## Redis 安全漏洞 – 关键远程代码执行风险 Redis 中发现了一个关键安全漏洞 (CVE-2025-49844),可能允许经过身份验证的攻击者通过 Lua 使用后释放问题执行远程代码。该漏洞的 CVSS 评分为 10.0。 **为了保护您的 Redis 实例:** 限制网络访问,强制实施强身份验证(启用保护模式),并限制用户权限 – 尤其是在 Lua 脚本方面。 **修复方案:** Redis Cloud 已自动更新。自管 Redis 软件、社区版 (CE)、开源版 (OSS) 和 Stack 的用户必须升级到以下版本或更高版本: * **软件:** 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138, 6.4.2-131 * **OSS/CE/Stack:** 8.2.2, 8.0.4, 7.4.6, 7.2.11, Stack 7.4.0-v7, 7.2.0-v19 目前,尚无证据表明该漏洞已被利用,但建议监控未经授权的访问、异常网络流量、意外的脚本活动和服务器崩溃。 该漏洞由 Wiz、Trend Micro 和 Zero Day Initiative 的研究人员负责任地报告。
每日HackerNews RSS
Redis 存在一个潜在的远程代码执行漏洞 (CVE-2025-49844),源于使用后释放问题。虽然今天早些时候已经在 Hacker News 上讨论过,但该漏洞需要经过身份验证的用户才能利用,这降低了许多标准 Redis 安装的风险。
解决方法包括升级到安全版本,或者更简单地通过 Redis ACL 禁用 Lua 脚本执行——对于不使用 Lua 引擎的许多用户来说,这是一个可行的选择。然而,一些评论员指出 Lua 脚本是 Redis 的一项强大功能。
值得注意的是,Shodan 数据显示有超过 52,000 个 Redis 实例可公开访问。人们对 Upstash 等服务的使用者是否了解此漏洞表示担忧,但 Upstash 使用专有实现,并未直接受到影响。此漏洞凸显了内存安全编程语言的优势。
像 Vercel,但开源且适用于所有语言。
Devpush – Open-source and self-hostable alternative to Vercel, Render, Netlify
2 天前
## Devpush:Vercel & Netlify 的自托管替代方案
Devpush 是一个开源、可自托管的平台,用于构建和部署 Web 应用程序(Python、Node.js、PHP 等,通过 Docker)。它提供零停机部署、实时日志、团队管理和可定制环境等功能—— 类似于 Vercel、Render 和 Netlify 等服务,但具有自托管控制权。
主要功能包括:从 GitHub 进行基于 Git 的部署,并可即时回滚;支持自定义域名和自动 Let's Encrypt SSL;以及强大的环境管理和加密变量。
**安装:** Devpush 官方支持 Ubuntu/Debian 服务器,可以通过一个简单的脚本安装:`curl -fsSL https://raw.githubusercontent.com/hunvreus/devpush/main/scripts/prod/install.sh | sudo bash`。还提供 Hetzner 预置脚本,方便服务器设置。
**配置:** 需要一个包含电子邮件凭据、GitHub App 详细信息和域名等的 `.env` 文件。需要使用特定权限设置 GitHub App 进行身份验证。项目 GitHub 仓库提供了详细的文档以及开发和生产环境的脚本。
## 函数式光学:图形总结 本文介绍函数式光学——一个经常被实现细节掩盖的强大概念——使用可视化的图形符号来简化理解。类型表示为彩色矩形,值表示为矩形内的水平线。 关键概念是通过**积**(并排的矩形)和**和**(堆叠的矩形)组合类型来构建的。**光学元件**定义为选择另一个矩形(类型)*内部*的一种方式,表示为`Optic A B`。光学元件具有良好的组合性,形成一个数学范畴。 特定的光学元件类型包括:**Isos**(选择整个矩形,实现双向转换)、**Lenses**(垂直切片,允许聚焦更新)和**Prisms**(水平切片,通过`Maybe`处理可选值)。每种光学元件都有相关的函数,如`view`和`set`,用于访问和修改数据。 此外,**Affine Traversals** 结合 Lenses 和 Prisms 来定位单个内部矩形,而 **Traversals** 选择*多个*子矩形。 图形化方法旨在揭示光学元件的神秘面纱,突出它们的组合性和关系,并为探索更高级的概念提供基础。它提供了一种具体的方式来掌握这些强大的数据操作工具的核心思想。
## 蒙德里安与函数式光学:摘要
最近的 Hacker News 讨论围绕一篇博客文章展开,该文章使用皮特·蒙德里安的艺术作为视觉类比,介绍了“函数式光学”。其核心思想借鉴了光学中的透镜和棱镜等概念,来表示在函数式编程中聚焦和操作数据结构一部分的方式。
