04·13 SAT 5 posts
女士们先生们,今天我们又来到了花田原创高超开局的当口,有人在质疑《GBC》是否会步入星团的后尘,而我已然在期待下一个《轻音少女》的诞生。在五年后十年后,当新入宅的小鬼们质问在千古名篇《Girls Band Cry》播出那一年我在干什么时,我会骄傲的向所有人说我选择了相信。相信吧,因为相信是不需要理由的。
Tab vs Space
在编程中,Tab 和 Space 用于增加代码可读性的缩进。二者各有支持者:Tab 可以减少文件大小并允许程序员自定义缩进宽度;而 Space 提供了一致的视觉排版,不受编辑器设置的影响。 编码风格指南如 Python 的 PEP 8 推荐使用 4 个空格缩进以维持代码一致性。但在某些情况下,如带有嵌套循环的复杂算法,使用 Tab 可以快速调整整体缩进宽度而不必逐个更改空格。然而,这也可能引发问题,因为不同编辑器/IDE 对 Tab 的解释可能不同,从而影响代码的外观。 在编码协作中,不统一的缩进方式会使得版本控制系统识别正常的缩进更改为代码更改,这会污染提交历史和代码审核。作为解决方案,许多团队选择在项目开始时决定统一使用 Tab 或 Space,以及确定 Tab 键代表的 Space 数。我就遇到了项目内同时使用 Space 和 Tab 的情况,一度困惑其原因。后发现 VS Code 会通过 Detect Indentation 机制 自动识别并应用文件的缩进格式。所以不同的同事开发同一个仓库的不同文件时,可能就因为编辑器的初始缩进配置不一样,就会出现上面的乱象。 本来想将 Detect Indentation 关掉统一设置成 4 Space 的,但不是所有项目可以由我决定的,而且会将历史的更改记录给污染了,这种情况还是保守一点入乡随俗吧。而我可以控制的项目都统一改成 4 Space ! PS. Stack Overflow 的一个 著名调查表明,使用 Space 缩进的程序员可能平均薪酬要略高于使用 Tab 的程序员,但这并不意味着 Space 直接导致了薪酬的差异。这可能是由于使用 Space 的程序员往往遵循的是某些广泛接受的编程约定。 🔗 Tabs versus spaces - Stack Overflow | #编程 #缩进 #代码风格 #TIL
🔖 Mental Health in Software Engineering #pinboard #health #programming #psychology
Putting things in perspective has been another big one for me. I always ask myself, "Will this matter in two years?" You'd be surprised how often the answer is no. It takes the edge off the pressure. I allow myself to miss a deadline every now and then. As I mentioned above, not every deadline is do-or-die. Sometimes, it’s entirely reasonable to push things back to worry less.https://vadimkravcenko.com/shorts/mental-health-in-software-engineering/
Vadim Kravcenko
Mental Health in Software Engineering: Leadership Coping
Explore real stories of burnout in software engineering and practical steps to protect mental health for leaders. Set boundaries, reset cadence, and thrive—start now.
🔖 智己汽车把CEO关进了笼子里 #pinboard
堂堂智己那么大一个公司,难道都是人人不上网的?一定有人心里雪亮,明白这些诸如“错过小孩出生”“四阳还要加班”之类的糟心内容是高危的,甚至是要闯祸、要上热搜的。而且,心里雪亮的人估计不只一个。https://mp.weixin.qq.com/s?__biz=MzA4NDEzNTMyMA%3D%3D&mid=2650328972&idx=1&sn=cc021243d3b9d5ee57beb5e2ca2c2712
04·12 FRI 3 posts
零日漏洞(Zero-Day Vulnerability)
指攻击者发现并利用了软件中的一个未知弱点,而此时软件开发者尚未意识到这一点或者尚未发布修复的更新。因为开发者拥有「零天」来修复这个漏洞,故称之为零日漏洞。
2017 年的 WannaCry 勒索软件攻击,就是利用了 Windows 系统中的零日漏洞。(截至 2018 年,已有大约 150 个国家超过 230,000 台计算机受到影响)
保持软件更新是用户可以采取的最有效的预防措施之一,定期更新能够确保安全补丁被及时安装,减少安全风险。
以迅雷为例,就是因没有持续保证其众多依赖库的更新,导致存在许多已知 Common Vulnerabilities and Exposures (CVE) 的安全漏洞。由于使用了大量的过时组件,如 Chromium、libpng、ffmpeg 等,迅雷的用户受攻击面增大,安全风险随之上升。🔗 参考资料:零日攻击 - wiki | #网络安全 #零日漏洞 #软件漏洞 #TIL
