可扩展性和定制解决方案。
  8. Is the frequency domain a real place? 文章探讨了频域的真实性,介绍了除傅里叶变换外的其他频域变换方法,如 Walsh-Hadamard 变换。
  9. Porn restrictions are leading to a VPN boom 美国某些州对在线色情内容的限制导致 VPN 服务需求激增,用户通过 VPN 访问被屏蔽的材料。
  10. Command injection and backdoor account in D-Link NAS devices GitHub 项目揭示了 D-Link NAS 设备中的命令注入和后门账户漏洞,影响了超过 92,000 台设备。

The xz sshd backdoor rabbithole goes quite a bit deeper #

https://twitter.com/bl4sty/status/1776691497506623562

这条推文是关于一个名为 blasty 的用户分享的内容。推文提到了一个名为“xz sshd backdoor”的主题,暗示这个话题的深度可能比较大。

作者表示自己刚刚成功触发了这个后门功能中更难以达到的一些功能,并且还有更多内容等待探索。整体来说,这个推文似乎在探讨有关网络安全或技术方面的内容。

HN 评论 250 comments | 作者:nathell | 1 day ago #

https://news.ycombinator.com/item?id=39956455

这篇帖子中的评论观点可以归纳为:

一些人认为这次事件在某些方面表现得非常专业,但在其他方面有些业余;

另一些人认为大型组织也存在官僚主义、沟通不畅等问题;

还有人认为可能是业余黑客团伙或勒索软件组织所为;

有人讨论了国家支持的攻击者的行为方式和专业性;

还有人提到了可能的后门设计和发现过程。

Faces.js, a JavaScript library for generating vector-based cartoon faces #

https://zengm.com/facesjs/

faces.js 是一个用于生成基于矢量的卡通人脸的 JavaScript 库。该库可以生成和显示卡通人脸,有些类似于任天堂 Wii 生成随机 Mii 的方式。这些人脸是以可伸缩矢量图形(SVG)的形式绘制的。每个人脸也可以用一个小的 JavaScript 对象来表示,这样你可以存储该对象,然后以后再次绘制相同的人脸。

可以看出,每个面部特征(眼睛、鼻子、嘴巴等)的选项数量相当有限,而且一些当前的选项相当简单。因此,你可以在 GitHub 上进行分支并添加一些新选项!

使用方法:

从 npm 安装: $ npm install --save facesjs 或者使用 yarn: 

$ yarn add facesjs
显示一个随机生成的人脸(#my-div-id div 的大小决定了显示的人脸大小):

import { display, generate } from "facesjs";

// 生成一个随机人脸
const face = generate();

// 在 id 为“my-div-id”的 div 中显示
display("my-div-id", face);

更多: 在 faces.js 编辑器中查看所有可用的面部特征。

有关更多文档和信息(其他选项、SVG 导出、CLI),请查看 GitHub 上的 README。

HN 评论 73 comments | 作者:starkparker | 1 day ago #

https://news.ycombinator.com/item?id=39954422

这篇帖子中评论的观点包括:

对 Faces.js 生成卡通面孔的 JavaScript 库的赞赏、

与 Chernoff Faces 的关联、

在 SRE 仪表板上使用的想法、

在 3D 工作中常见的面部动画技术、

对面部表情参数化的兴趣、

Extism 的介绍和用途、

关于 API 设计的讨论、

关于保存面部对象的讨论、

其他生成面部艺术的项目推荐、

以及对 Faces.js 的赞美和建议。

Show HN: Online database diagram editor #

https://github.com/drawdb-io/drawdb

这个 GitHub 地址是 drawdb-io/drawdb,是一个免费、简单且直观的在线数据库设计工具和 SQL 生成器。

DrawDB 是一个强大且用户友好的数据库实体关系(DBER)编辑器,可以直接在浏览器中使用。你可以通过几次点击来构建图表,导出 SQL 脚本,自定义编辑器等功能,而无需创建账户。

该工具还提供了本地开发和构建的指南,以及关于工具的详细介绍。DrawDB 主要使用 JavaScript、CSS 和 HTML 进行开发,具有 972 个星标和 37 个分支。

该工具的特点包括 React、SVG 编辑器、SQL、数据库模式等。你可以在 https://github.com/drawdb-io/drawdb 获取更多信息。

