V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  majula  ›  全部回复第 3 页 / 共 15 页
回复总数  295
1  2  3  4  5  6  7  8  9  10 ... 15  
143 天前
回复了 roundRobin 创建的主题 程序员 论添加一行代码需要付出多少努力
大厂是这样的

之前在大厂做内部系统的时候,就连“修正界面上错别字”这种不涉及任何逻辑变更的改动,都需要分别找十几个业务方同步,等他们都确认无影响后才能上线,共耗时 5 个工作日。可想而知,那些涉及到逻辑变更的改动,要多久才能上线

至于为什么要这么做,那就不得不提当年的生产事故。有个业务方在获取数据的时候不去调 rpc 接口,而是直接爬 web 页面。有次我们修改了文案而没有通知下游,导致他们的爬虫获取到的数据错乱,影响生产环境,直接损失数百万元。最后我们全组背锅,绩效 C (意味着年终奖少了 10k+,而且一年内没有晋升资格)。那个业务方也没好到哪里去,据说裁了十几人
144 天前
回复了 zx900930 创建的主题 信息安全 MSI 公网泄露 600,000+客户返修信息
牢星真的是拉胯啊

记得去年这个时候还泄露过固件签名私钥来着
154 天前
回复了 frencis107 创建的主题 信息安全 OpenSSH 爆高危漏洞 CVE-2024-6387
@cnbatch #118

也不能算是 glibc 的锅。glibc 的文档里明确指出 free() 是 AS-Unsafe 的: https://sourceware.org/glibc/manual/2.39/html_node/Freeing-after-Malloc.html

而且 POSIX 也没有要求 free() 必须是 async-signal-safe 的。有这个要求的函数列举在这里: https://pubs.opengroup.org/onlinepubs/9699919799/functions/V2_chap02.html

如果一定说是谁的过失,那只能是“将 OpenSSH 移植到 Linux”或者“认为 OpenSSH 在 Linux 上可用”的人,没有充分意识到(或者从测试用例中感知到)不同 libc 实现的差异,从而导致了兼容性缺陷

----

就好比某用户从二道贩子手里买了个进口家电,只支持 110V 交流电,但是二道贩子自己给改装了个国标插头,用户直接插到 220V 市电上,引发了安全事故。这时候用户是应该谴责电网( glibc ),还是原厂家( OpenSSH ),还是二道贩子(移植者)呢?

当然还是那句话,开源软件是 provided as is, without any warranty 的,用户应当为自己的安全负责。真出了安全事故,不管是 glibc 还是 OpenSSH 还是任何一个 Linux 发行版的负责人都没有义务补偿他。

That's the price you have to pay for freedom.
@drymonfidelia #6

啊,这个文件是每次启动时生成的,如果你跑完 freebsd-update install 后没有重启,这个文件并不会更新

那你可以跑一下 freebsd-version -u 看下版本号(其实 /etc/os-release 中看到的 VERSION 就是用这个命令获取的,见 /etc/rc.d/os-release )
@drymonfidelia #4

理论上是没问题的

再看下 /etc/os-release 里的 VERSION 是不是 14.0-RELEASE-p8
14.0-RELEASE-p8 已经修复,但只是打了 patch ,并没有全量更新到 openssh 9.8p1: https://github.com/freebsd/freebsd-src/commit/70eb00f17b310f599b60939c1afa326c7b2c390c

你看一下 /usr/src/crypto/openssh/version.h ,只要 SSH_VERSION_FREEBSD 的值为 "FreeBSD-20240701" 就没问题(保险起见,再看一下 /usr/sbin/sshd 的 mtime ),重启一下服务就好
开源赏金猎人没那么好当的,尤其是那些高额赏金的项目,想要达成一般需要理论上的重大突破,不是随便打个杂、卖个苦力就能拿下的

比如最近看到的一个: https://github.com/tromp/cuckoo?tab=readme-ov-file#linear-time-memory-trade-off-bounty ,感受一下难度

如果能够靠做悬赏赚够饭钱,那估计你也是业界大佬了,不缺赏金这点钱
你这题让我想起来以前面过的一家公司(甚至有可能是同一家)