🔖 ArtiverseHub免费艺术提示市场 - 免费DALLE-E 3提示、MidJourney提示、Leonardo提示等 #pinboard #prompt #ai #anime
适用于多个平台的免费AI图像提示词。每天更新提示有用吗?有用吧? https://artiversehub.ai/cn/prompt-marketplace
artiversehub.ai
ArtiverseHub免费艺术提示市场 - 免费DALLE-E 3提示、MidJourney提示、Leonardo提示等
ArtiverseHub的免费艺术提示市场是AI画廊和提示市场,提供多平台的免费ai提示。我们将每天为包括MidJourney、DALL-E 3、Leonardo等平台更新新的提示。
04·11 THU 5 posts
🔖 Yes, social media is a cause of the epidemic of teenage mental illness | Hacker News #pinboard #mental #communication
The world is full of people who disagree with you, but you need to learn more than ever to recognize and filter out what you don't care about. I don't even view replies to posts any longer, 98% of the time because I am not seeking validation sharing my opinion.https://news.ycombinator.com/item?id=39983233
- 打码敏感信息:确保照片中的个人信息,比如姓名、地址、车牌号码等都被打码或者模糊处理,以避免被识别。(DAMA 就很好用,我这几天的截图都全靠它自动识别的)
🔖 Shell History Is Your Best Productivity Tool | Martin Heinz | Personal Website & Blog #pinboard #shell #devops #interesting #linux #tips
这些经典例子,基本上 oh-my-zsh 默认就自带了,挺有参考价值的
https://martinheinz.dev/blog/110
martinheinz.dev
Shell History Is Your Best Productivity Tool
<p>If you work in shell/terminal often enough, then over time the history will become your personal knowledge vault, documentation and command reference. ...
04·10 WED 3 posts
04·09 TUE 4 posts
定律二. 处方单的药物,如果看名字你根本不知道这个药是干啥的,那么这个药可能没问题,而如果药名字一眼看上去就知道干啥的,那么,这个药就是没有用的,赚你钱的,中成药。
定律二. 处方单的药物,如果看名字你根本不知道这个药是干啥的,那么这个药可能没问题,而如果药名字一眼看上去就知道干啥的,那么,这个药就是没有用的,赚你钱的,中成药。
0 Day 安全提醒: Telegram Desktop <=4.16.4 有自动执行代码漏洞
消息来源:
https://t.me/strykerapp/453
https://t.me/exploitorg/30
Telegram
The Stryker Project [⏸️]
❗Attention! 🕷️Zero day, Zero click RCE in Telegram Desktop <=4.16.4Turn off automatic media downloading now! Code execution starts after image/video downloading, automatically No patch available yet.Update 1: Originally a warning will popup "exe…
🔖 Apple Updates App Store Guidelines to Permit Game Emulators, EU Music App Links | Hacker News #pinboard #apple #game #emulator
差点以为是开放游戏模拟器上线 App Store。想来,在最开始用 iPad 时,我也幻想着在上面推 gal。现在唯一能使我 iPad 发热的软件就只有星穹铁道了~~
For example, since I am blind, I cannot see game menus, so in games which I can play, like Mortal Kombat, or the original Dissidia Final Fantasy. There are also games like Blazblue, which are mostly voiced visual novels, but with text describing what the characters do.挺难想像的,盲人玩真人快打的场景。 https://news.ycombinator.com/item?id=39946694