HN 评论 57 comments | 作者:1ilit | 1 day ago #

https://news.ycombinator.com/item?id=39955944

  • 有人希望数据库图工具能够适应某种标记语言,例如 Sequencediagram.org;
  • 有人认为数据模型和 ERD 图不值得花费精力,更看重表结构和关系集合;
  • 有人认为开发人员在图表方面的体验仍然很差,希望有更好的工具来比较架构图和实际代码,以及自动产生更新的领导层级图表;
  • 有人建议将工具打包成 VSCode 扩展;
  • 有人希望工具能够从数据库架构生成文档和图表,而不需要重复创建结构;
  • 有人推荐了其他数据库图工具,如 dbdiagram 和 schemaspy;
  • 有人提出希望工具能够生成文档和图表,同时希望能够本地保存数据而不涉及云端。

WinBtrfs – an open-source btrfs driver for Windows #

https://github.com/maharmstone/btrfs

这个 GitHub 地址 https://github.com/maharmstone/btrfs 是关于 WinBtrfs 的,它是一个用于 Windows 的开源 Btrfs 驱动程序,用于支持下一代 Linux 文件系统 Btrfs。这个项目是从头重新实现的,不包含任何来自 Linux 内核的代码,应该可以在 Windows XP 及更高版本上运行。WinBtrfs 也作为自由操作系统 ReactOS 的一部分。如果您的 Btrfs 文件系统位于 Linux 创建的 MD 软件 RAID 设备上,您还需要 WinMD 才能在 Windows 下看到这些设备。

WinBtrfs 的特点包括:

  • 读写 Btrfs 文件系统
  • 基本 RAID:RAID0、RAID1 和 RAID10
  • 高级 RAID:RAID5 和 RAID6
  • 缓存
  • 发现 Btrfs 分区,即使 Windows 通常会忽略它们
  • 获取和设置访问控制列表(ACL),使用 xattr security.NTACL
  • 备用数据流(例如::Zone.Identifier 存储为 xattr user.Zone.Identifier)
  • Linux 用户到 Windows 用户的映射
  • 符号链接和其他重解析点
  • Shell 扩展,用于识别和创建子卷,包括快照
  • 硬链接
  • 稀疏文件
  • 空闲空间缓存
  • 预分配
  • 异步读写

此外,还提供了安装、卸载、编译、映射、LXSS 支持、命令、故障排除等方面的详细信息。请注意,使用此软件存在风险,建议在日常使用中备份数据。所有内容均在 GNU Lesser General Public Licence(LGPL)下发布。

HN 评论 101 comments | 作者:jiripospisil | 1 day ago #

https://news.ycombinator.com/item?id=39956008

评论中的观点归纳如下:

    1. 一些用户对 WinBtrfs 的稳定性表示担忧,希望有更稳定的 btrfs/zfs 驱动;
    1. 有人指出 WinBtrfs 是在没有 Linux 代码的情况下重新实现的,可用于 XP/2k3 和 ReactOS;
    1. 有关 Rust 中的 io-less 库的讨论,探讨文件系统遵循这种模式的可能性;
    1. 对 io-less 库的实践和设计进行讨论,包括在测试方面的优势;
    1. 有关 WinBtrfs 在 Windows 上长期使用的评论,一些用户认为不适合生产环境;
    1. 对 BTRFS 的 RAID 5/6 支持和 WinBtrfs 的可靠性进行讨论;
    1. 一些用户分享了对 BTRFS 的负面经历,提出对其稳定性的担忧。

More Agents Is All You Need: LLMs performance scales with the number of agents #

https://arxiv.org/abs/2402.05120

这篇论文标题为《More Agents Is All You Need》,作者为 Junyou Li, Qin Zhang, Yangbin Yu, Qiang Fu, Deheng Ye。他们通过一种简单的抽样和投票方法发现,大型语言模型(LLMs)的性能随着实例化的代理数量而提高。这种方法与现有的复杂方法相互独立,可以进一步增强 LLMs 的性能,而增强程度与任务难度相关。他们在广泛的 LLM 基准测试上进行了全面实验,以验证他们的发现,并研究可以促使其发生的属性。他们的代码公开可用,链接为: https://anonymous.4open.science/r/more_agent_is_all_you_need。

