GitHub 的 Monaspace 修正了 Terminal 上選不到的問題

去年 GitHub 發表 Monaspace 後,我測了一下就遇到這個問題就丟在旁邊:「Can't see monaspace on terminal」,早上看到修正完票關起來了。

Monaspace 比較特別的是直接提供五種不同的樣式可以選擇:

剛剛測了其中幾個,其中 Xenon 搭個明體類的還蠻適合的 (像是 Noto Serif CJK TC)...

Porkbun 的網域註冊服務

在「Tell HN: I think there are major issues with Google –> Squarespace domains」這篇裡面提到 Google 把網域註冊服務賣給了 Squarespace 後發生的問題,結果下面有很多人都提到 Porkbun 這家註冊商。

看了一下留言,主要的缺點是沒有支援所有的 tld,所以有些 domain 可能沒辦法轉移到 Porkbun,不過大多數常見的都有支援。

在台灣的話... 因為 Gandi 在台灣有公司可以直接開發票報帳,對很多台灣公司來說方便不少。

先記錄起來看看...

Winamp 打算要放出程式碼

在「Winamp has announced that it is "opening up" its source code (winamp.com)」這邊看到的消息,原公告則是在「Winamp has announced that it is opening up its source code to enable collaborative development of its legendary player for Windows.」這邊。

這篇公告上面的「Dec 16, 1」不知道是什麼... Anyway,預定今年九月的時候公開程式碼,在 id=40383890 這邊有提到可能的原因:

Winamp's owners have been going through financial difficulties since last year and as a result have laid off the skeleton crew they previously had maintaining Winamp (their main focus seems to be a streaming service also called Winamp for HTML5 and phones). This looks like they're willing to let the community take over maintenance for PC Winamp, which beats letting it die IMO.

銀河的歷史又翻過了一頁?

Slack 要拿使用者資料訓練 AI

在「Slack AI Training with Customer Data (slack.com)」這邊看到的,原公告在「Privacy Principles: Search, Learning and Artificial Intelligence」這邊。

預設會被丟進去訓練,Opt-out 無法直接設定,需要透過 e-mail 寫信找 feedback@slack.com (yeah,dark pattern):

Contact us to opt out. If you want to exclude your Customer Data from Slack global models, you can opt out. To opt out, please have your Org or Workspace Owners or Primary Owner contact our Customer Experience team at feedback@slack.com with your Workspace/Org URL and the subject line “Slack Global model opt-out request.” We will process your request and respond once the opt out has been completed.

拿企業資料來搞事嗎... 這應該已經不只是 privacy 議題而是 security 層面了,PR 層面鐵定很難看,來看後面會不會轉彎?

冼鏡光教授的「並行計算講堂」

在「Backend 台灣 (Backend Tw)」上看到冼鏡光教授的消息:(3257396121060908)

各位好

密西根理工大學資工系的冼鏡光教授,近期退休後將他的在學校授課時的並行計算(Concurrent Computing)課程、教材逐漸數位化,免費公開、分享給大家使用。

英文版的教材先前已全部製作完畢,近期教授正在努力製作中文版的部分,想讓台灣有興趣的工程師及學生比較不會受到語言的限制。

中文版的教材連結(目前更新至第二集):https://pages.mtu.edu/~shene/VIDEOS/CONCURRENT/index-TW.html

網頁在「【冼鏡光並行計算講堂】」;影片的部分是放到 YouTube 上面,可以參考 @ckshene7212/videos 這邊。

我們這個年代自學的 programmer 或多或少都有看過冼教授的書,不過畢業後看到冼教授的中文消息主要都是在攝影相關的領域,蠻開心可以看到教授退休後回來 CS 貢獻。

另外看了一下 html 頁面的寫法 (職業病?),沒有看到 doctype,大概是 html3 或是 html4 的用法,蠻有可能是教授自己用軟體弄的。

YouTube 頻道先訂閱起來,找時間翻一下影片...

VMware Fusion Pro 開放個人免費使用?

Hacker News 上看到「VMware Fusion Pro: Now available free for personal use (vmware.com)」這篇,VMware 公告開放 Fusion Pro 個人免費使用:「VMware Fusion Pro: Now Available Free for Personal Use」。

不過 VMware 前陣子搞了一波 (先前有寫「Broadcom 在併購 VMware 後裁員」與「Proxmox 的 VMware 轉移方案」兩篇),已經有品牌信任度的問題了,逃的掉 + 想逃的人應該也都把替代方案研究的差不多 + 在執行了;而新的商業用戶應該也會考慮到品牌信任度的問題。

開放個人用戶免費使用比較像是重頭開始經營的感覺... 有點想到當初微軟在學校裡面用很低的價錢提供正版軟體 (Windows + Office),培養學生使用習慣,等他們出社會後,市場上就有很多人可以用,反過來影響到雇主端的選擇。

OpenBSD 提供了關閉 Nagle's algorithm 的 sysctl 選項

看到「Demise of Nagle's algorithm (RFC 896 - Congestion Control) predicted via sysctl」這篇,OpenBSD 提供 sysctl 的選項直接關閉 Nagle's algorithm

The below changeset introduces sysctl net.inet.tcp.nodelay, which if set to 1 will simply cause TCP_NODELAY to be set on all TCP sockets.