04·08 MON 4 posts
Tomoko RD pinned «»
重新整理了一下我的作品评分标准,一般用作评分时的参考,所以就列了不少自己看过的作品。(非常个人向,不仅仅是 ACG 方面的)
---
震撼我了(10 分): 剧情、角色塑造、主题深度或创新性而大幅度超出本人预期,该评分一般较为主观,受先来后到的影响比较大。如《Sunny Boy》、《天国大魔境》、《凉宫春日的忧郁》、《No Game No Life》第六本、《命运石之门》、《三体》
领域标杆(9 分): 在某一方面做到了别的作品做不到的水平,一般没有对应的代餐。如《物语系列》、《宝石之国》、《来自新世界》、《天元突破》、《魔法少女小圆》
看就赚了(8 分): 在这个分数上的就是推荐去看的。如《赛伯朋克: 边缘行者》、《反叛的鲁鲁修》、《无头骑士异闻》、《黑岩射手》、《憧憬成为魔法少女》、《MyGO!!!!!》
中规中矩(7 分): 看了没后悔也喜欢,不过一般不会主动去安利别人看。如《丧女》、《极黑的布伦希尔特》、《小魔女学院》、《超能力女儿》
部分不错(6 分): 一部分还不错,但某个剧情让我很难受。如《假面骑士极狐》、《ALDNOAH.ZERO》、《东京复仇者》、《Charlotte》
时间杀手(5 分): 没有必要看,看了浪费时间。好多低级卖肉动画都属于这种。我这算是提了裤子就走人么 。如《美少女死神 还我 H 之魂!》、《世界末日的世界录》
无评价(<4 分): 甚至不想去回忆剧情,更不要说去评价了~~
PS. 豆瓣评分一般是向上取整。
参考: 同装精神世界 #Review
NT's on Notion
同装精神世界 | Notion
🎮 游戏
boehs.org
Everything I Know About the XZ Backdoor
Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries
少数派 - 高品质数字消费指南
我如何管理自己的「数字资产」 - 少数派
也许 PKM/PIM 的真谛其实是学会不管——就像 GTD 的真谛是学会放弃不该做的。没必要的知识和信息可以不管,没必要的事情也无需硬是浪费自我气力。专注于当下,不该做的事情就让它随风飘去吧。
04·07 SUN 6 posts
缺氧 Wiki
教程 | 缺氧 Wiki | Fandom
某种意义上,《缺氧》是一个比较现实的游戏:我们常能看到游戏中一些以现实概念为原型的游戏机制,比如质量,热导率,比热容以及物质相变等。但归根结底,《缺氧》毕竟只是游戏,只能做到非常有限的现实模拟。相比之下,大部分的游戏体验来源于基于少数概念衍生出的游戏模拟机制。在本页面中,我们可以看到关于该游戏的许多机制,更好地理解这些机制,可以创造更多的新颖玩法,带来更好的游戏体验。 模组 游戏操作 游戏设置…
Nssurge
Surge Tech Community
The forum is only for Surge technical discussions. License and other questions please contact support@nssurge.com.
🔖 【缺氧从新开始#06】挖向原油区,野外炼钢详细注意事项_攻略 #pinboard #game #缺氧 #攻略
才发现,我从最开始就做错了很多决策。但没办法,但我不打算重开了,应该就着当前的破烂存档一点一点改过来~~
毕竟人生没有重开大法
https://www.bilibili.com/video/BV1KG4y1Z7W1
Bilibili
【缺氧从新开始#06】挖向原油区,野外炼钢详细注意事项_攻略
简介:本教学是对原新手100周期教学的补充以及延续。教学无法完全面;更多实用攻略教学,爆笑沙雕集锦,你所不知道的游戏知识,热门游戏视频7*24小时持续更新,尽在哔哩哔哩bilibili 视频播放量 495977、弹幕量 1102、点赞数 6017、投硬币枚数 3268、收藏人数 1397、转发人数 207, 视频作者 大叔追云彩, 作者简介 云不来找我,我则追云而去。,相关视频:【缺氧从新开始#07】水门的运用以及芦苇纤维的获取,【缺氧从新开始#09】原油精炼,产电又产塑料,【缺氧从新开始#05】初期电…
有点想入坑 Ingress,想借此出去走走并认识点人。现在上下班都基本上是「独立行动」,感觉人会抑郁的。
https://t.me/LinsBookA/3163
Telegram
笔记本:Lin's 文字世界 : 个人见闻/B站视频/网络见闻
简化解析,仅做记录:Ingress是类似宝可梦Go的与现实世界结合的、需要在现实世界行动的游戏。该游戏需要国际通信才可使用。该游戏有一活动IFS,为每月一次的玩家聚会,活动以城市为单位开展。举办成功可获得游戏“成就”该活动的开办与否由玩家申请,由官方选择的玩家(半官方人员)审核申请。而核心审核之一在今晚做出奇怪举动。或许是由于之前的压力太大,也或许是其他原因,在频道主看来,他因别人不同意删掉活动群中的算命bot,而宣布大陆地区今后不再开办IFS。持续半小时。此举令频道主感到抽象,很难再评价。…
04·04 THU 3 posts
04·03 WED 7 posts
《你想活出怎样的人生》中国大陆定档 4 月 3 日上映 Source
《你想活出怎样的人生》中国大陆定档 4 月 3 日上映 Source
《你想活出怎样的人生》中国大陆定档 4 月 3 日上映 Source
《你想活出怎样的人生》中国大陆定档 4 月 3 日上映 Source
🔖 Bringing Python to Workers using Pyodide and WebAssembly #pinboard #wasm #projects #python #笔记 #cloudflare