这篇论文涉及的主题包括计算与语言(cs.CL)、人工智能(cs.AI)和机器学习(cs.LG)。他们的研究结果表明,通过增加代理数量,可以简单有效地提高大型语言模型的性能,而这一方法与任务难度相关。他们的工作对于理解和优化大型语言模型的性能具有重要意义。

HN 评论 187 comments | 作者:TaurenHunter | 1 day ago #

https://news.ycombinator.com/item?id=39955725

这篇帖子中的评论观点归纳如下:

一种观点认为,LLM 的性能随着代理数量增加而提高,提出了一种简单算法,通过多次在同一 LLM 上运行相同查询并对答案进行相似性算法来选择最常见答案,与其他多代理算法表现相当甚至更好;

另一种观点认为,LLM 可能无法实现智能,因为语言预测只是模拟,不会跨越到智能领域;

还有观点认为,LLM 可能会成为通向 AGI 的途径,通过训练模型进行逻辑推理,但也指出 LLM 可能无法达到人工意识的定义。

Glory is only 11MB/sec away (2023) #

https://thmsmlr.com/cheap-infra

这篇文章讨论了云计算的成本问题,特别是针对 AWS 和其他云服务提供商的定价策略。作者指出,许多人认为云计算价格便宜,但实际上可能被高估了。文章以创建一个全球前 1000 的网站为例,详细介绍了网站所需的带宽和服务器处理能力。作者提出,通过合理优化网站结构和利用 CDN 等技术,一个网站只需要很低的带宽就能达到全球前 1000 的水平。

此外,文章还讨论了延迟和数据中心位置对网站性能的影响。作者认为,通过合理的技术选择和优化,可以在不必依赖云服务提供商的情况下搭建高性能网站。他提倡使用本地数据库、CDN 缓存、服务器端渲染等方法来提高网站性能,减少成本和复杂性。

总的来说,文章主张在选择云计算服务时要谨慎考虑成本和性能之间的平衡,避免被过度定价和不必要的服务所困扰。建议根据实际需求选择合适的技术方案,以实现高效、经济的网站运营。

HN 评论 152 comments | 作者:todsacerdoti | 20 hours ago #

https://news.ycombinator.com/item?id=39957902

这篇帖子中的评论观点归纳如下:

    1. AWS 的复杂性吸引开发者,支持简历驱动开发;
    1. 流量不均匀分布,高峰时需考虑单系统处理能力;
    1. AWS 的负载均衡和网络基础设施经过大量工程优化;
    1. 大多数网站通过 CDN 缓存解决高流量问题;
    1. 从单服务器开始,不要过早扩展;
    1. 使用云服务直到需要扩展;
    1. AWS 购买了一个替罪羊,易于解释故障;
    1. SQLite 在垂直扩展时表现优异;
    1. 可以将 API 和 SQLite 数据库放在一起,利用边缘服务;
    1. 可以通过备份、数据库复制等方式处理可用性问题。

Lago, Open-Source Stripe Alternative, banks $22M in funding #

https://techcrunch.com/2024/03/14/lago-a-paris-based-open-source-billing-platform-banks-22m/

根据 TechCrunch 的报道,总部位于巴黎的初创公司 Lago 最初专注于构建营销工具,但在成功转型为计费领域后获得了 2200 万美元的融资。Lago 开发了一款开源计费平台,通过两轮融资成功推出,正式发布当天,已在封闭测试阶段运营一段时间,并吸引了一些知名初创公司如 Mistral.ai、Together.ai 和 Juni 作为早期客户。公司的开源重点是有意为之,CEO Anh-Tho Chuong 表示他们针对寻求解决方案以适应最新创意服务的开发人员,认为市场上现有的解决方案并未很好地满足需求,而 Lago 认为通过开源方式可能更好地解决这一问题。

Lago 的最新 1500 万美元的 A 轮融资由 FirstMark 领投,之前的 700 万美元种子轮由 SignalFire 领投。其他支持者包括 Y Combinator、New Wave 和 Script,以及一些个人投资者,他们的参与突显了 Lago 瞄准的市场细分。Lago 的业务起源于一种非常典型的初创公司方式:最初并没有意识到自己会成为一个计费平台。创始人 Anh-Tho Chuong 和 Raffi Sarkissian 在商业银行初创公司 Qonto 工作时决定自立门户,他们申请加入 Y Combinator,并凭借自己的背景成功进入了 2021 年夏季孵化器项目。在那里,他们最初专注于营销,特别是围绕构建“营销团队的 Zapier”这一想法。

