Junde Yhi @lmy441900@sn.angry.im

不要尝试在 CephFS 上放你的 home 文件夹，小文件会卡死整个系统

#Mastodon 3.1 is out! 🎉

https://github.com/tootsuite/mastodon/releases/tag/v3.1.0

Among other things, bookmarks, admin announcements with emoji reactions, improvements to mod tools and loads of other fixes!

What a year 83 must have been. Finally you could disappoint the entire family during the summer vacation!

Also, is it the year of the mouse?

@beebeing

跟着我妈看主持人大赛。
我说，现在的媒体人，是不是搞错了什么事。。。为啥都在强调讲好中国故事。讲故事不是我们这些写小说的人干的事吗。抠字眼的说，中国发生的故事多了去了，不好的故事，就不是真实发生在人身上的故事了吗。
人人都夸董卿说话非常的好听，文化素养也相当的高。我也很喜欢她。但是我不觉得说话好听是媒体的第一要务。
作为新闻媒体，你们最该追求的，应该是真实客观的报道吧。诚然一件事或许可以从很多个方面来看，所以作为引导群众的喉舌传媒，更应该做到公正，不失偏颇，尽量从全面的角度去报道。讲故事是什么玩意。
事实真相这四个字，有这么难以启齿吗。或许真话永远不好听，但是它起码不会害人。

“智能电视”是我最不能理解的一种设备形态。不像电脑一体机，至少能拆开换个硬盘，加点内存，再不济也能当个显示器用。可是国内的“智障电视”，就算你只想把它当个电视，接上视频输入，也得忍受十几秒的开机广告。

况且国产智障电视的系统都魔该严重，升级就别想了，禁止安装第三方软件，还把原生 Android 的设置都给阉割没了。

花了两天时间折腾了家里几年前买的智障电视，顺便水了一篇博客。

https://rocka.me/article/cursed-tcl-android-tv

分享心灵鸡汤：『17 岁，这些道理该懂了！』 #业余无线电

https://pawoo.net/media/4Bwis7NCm8qMvKdBVmU

@PeterCxy It's basically the main idea of VLIW architecture. Unlike a traditional superscalar CPU, in VLIW, the order of execution is controlled by the instructions, not the CPU, which meant the responsibility of optimizing a program for instruction-level parallelism is transferred back to the programmer or the compiler. Intel Itanium was originally started based on a similar idea.

Unfortunately, VLIW design and VLIW compilers are still open questions.

https://en.wikipedia.org/wiki/Very_long_instruction_word

https://en.wikipedia.org/wiki/Explicitly_parallel_instruction_computing

经历了之前的 GPG “假”漏洞，本月 8 日又来了个 GPG 真漏洞！当使用 GPG 签名文档时，签名者可以给文档附加一个可选的“原文文件名”，你可能见过。然而，偏偏遗漏了这里没有正确清除文件名中的控制字符，攻击者可以向终端和 GPG 内部管道注入任意控制序列，让假文件看起来是真文件。立即更新到 2.2.8. https://lists.gnupg.org/pipermail/gnupg-users/2018-June/060636.html

更正——不受 CPU 漏洞影响的第一个 Linux 内核版本是 4.6，不是 4.5。

【Intel CPU 再爆 Spectre 漏洞新变体】今天，Intel 公布了 [0] 又一个 Spectre 漏洞的新变体——Lazy FP 状态还原漏洞。如果操作系统在上下文切换时使用了 CPU 的 Lazy FP 功能进行系统状态的保存与还原，攻击者可以利用 CPU 的预测执行功能获取其他进程在寄存器中保存的数据。操作系统应使用 Eager FP 取代 Lazy FP。

由于 Linux 内核有开发者发现 Lazy FP 的操作非常慢，因此在 2016 年 1 月就已经在所有 CPU 上默认 [1] 启动 Eager FP，无意中修复了该漏洞。如果你的内核使用的是 4.5 及其之后的版本，无需采取任何措施。否则需要等待上游 backport 此补丁，或者在引导内核参数中加入 eagerfpu=on，手工开启并重启即可。

[0] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00145.html

[1] https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=58122bf1d856a4ea9581d62a07c557d997d46a19

HN 评论：https://news.ycombinator.com/item?id=17307131

: Google Project Zero 和奥地利格拉茨技术大学等机构的研究人员正式披露了三个处理器高危漏洞，分别编号为 CVE-2017-5753（Variant 1）、CVE-2017-5715（Variant 2）和 CVE-2017-5754（Variant 3），前两个漏洞被称为 Spectre，后一个漏洞被称为 Meltdown，Spectre Variant 1 影响 AMD，英特尔和 ARM 处理器，而所有三个漏洞都影响英特尔处理器，研究人员已经开发出了概念验证的漏洞利用。AMD 和 ARM 已经发表声明称漏洞可以通过软件修正，对性能影响不大。而英特尔处理器的软件修正则被认为存在显著的性能影响。 http://www.solidot.org/story?sid=55097

People not realizing I'm referencing a new vulnerability called Spectre: https://spectreattack.com/

Linux 内核开发者最近超级忙，问他们干什么，他们都会告诉你在「Intel CPU 电路设计爆炸！硬件设计问题造成了 ASLR 可以被绕过，内核失去了 ASLR 这一对未知漏洞的第一线防御能力」，因此要开发一个名叫 KAISER（取谐音）的补丁。但 Linux 内核的 ASLR 从来都不强，各种 bypass 漏洞都多少年了（也包括去年的一个硬件漏洞），也没见谁要修的，这次 Linux 主线却一反常态，没有口水战，加班加点工作，甚至在讨论结束__之前__就有提交补丁为 KAISER 让路的。而前一阵子还在纠结一个 5% 的性能开销的 Linus，现在就彻底不管性呢个了！结合最近 Windows 和 macOS 也在加班修复，KAISER 最终改名 KPTI，以及 Azure, AWS 的一波维护，和最近的一些传言……

可以确定，问题远比 ASLR bypass 严重「修复 ASLR」只是个幌子，绝对不能解释这一切反常现象。可以怀疑：1. 硬件漏洞允许类似 rowhammering「程序代码对内存进行物理攻击」，越权内存读写；2. 这个漏洞直接影响云计算基础设施和厂商；3. 漏洞允许虚拟机逃逸、提权攻击。