虽然“光学”术语可能显得抽象,但它提供了一种强大的方法来访问和修改深度嵌套的不可变数据,而无需冗长、重复的代码。例如,更新对象多个层级中的特定字段会变得更简洁、更易于管理。
对话强调这并非关于*物理*光学,而是一种数学和范畴论的类比。用户分享了对蒙德里安艺术动机的见解——对现实主义的拒绝和对普遍真理的追求——并讨论了函数式光学的实际价值。有些人认为它对于复杂的数据操作(特别是使用不可变数据)非常有价值,而另一些人则质疑如果简单的记录更新就足够了,它的必要性。最终,实用性取决于编程任务的复杂程度以及程序员对函数式原理的熟悉程度。
## 2025年诺贝尔物理学奖:量子效应于人类尺度
约翰·克拉克、米歇尔·德沃雷和约翰·马蒂尼斯因证明量子力学——传统上在亚原子层面观察到——可以在宏观系统中观察到而荣获2025年诺贝尔物理学奖。他们于1980年代进行的实验利用超导电路展示了两种关键的量子现象:**量子隧穿**和**能量量子化**。
他们构建了一个电路,电流在绝缘屏障中无电阻流动。令人惊讶的是,整个系统表现得像一个单一的量子粒子, “隧穿”穿过屏障——尽管经典物理学认为它缺乏足够的能量,却出现在另一侧。 此外,他们证明该系统仅以特定的离散量吸收或释放能量,从而证实了能量量子化。
这一突破扩展了我们对量子力学的理解,超越了单个粒子,展示了这些效应在一个包含数十亿库珀对的系统中。 他们的工作对开发新的量子技术(包括量子计算机)具有影响,并为量子物理学的奇特世界与我们的日常经验之间提供了一个切实的联系。 它本质上创造了一个可扩展的“人工原子”以供进一步实验。
## 2025年诺贝尔物理学奖摘要
2025年诺贝尔物理学奖授予了在宏观系统中展示量子效应的成果——具体而言,是在相对较大的电路中观察到量子隧穿现象。这项成就扩展了可以直接观察到量子力学的范围,而量子力学传统上是在原子层面观察到的。
这项工作建立在数十年的研究基础上,其根源在于研究人员在加州大学伯克利分校、NIST和巴黎-萨克雷大学等机构的任职经历。虽然没有揭示全新的“物理学”,但该奖项认可了一项重要的实验壮举,并验证了在先前未经测试的领域中的理论预测。
评论员的讨论强调了所涉及的工程挑战、对量子计算的潜在影响,以及关于量子世界和经典世界之间界限的持续争论。一些人还注意到两位获奖者在谷歌共事期间的过去专业关系,暗示了在研究方向上可能存在内部冲突。该奖项强调了理论进步*和*创新实验设计在推动物理学边界方面的重要性。
## 消费 Microformats 2 数据:摘要 Microformats 2 (MF2) 正在个人网站上用于标记数据,从而实现更丰富的网络应用程序。要利用这些数据,您需要一个解析器——适用于 Python、JavaScript 和 Ruby 等语言——将 MF2 标记转换为标准化的 JSON 格式。如果您的语言没有解析器,可以选择使用命令行工具或在线解析器,甚至编写自己的解析器。 解析时,请记住处理重定向以查找“有效 URL”并正确解析相对 URL。将原始 HTML 与派生数据一起存储,以便将来利用解析器改进进行更新。 MF2 结构涉及嵌套的“mf 结构”,通过它们的 `type`(例如,h-card、h-entry)来识别。 属性中的数据可以是纯文本、嵌入式 HTML、图像,甚至是嵌套结构。 始终考虑这些变化,并使用函数可靠地提取纯文本或 HTML 值。 除了解析之外,请了解用于诸如作者归属之类的任务的常见“算法”,并注意词汇的细微差别。至关重要的是,**清理和验证**所有传入数据以防止安全漏洞。 最后,由于 MF2 的灵活性,使用实际示例进行彻底测试至关重要。 Indieweb 社区提供资源和支持,用于构建 MF2 感知应用程序。
## 微格式:来自网页过去的浪潮
一篇Hacker News讨论重提了微格式,这是21世纪初尝试向网页添加数据丰富语义的一次尝试。最初受到Dan Cederholm等设计师的欢迎,其想法是使用语义化HTML来构建数据,作为W3C基于XML的更复杂方法的替代方案。
虽然语义化HTML的原则仍然相关,但微格式从未获得广泛应用。当前的讨论强调,诸如RDFa、JSON-LD和Schema.org(搜索引擎用于生成丰富结果)等技术变得更加突出。
对话还涉及了LLM的作用,一些人认为RDF可能对合成数据生成有用。然而,另一些人认为LLM更适合在数据转换为文本*之后*进行处理,而不是直接使用RDF进行推理。最终,该讨论反映了对语义网的乐观时期以及在快速发展的环境中实现持久影响的挑战。
请启用Cookie。 错误 1005 Ray ID:98ac8e8edba98983 • 2025-10-07 10:01:23 UTC 拒绝访问 发生了什么? 该网站(gizmodo.com)的所有者禁止您的IP地址所在的自治系统编号(ASN 45102)访问此网站。 请参阅 https://developers.cloudflare.com/support/troubleshooting/http-status-codes/cloudflare-1xxx-errors/error-1005/ 了解更多详情。 此页面是否有帮助? 是 否 感谢您的反馈! Cloudflare Ray ID:98ac8e8edba98983 • 您的IP: 点击显示 47.245.80.60 • 由Cloudflare提供性能和安全保障。