然而,由于市场竞争激烈,公司的产品几乎没有获得任何吸引力。在一次试图增长用户群的尝试中,Sarkissian 决定在 Hacker News 上发表一篇文章,抱怨开发人员的计费问题。这篇文章引起了很多人的共鸣,Lago 意识到他们可以解决这个问题,并且可以做得很好。于是,他们转向计费领域,公司开始蓬勃发展。

Lago 的目标是提供可扩展性和定制解决方案,以满足试图在竞争激烈的领域中推动边界的初创公司的需求。尽管像 Stripe、Adyen、Salesforce、Zoho、Paddle 等大型科技公司提供计费解决方案,但 Chuong 相信仍然存在机会,特别是针对 AI 领域。公司的未来计划包括提供更多关于用户消费和付款情况以及付款模式的数据分析,以及探索计费的另一面:支付。公司的重点几乎肯定将放在支付编排上,让用户控制他们使用的内容,并确保与他们的计费平台良好集成。

HN 评论 111 comments | 作者:Rafsark | 21 hours ago #

https://news.ycombinator.com/item?id=39957607

根据您提供的链接,这篇帖子中的评论主要包括以下观点:

    1. 一些用户认为 Lago 的定价计划对小型用户不友好,希望提供托管解决方案而非自行托管;
    1. 有用户表示对 Lago 等服务感兴趣,但对于使用基于使用量计费的 API 提供商的选择感到困扰;
    1. 一些用户提供了其他类似服务的替代方案,如 revenium.io 和 stigg.io;
    1. 有用户讨论了开源软件与商业化之间的平衡,以及开源软件如何进行可持续发展。

Is the frequency domain a real place? #

https://lcamtuf.substack.com/p/is-the-frequency-domain-a-real-place

这篇文章探讨了频域在信号处理中的重要性,特别是离散傅里叶变换(DFT)在通信和信号处理中的关键作用。作者提到频域是一个数学上奇妙的地方,可以将复杂信号转换为正弦波的幅度和相位。然而,文章提出了一个问题:频域到底有多真实?

作者试图打破傅里叶变换的神坛,指出正弦波虽然在自然界中无处不在,但也可以构建其他频域,其中只有方波是真实的,其他都是谐波。作者介绍了离散余弦变换(DCT)作为简化的实数版本的 DFT,并展示了如何构建一个将信号分解为方波的新基函数。通过介绍 Walsh 矩阵和 Hadamard 矩阵的生成过程,作者展示了如何构建一个新的频域变换,将信号分解为方波而不是正弦波。

最后,作者展示了 Walsh-Hadamard 变换(WHT)的实现,并验证了其在将信号转换为纯方波的效果。文章指出,虽然傅里叶变换在某些情况下非常有用,但并非唯一的真理,Walsh-Hadamard 变换在某些数据类型上同样有效。

HN 评论 130 comments | 作者:zdw | 18 hours ago #

https://news.ycombinator.com/item?id=39958260

评论中的观点归纳如下:

Fourier 变换是一种表示时间信号的方法,信号可以在无穷维向量空间中表示,频域与时间域都是信号的不同表示方式;

Fourier 变换是“无损”的,转换后的函数保留了原始信息;

工程视角下常用 Fourier 变换来去除不需要的信息;

Fourier 变换在信号处理、图像处理、微分方程求解等领域有广泛应用;

Fourier 变换在工程课程中通常以离散 Fourier 变换形式教授,采样率会影响高频信息的丢失;

正弦波基函数在信号分解中有重要作用,Fourier 变换在线性时不变系统中有独特性质,在电气工程等领域应用广泛。

Porn restrictions are leading to a VPN boom #

https://www.popsci.com/technology/vpn-boom/

这篇文章讨论了在线色情限制导致 VPN 的兴起。一些美国州的互联网用户发现匿名浏览网络变得更加困难。多个州,包括得克萨斯州和路易斯安那州,已经通过立法要求 Pornhub 和其他在线成人视频提供商验证用户身份,以确保未成年人无法访问“对未成年人有害的性材料”。其他一些州,如佛罗里达州,立法者提出所谓的在线父母同意法,限制或禁止未成年用户访问社交媒体服务,称其会对心理造成伤害。在这些情况下,立法者希望在线平台收集用户的政府身份证或让他们接受第三方年龄验证方法,以确保他们确实是成年人。