Cloudflare 原生支持 Python 了(不再需要事先打包 wasm)
是用了 Pyodide: 一个基于 WebAssembly 的 Python 发行版,Langchain、Numpy 都可以支持
foreign function interfaces (FFI): 可以通过 from js import Response, xxx 来导入 js 库,真是前卫
memory snapshots: 使用内存快照,以及部署时进行 import 更新快照,达到快速冷启动
https://blog.cloudflare.com/python-workers
The Cloudflare Blog
Bringing Python to Workers using Pyodide and WebAssembly
Introducing Cloudflare Workers in Python, now in open beta! We've revamped our systems to support Python, from the runtime to deployment. Learn about Python Worker's lifecycle, dynamic linking, and memory snapshots in this post
#碎碎念 #笔记 最近懂了一个道理:只有真正掌握行业知识和专业技巧的人,才能充分利用和发挥 AI 所带来的巨大潜力。
以最近很火热的 Suno 为例。虽然 Suno 的玩法很「傻瓜」,但想要制作自己满意的音乐,还是需要给出指定的音乐风格。这也就意味着,如果我没有基础音乐素养,大概率只会知道 “pop”、“classic”、“rap” 这些笼统的名词。那我生成出来的音乐,也就只是自娱自乐而已。
同理,在使用 Midjourney 和今年稍晚发布的 Sora 时,也必然存在类似的问题。
甚至,如果我想用生成式 AI 写一个故事脚本或者策划案,我在 prompt 中使用专业名词和不使用专业名词,输出的效果也会有很大区别。
AI 无疑是未来五年最热门的行业和技术。围绕 AI 也会产生巨大的经济价值,这个经济价值既是对商业体而言,也是对个人而言。
这种时候,更需要勤修内功。
04·02 TUE 3 posts
🔖 How Heptabase’s founder use Heptabase for learning, research, planning, and writing | Heptabase Public Wiki #pinboard #learning #visual #heptabase
即使不用 Heptabase,也能学到很多
https://wiki.heptabase.com/how-Heptabases-founder-use-Heptabase-for-learning?lang=zh-Hant
Heptabase
Founder's Demo | Heptabase Public Wiki
I am the founder of Heptabase and also its first user. Since May 2021, I have been using Heptabase for more than two years and have seen it go through more than 350 iterations. As Heptabase's functionality and user experience continue to improve, I have truly…
动态域名解析(Dynamic DNS) 动态域名解析是一项网络服务,允许用户将一个不变的域名指向一个会变化的 IP 地址。 例如一位用户希望从外地访问位于家中的个人服务器。每当服务器的 IP 地址发生变化,DDNS 服务可以自动更新域名系统记录,确保用户总能通过相同的域名连接到服务器。 在 ADSL 宽带和拨号上网普遍的年代,固定 IP 往往过于昂贵,因此 DDNS 的出现极大的方便了需要远程访问但又不愿意支付昂贵费用的用户。 DDNS 提供商通常提供客户端软件,该软件在用户的设备上运行并监测 IP…
动态域名解析(Dynamic DNS) 动态域名解析是一项网络服务,允许用户将一个不变的域名指向一个会变化的 IP 地址。 例如一位用户希望从外地访问位于家中的个人服务器。每当服务器的 IP 地址发生变化,DDNS 服务可以自动更新域名系统记录,确保用户总能通过相同的域名连接到服务器。 在 ADSL 宽带和拨号上网普遍的年代,固定 IP 往往过于昂贵,因此 DDNS 的出现极大的方便了需要远程访问但又不愿意支付昂贵费用的用户。 DDNS 提供商通常提供客户端软件,该软件在用户的设备上运行并监测 IP…
动态域名解析(Dynamic DNS)
动态域名解析是一项网络服务,允许用户将一个不变的域名指向一个会变化的 IP 地址。 例如一位用户希望从外地访问位于家中的个人服务器。每当服务器的 IP 地址发生变化,DDNS 服务可以自动更新域名系统记录,确保用户总能通过相同的域名连接到服务器。
在 ADSL 宽带和拨号上网普遍的年代,固定 IP 往往过于昂贵,因此 DDNS 的出现极大的方便了需要远程访问但又不愿意支付昂贵费用的用户。
DDNS 提供商通常提供客户端软件,该软件在用户的设备上运行并监测 IP 地址的变化,然后自动通知 DDNS 服务更新相关的 DNS 记录。