403 禁止访问
此列表详细介绍了一系列多样化的命令行工具和软件,涵盖系统实用程序、开发框架和数据管理解决方案。许多条目是经典 Unix 工具的现代替代品或增强版本——例如,`exa` & `eza` 用于 `ls`,`fd` 用于 `find`,`ripgrep` 用于传统的 grep。 该系列工具重点关注开发者工具,包括 `Ansible`、`Bloop`、`Cake`、`Deno`、`Elixir`、`GraalVM`、`Poetry`、`pytest` 以及 `Clang`、`OCaml` 和 `Zig` 等编译器。软件包管理也得到了很好的体现,工具包括 `Nix`、`Homebrew`、`npm`、`zypper` 和 `Pacstall`。 除了核心实用程序外,该列表还包括用于数据处理(`DataLad`、`Meltano`)、安全(`gocryptfs`、`KBSecret`)等领域的专用工具,甚至包括一些利基应用,例如 Minecraft 服务器包装器 (`Hajime`) 和终端 YouTube 客户端 (`yewtube`)。版本和日期表明这些项目都在积极开发中,时间范围从 2017 年到 2025 年。
## NO_COLOR:关于 ANSI 颜色控制的讨论
一 Hacker News 讨论围绕 `NO_COLOR` 环境变量展开,该变量被提议作为一种标准化的方式来禁用终端应用程序中的 ANSI 颜色输出 (no-color.org)。虽然许多程序已经检查输出是否导向终端 (`isatty`) 以避免对重定向输出进行着色,但用户们争论这种启发式的有效性。
一些人认为应该使用更灵活的 `COLORS` 选项(开启/关闭/兼容),而不是简单的二元选择。另一些人指出,`NO_COLOR` 解决了不同的需求——即使在输出到终端时也禁用颜色,这对于可访问性(视力障碍/显示器)或特定偏好很有用。
对话还涉及工具之间缺乏统一的颜色处理、在 `NO_COLOR` 之外使用 `--color` 选项的可能性,以及仅仅依赖终端类型 (`$TERM`) 进行颜色检测的局限性。最终,讨论强调了不同的用户需求以及对终端输出格式化更好控制的愿望。
德勤将部分退还澳大利亚政府 44 万美元,原因是其一份有缺陷的报告审查了福利系统的合规框架。这份报告由就业和劳工关系部 (DEWR) 委托,指出了该系统对“惩罚性假设”的依赖问题,并且缺乏规则与立法之间的明确联系。
报告发表后,发现了错误,包括捏造的参考文献和引用——被描述为人工智能的“幻觉”。德勤随后承认在报告撰写过程中使用了生成式人工智能(Azure OpenAI GPT-4o),但坚持认为核心发现和建议仍然有效。更新后的报告包括对参考文献的更正,并在附录中承认了人工智能的使用。
这起事件引发了批评,一位参议员指责德勤存在“人类智能问题”,并质疑昂贵的咨询工作与现成的 AI 工具的价值。虽然报告的结论与现有证据一致,但这些错误引发了对质量控制以及在政府咨询中负责任地使用人工智能的担忧。
为了庆祝泰勒·斯威夫特的新专辑《Showgirl的生活》,Grafana Labs团队使用他们的人工智能工具Grafana Assistant创建了一个详细且互动的仪表盘。该仪表盘可视化了泰勒的整个职业生涯,从专辑分析到巡演统计,展示了Assistant对经验丰富和新手用户的影响力。 该仪表盘包含四个标签:职业生涯概述,包含里程碑和发行倒计时;音乐分析,使用Spotify数据比较歌曲的舞动性和能量等特征;Eras巡演部分,展示巡演站点和惊喜歌曲;以及专门用于《Showgirl的生活》的页面,包含曲目详情。 值得注意的是,该团队利用Grafana Assistant的自然语言处理功能快速构建和完善仪表盘,展示了其易用性。他们甚至包含了一个有趣的“彩蛋”——一个隐藏的动画,通过在Assistant聊天中输入特定的歌曲名称来触发。该项目突出了Grafana Cloud及其人工智能工具如何用于可视化超越传统监控的数据,提供了一种有趣且引人入胜的方式来探索泰勒·斯威夫特的世界。
围绕泰勒·斯威夫特数据的 Grafana Labs 仪表盘在 Hacker News 上引发了争论。该仪表盘的介绍将“彩蛋”定义为泰勒·斯威夫特有意放置在作品中的隐藏线索——这一定义引起了一些用户的质疑,他们认为斯威夫特并非创造了这个术语。
讨论的核心在于,在特定的“斯威夫特宇宙”语境中定义该术语是否具有误导性,因为它似乎暗示了“彩蛋”概念的全新起源。另一些人则认为,该定义澄清了它在斯威夫特粉丝群体中的*特定*含义,类似于术语在软件等技术领域具有细微差别的定义。
尽管存在语义上的争论,许多人赞扬 Grafana Labs 展示了其产品灵活性的创造性和吸引力,并指出这比典型的广告更具趣味性。还有人开玩笑地建议添加有关泰勒·斯威夫特私人飞机排放的数据。