专家表示,有迹象表明许多这些州的互联网用户正在转向虚拟专用网络(VPN)以访问被屏蔽的材料。一些领先的 VPN 提供商称,VPN 服务的需求在 3 月 15 日激增了 275%,这一天 Pornhub 在得克萨斯州停止访问。另一家知名的 VPN 提供商 ExpressVPN 告诉 PopSci,当去年路易斯安那州实施类似法律的第二天,他们的网站流量也有所增加。

VPN 可以为用户的数据创建加密隧道,并使其计算机看起来位于不同的地理位置。数字流媒体观众经常使用 VPN 掩盖技术来访问在某些市场受限制的节目和被屏蔽的体育赛事。其他人则认为 VPN 是增加私人通信安全性的有用工具。多年来,相同的技术一直被吹哨人、记者和世界各地的政治异见者用来增强其在线匿名性,尤其是在专制国家。

一些成人内容网站选择阻止来自实施这些新法律的州的 IP 地址,以避免违反法律。一些专家表示,平台也反对这些法律,因为他们不想负责收集和维护大量敏感用户数据,这可能成为网络犯罪分子的目标。

VPN 的使用可能会引起新的立法者关注。美国互联网用户据称正在使用 VPN 访问与色情无关的材料。一些数字权利活动人士担心,一些旨在限制美国用户访问外国应用程序的最近提出的立法可能包含禁止使用 VPN 的规定。然而,禁止犯罪化或限制 VPN 的新法律可能会带来更多伤害,可能会面临宪法法律挑战。

HN 评论 262 comments | 作者:geox | 1 day ago #

https://news.ycombinator.com/item?id=39955148

  • 评论中提到,土耳其某保守城市的同性恋伴侣通过设置特定 DNS 解锁了被审查的内容,体验到极大的喜悦。
  • 讨论了设置不同 DNS 选项以提供更多选择和加密 DNS 的重要性。
  • 有人警告在审查严格的国家给予安全建议时要小心,因为不正确的建议可能导致严重后果。
  • 讨论了 DNS 解锁内容并不违法,但可能引起政府怀疑,强调加密 DNS 的重要性。
  • 讨论了 DNS 查询足以泄露用户访问的网站,强调加密 DNS 的必要性。

https://github.com/netsecfish/dlink

这个 GitHub 地址( https://github.com/netsecfish/dlink)包含了有关 D-Link 网络存储设备的命令注入和后门账户问题的详细内容。

漏洞影响多个 D-Link NAS 设备,包括 DNS-340L、DNS-320L、DNS-327L 和 DNS-325 等型号。

漏洞位于 nas_sharing.cgi URI 中,主要存在两个问题:一个是由硬编码凭据引发的后门,另一个是通过系统参数的命令注入漏洞。攻击者可以利用这些漏洞在受影响的 D-Link NAS 设备上执行任意命令,可能获取对敏感信息的访问权限、修改系统配置或造成拒绝服务,影响超过 92,000 台连接到互联网的设备。

建议采取设备制造商提供的可用补丁和更新来修复这些漏洞。

HN 评论 97 comments | 作者:campuscodi | 12 hours ago #

https://news.ycombinator.com/item?id=39960107

  • 消费级 NAS 设备普遍存在安全问题,建议使用廉价硬件并安装 TrueNAS 或 Unraid,因为它们定期获得软件更新且没有主要安全问题。
  • Unraid 也存在问题,不够令人信服,安全性选择有问题,代码质量存疑,存在多个安全隐患。
  • 个人应学会配置网络,不要使用云路由器,了解 VLAN 并使用,不要将关键设备如 NAS 连接到互联网。
  • 云存储服务可能比本地 NAS 更可靠,但本地 NAS 在特定用途下仍有价值。
  • D-Link NAS 设备存在后门账户和命令注入漏洞,尚有 9 万多设备在使用,厂商通常忽略旧产品支持。
  • 建议在家庭网络中使用防火墙和 VPN,限制入站流量,以减少网络设备安全漏洞的风险。