tombkeeper 粉丝站

2024-03-30 13:30

今天以及未来一段时间网络安全的焦点话题应该都是开源软件 xz 被植入后门事件。

整个事情还是比较复杂的，我尽量说简单一点：一个自称 Jia Tan 的开发者，向开源软件 xz 加入了一个后门。该后门可以让攻击者无需有效账号也可以从 SSHD 访问系统。目前已知最新的 v5.6.0 和 v5.6.1 两个版本中都存在该后门。

由于发现的还算及时，目前只有类似 Debian sid、Fedora Rawhide、openSUSE Tumbleweed 这样比较追新的发行版分支受到了该后门的影响。然而，如果该后门没有被及时发现，当存在后门的 xz 被广泛引入各 Linux 发行版后，掌握后门的人就可以轻易入侵这些 Linux 系统。

对一般用户来说，面对来自供应链的后门威胁，唯一防御方式就是除非有严重漏洞，否则别随便升级。我在 2019 年就说过了：微博正文

从技术角度看，这个后门加的不算很漂亮。这也是为什么很快被发现。其实如果构造一个巧妙的漏洞来达成同样目的，是没那么容易被发现的。即便被发现，也不容易被认为是故意引入的后门。

理论上，这可能是 Jia Tan 本人干的，当然也可能是他的账号被盗用了。但不管怎么样，一个看起来像中国人的名字卷入了开源软件后门事件，可能会给中国人参与开源工作带来麻烦。

这件事也可能成为美国对付中国的工具。去年美国参议院情报委员会主席马克·沃纳就曾表示担心美国的出口管制法无法应对开源软件的挑战。那么，利用这件事打击中国在开源社区的影响力似乎就是顺理成章会发生的事。

详情

t0mbkeeper

2024-03-30 12:07

石景山应该比西北旺还是强：微博正文微博正文微博正文，不过后来新浪楼下开了家肯德基，把西北旺的美食指数提高了一倍。西北旺园区管委会似乎只喜欢写字楼，不太欢迎饭馆。

祝佳音

2024-03-30 11:55被tk转发1次

不过，说起美食荒漠，大概两三年前，鄙司从苦难的石景山搬到虚荣的CBD办公，当时就被琳琅满目的外卖晃瞎了。在石景山，可供外卖的餐厅只有好嫂子和南城香（此处为夸张表达），在国贸，外卖软件有1000页！我们都陷入了巨大的幸福和选择恐惧中，所以我们建了一个“国贸地区廉价外卖点评表”帮助同事筛选。

廉价外卖当然不能反映北京美食全貌，但从外卖的类别和风格上其实也能看出点什么！当然啦，这个主要是我们欠着玩的，但其实也很有帮助！我节选了表格中的点评部分（实际上这个表格很翔实！）。不过我们坚持了半个月就不填写了。

图片描述 by gemini-3-flash-preview

详情

t0mbkeeper

2024-03-30 11:39

前阵子出去吃饭，饭桌上一个认识了二十多年的朋友很神秘地跟大家说，上一家公司为了挽留我，开出了“史无前例的天价”。

我放下已经卷好的烤鸭，斩钉截铁地说：没有这回事。那位朋友一愣，说：不是天价？我说：没有天价，地价也没有，根本就没有开价。那位朋友很吃惊，显然他认为自己获得的信息非常可靠，也许有夸张，但不至于完全子虚乌有。

我可以想象编这个假话的人为什么编这个假话。也可以想象为什么大家听到这个假话就会信以为真，以至于很熟悉的朋友也觉得没有向我求证的必要。但这不是真的。我在四年前就说过：这事儿想知道答案的话得问我。问我才能得到真实答案。微博正文

详情

t0mbkeeper

2024-03-30 11:00被tk转发1次

不是所有问题都能完美解决。有时候只能在几个都很糟糕的选项里选一个。

如果只是像上面这样抽象地把这个道理讲出来，那么大部分人都能觉得自己能接受这一点。然而当遇到具体的事情时，很多人会对其中一个选项的糟糕倾注仇恨，但绝不去具体思考另一个选项是不是也很糟糕。他们对另一个选项的糟糕不是否认，而是回避。他们小心地捏住自己的思维，在现实的边缘一掠而过。只要不触碰，就不存在。

详情

t0mbkeeper

2024-03-29 21:53

这段话很奇特。不知道是谁写的。也不知道是写给谁的。墙上的影子是我。

图片描述 by gemini-3-flash-preview

详情