不過裡面提到了 John Nagle 在 2015 年的時候有在 Hacker News 上面回覆 (id=10608356),大概介紹了一下背景,以及提出了他的看法:

That still irks me. The real problem is not tinygram prevention. It's ACK delays, and that stupid fixed timer. They both went into TCP around the same time, but independently. I did tinygram prevention (the Nagle algorithm) and Berkeley did delayed ACKs, both in the early 1980s. The combination of the two is awful. Unfortunately by the time I found about delayed ACKs, I had changed jobs, was out of networking, and doing a product for Autodesk on non-networked PCs.

然後翻了一下 John Nagle 的 Hacker News 帳號,看起來還蠻活躍的?常常 comment 一些東西...

Nvidia 在 Linux 上安裝核心驅動程式時將建議使用開源版本

在「NVIDIA to install open Linux kernel modules by default」這邊看到的新聞,引用的連結是官方的討論區「Unix graphics feature deprecation schedule」這篇。

從 560 開始會議建議使用開源版本:

Starting in the release 560 series, it will be recommended to use the open flavor of NVIDIA Linux Kernel Modules 204 wherever possible (Turing or later GPUs, or Ada or later when using GPU virtualization).

點進去看「Open Linux Kernel Modules」這頁可以看到開源版本有一些專屬功能 (在「The following features will only work with the open kernel modules flavor of the driver」這段),蛋也有一些功能是開源版本沒有的 (在「The following features are not yet supported by the open kernel modules」這段)。

另外 Known Issues 這邊有提到些效能與功耗上的差異。

看起來是 porting 的差不多了?我覺得可以再等一兩個版本 XD

Amazon S3 改變 403 的收費方式

這算是一連串的故事,首先是四月底的時候「How an empty S3 bucket can make your AWS bill explode」這篇,提到了他一個晚上收到了 US$1,300 的帳單,因為有人 (沒有權限的人) 對他的 S3 bucket 狂打了 100M requests (一億筆),雖然都是 403 的 access denied,但還是得付 request 與頻寬的費用。

對於想要搞的人來說,us-east-1 的 Amazon S3 費用是 $0.005/1K requests (PUT, COPY, POST, LIST requests),換算大一點的單位是 $5/1M requests,拿個 ab 之類的工具超級簡單就可以打出破千 reqs/sec,如果是 k6 之類的工具,其實一台電腦就蠻容易打爆?

作者聯絡 AWS 客服後,客服回答你需要付這筆費用 (「這不是 bug,是 feature」):

Yes, S3 charges for unauthorized requests (4xx) as well[1]. That’s expected behavior.

然後這件事情就在社群傳開了,傳到 Jeff Barr 後直接公開提到他認為客戶不應該付 unauthorized request 的 cost (應該是先跟內部其他高層討論過了),等於是宣佈了會改掉:

不過這件事情之前應該就有人提過了,結果 Colin Percival 直接戳,他在 2006 年 Amazon S3 剛出來的時候就提過了:

Anyway,兩個禮拜過去後,剛剛看到宣佈收費方式修改:「Amazon S3 will no longer charge for several HTTP error codes」。

針對從不屬於自己帳號所產生的 403 不收費 (包括 request 與頻寬費用):

With this change, bucket owners will never incur request or bandwidth charges for requests that return an HTTP 403 (Access Denied) error response if initiated from outside their individual AWS account or AWS Organization.

然後多了一頁「Billing for Amazon S3 error responses」專門說明這件事情,這邊列的比較完整,除了 403 以外也包含了其他的 HTTP response code 是不收費的:

The current page shows a full list of HTTP 3XX and 4XX status codes that won't be billed.

補了一個 18 年的洞...

XZ 的後門事件,以及 OpenJS Foundations 也遇到類似的問題

XZ 的後門事件從暴發出來也已經一個多月了,大多數的證據也都分析的差不多了,是差不多可以回顧一下... 然後發現維基百科上面也已經有條目了:「XZ Utils backdoor」,中文版也有:「XZ实用程序后门」。

這次是 open source community 遇到社交工程 (social engineering) 的攻擊,攻擊者順利透過社交手法取得 maintainer & developer 的身份,接下來是慢慢埋 backdoor 的過程。

目前看起來後門是判斷特定的 SSH key 就放行,所以屬於 RCE 類的漏洞,CVSS 給了 10.0 的最高威脅分數。

另外隔壁棚 OpenJS Foundations 也遇到類似的問題:「Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects」,在「Failed Credible Takeover Attempt」這段有提到因為 OpenJS Foundations 是因為 security working group 擋下這次的 social engineering。

這是 xz 因為是 backdoor,所以在 performance profiling 時異常而被抓出來,如果是 exploitable 的話就難抓了... 這次的 social engineering 之後有看到一些不同的討論,有些是技術上把 security auditing 拆出來一起做,另外一種是要確保參與的 maintainer & developer 的真實身份。

已經可以看到影響了...