然而,DDNS 单独无法解决 NAT(网络地址转换)穿透问题。 如果一个网络设备部署在多层 NAT 后面,例如一个家庭网络设备,仅仅依靠 DDNS 服务,外部网络用户可能无法直接访问这个设备。为了解决这个问题,通常需要额外的 NAT 穿透技术,例如 UPnP(通用即插即用协议)、STUN(会话穿越工具协议)或 VPN(虚拟私人网络)。
DDNS 服务遇到的问题可能包括域名更新的延迟、配置错误或安全隐患。安全问题特别值得注意,因为 DDNS 可能会让网络暴露给未授权的访问尝试。使用复杂密码、确保固件更新以及使用防火墙等措施可以帮助提升安全性。
🔗 Dynamic DNS - Wikipedia | #DDNS #NAT穿透 #网络技术 #可能会错 #笔记
04·01 MON 3 posts
我们很高兴地宣布,限量版《赛博朋克2077》软盘版问世! 如果你怀念当年安装游戏需要换碟的仪式感,那这款实体版游戏一定能让你满意。 https://www.cyberpunk.net/zh-cn/april-fools 使用 97,619 张 3.5 英寸软盘,体验安装游戏的经典仪式。千万别孤军奋战,叫上你的朋友,制定一份轮班表。因为根据我们的粗略估计,大约需要 2 个月不间断地更换软盘才能完成安装。 哦对了,现在下单,大卡车送货免费上门! source
我们很高兴地宣布,限量版《赛博朋克2077》软盘版问世! 如果你怀念当年安装游戏需要换碟的仪式感,那这款实体版游戏一定能让你满意。 https://www.cyberpunk.net/zh-cn/april-fools 使用 97,619 张 3.5 英寸软盘,体验安装游戏的经典仪式。千万别孤军奋战,叫上你的朋友,制定一份轮班表。因为根据我们的粗略估计,大约需要 2 个月不间断地更换软盘才能完成安装。 哦对了,现在下单,大卡车送货免费上门! source
🔖 Skin in the Game | Armin Ronacher's Thoughts and Writings #pinboard #license #privacy #thought
There is obviously a balance to all of this, but given that there are real consequences to “doing stuff on the internet” there has to be a way to get in contact with the person behind it. So as far as “naming a person” here is concerned it's not so much about a particular name, but as in being able to identify the human being behind it.To anonymize, or not to anonymize, that is the question. 我认为界限在于,我是否愿意并为我在网络上的所作所为承担责任。不过让我烦脑的是,很多时候会有误会,我本没有那个意思的,然后被解读为那个意思,于是就被请走了。这种特殊情况下 anonymize 是有必要的。 当然了,我觉得我的反侦查能力并没有高超到真的 anonymize,只能说是提高别人的开盒成本。 https://lucumr.pocoo.org/2024/3/31/skin-in-the-game/
Armin Ronacher's Thoughts and Writings
Skin in the Game
Some thoughts about the meaning of pseudonyms and anonymous contributions in Open Source.
03·30 SAT 4 posts
调制人生 改变饮料🍸 竟然做起赛博调酒师了 #崩坏星穹铁道
Everything I Know About the XZ Backdoor (Score: 151+ in 13 hours)
Link: https://readhacker.news/s/653eB
Comments: https://readhacker.news/c/653eB
boehs.org
Everything I Know About the XZ Backdoor
Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries
TLDR:
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
- 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
- JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
- 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
- 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
- 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
- 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
- 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
- xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