题目类型也是先考察一下语法,然后几道算法题,几道 高数/线代/数理统计 题,几道 操作系统/计网/图形学 题,最后考察基英语读写能力。考察的方面很广,但都是基础题,并不难(尤其是对于应届生)

不过最后是我把这家公司挂了(有三面邀约但我没去),因为面试官的态度令人不爽,让我对团队的技术氛围很担忧
167 天前
回复了 smdbh 创建的主题 Linux 现在 Linux 上有啥危险命令提示的工具吗
@codehz #23

如果用的是 coreutils 的 ls ,它是走 libc 的 getopt() 来处理参数的。而某些 libc (比如 glibc )的 getopt() 实现有 shuffle 参数的默认行为

参考: https://www.man7.org/linux/man-pages/man3/getopt.3.html (搜索 POSIXLY_CORRECT )
本来能偷看你的浏览历史的,只有那些对你的设备有物理接触权限的人,或许还有部分恶意软件。这些都是可以用朴素的技术手段规避的

这下可好,直接把自己的浏览行为毫无保留地拱手送给大厂,“再也不担心别人看不到我的浏览记录了”
175 天前
回复了 kafkaonsea 创建的主题 北京 太憋屈了,越想越憋屈
小时候有次坐公交车,有个老头在车上抽烟。司机用喇叭喊话让他别抽,老头当没听见,照抽不误。

于是司机直接把车停在路边,钥匙一拔,然后告诉乘客,公交公司有规定,除非那个乘客停止抽烟,不然无法继续行驶

车上的人一开始在劝,后来都在骂那老头。僵持了五分钟后,估计他自己也觉得无趣,就把烟掐了,车这才继续开

现在想来还是挺佩服那司机的。对付缺乏公德的人,态度就该强硬些。可惜像我这种懦弱的庸人,遇到这种事总是恨不得躲得越远越好
可以了解一下 PAKE ,比传统的 KDF 泄露密码的风险更低。

我们公司网站目前用的是 OPAQUE: https://www.ietf.org/archive/id/draft-irtf-cfrg-opaque-02.html
TOTP 只是 2FA 的一种手段,对于国内一般用户来说,便利性往往不如手机短信

我们可能算是国内公司的另类吧,毕竟自诩的是数据安全,目标用户也往往是有技术背景的。在我们网站注册的账号,绑定手机号仅作为满足监管要求的手段,不用于用户认证。密码作为主要凭证,用 WebAuthn 做 2FA 。然后每个账号可以绑定一个 GPG key ,重置密码之类的操作需要用这个 key 签名一个请求。如果 GPG key 丢了,你就算拿着身份证到我们公司前台,也不会给你找回账号。
法律上正儿八经裁员是有指标的,不是想裁多少就裁多少

别说东子了,就算是亚马逊微软苹果,在国内裁员也会想尽卑劣手段
196 天前
回复了 BeijingBaby 创建的主题 职场话题 你身边大学专科的程序员多吗?
毕业后刚入职的第一家公司,我所在的组里,起码有 60% 是专科或以下,但其中干了两年以上的老员工里,无一例外都是万里挑一的行业专家(想要挑战这个名号的话,先问问自己有没有给 linux 内核或者 llvm 这种级别的项目贡献过 5000 行以上的代码)

组里唯一一个硕士学历的,还是 211 科班,反而是除了我以外能力最差的。印象中最深刻的一次就是领导让他做一个虚拟内存 idle-zeroing 相关的调研,他搞了一周还没出结果,然后领导让旁边一个本科的暑期实习生做,不到两天时间就搞好了。

最后他入职不到一个月就受不了,灰溜溜地自己离职了。不过也不奇怪,硕士毕业有本事的都去大厂卷了,来我们这种小公司和本科专科抢饭碗的也不会强到哪里去。
1  2  3  4  5  6  7  8  9  10 ... 15  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1113 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 39ms · UTC 19:01 · PVG 03:01 · LAX 11:01 · JFK 14:01
Developed with CodeLauncher
♥ Do have faith in what you're doing.