程序员如果反应不过来的话，属实英语有点差了

我们上小学时，对于 API 、PDF 、HTML 这种常见的缩写早已烂熟于心，甚至同学之间喜欢拿来互相考（小孩子嘛，觉得这种缩写逼格高）

----

印象里那会儿有个英语学习软件收录的一篇文章里就有 #9 这种有趣的 meme 缩写，印象比较深的比如：

IBM: I Blame Microsoft
OS/2: Obsolete soon too

当时为了理解这些缩写，甚至专门去图书馆借书了解了一下计算机软件发展史（没错，那会儿我们小县城基本没有接入互联网，查东西基本得靠书）

大厂是这样的

之前在大厂做内部系统的时候，就连“修正界面上错别字”这种不涉及任何逻辑变更的改动，都需要分别找十几个业务方同步，等他们都确认无影响后才能上线，共耗时 5 个工作日。可想而知，那些涉及到逻辑变更的改动，要多久才能上线

至于为什么要这么做，那就不得不提当年的生产事故。有个业务方在获取数据的时候不去调 rpc 接口，而是直接爬 web 页面。有次我们修改了文案而没有通知下游，导致他们的爬虫获取到的数据错乱，影响生产环境，直接损失数百万元。最后我们全组背锅，绩效 C （意味着年终奖少了 10k+，而且一年内没有晋升资格）。那个业务方也没好到哪里去，据说裁了十几人

牢星真的是拉胯啊

记得去年这个时候还泄露过固件签名私钥来着

@cnbatch #118

也不能算是 glibc 的锅。glibc 的文档里明确指出 free() 是 AS-Unsafe 的： https://sourceware.org/glibc/manual/2.39/html_node/Freeing-after-Malloc.html

而且 POSIX 也没有要求 free() 必须是 async-signal-safe 的。有这个要求的函数列举在这里： https://pubs.opengroup.org/onlinepubs/9699919799/functions/V2_chap02.html

如果一定说是谁的过失，那只能是“将 OpenSSH 移植到 Linux”或者“认为 OpenSSH 在 Linux 上可用”的人，没有充分意识到（或者从测试用例中感知到）不同 libc 实现的差异，从而导致了兼容性缺陷

----

就好比某用户从二道贩子手里买了个进口家电，只支持 110V 交流电，但是二道贩子自己给改装了个国标插头，用户直接插到 220V 市电上，引发了安全事故。这时候用户是应该谴责电网（ glibc ），还是原厂家（ OpenSSH ），还是二道贩子（移植者）呢？

当然还是那句话，开源软件是 provided as is, without any warranty 的，用户应当为自己的安全负责。真出了安全事故，不管是 glibc 还是 OpenSSH 还是任何一个 Linux 发行版的负责人都没有义务补偿他。

That's the price you have to pay for freedom.

@drymonfidelia #6

啊，这个文件是每次启动时生成的，如果你跑完 freebsd-update install 后没有重启，这个文件并不会更新

那你可以跑一下 freebsd-version -u 看下版本号（其实 /etc/os-release 中看到的 VERSION 就是用这个命令获取的，见 /etc/rc.d/os-release ）

@drymonfidelia #4

理论上是没问题的

再看下 /etc/os-release 里的 VERSION 是不是 14.0-RELEASE-p8

14.0-RELEASE-p8 已经修复，但只是打了 patch ，并没有全量更新到 openssh 9.8p1： https://github.com/freebsd/freebsd-src/commit/70eb00f17b310f599b60939c1afa326c7b2c390c

你看一下 /usr/src/crypto/openssh/version.h ，只要 SSH_VERSION_FREEBSD 的值为 "FreeBSD-20240701" 就没问题（保险起见，再看一下 /usr/sbin/sshd 的 mtime ），重启一下服务就好

开源赏金猎人没那么好当的，尤其是那些高额赏金的项目，想要达成一般需要理论上的重大突破，不是随便打个杂、卖个苦力就能拿下的

比如最近看到的一个： https://github.com/tromp/cuckoo?tab=readme-ov-file#linear-time-memory-trade-off-bounty ，感受一下难度

如果能够靠做悬赏赚够饭钱，那估计你也是业界大佬了，不缺赏金这点钱

你这题让我想起来以前面过的一家公司（甚至有可能是同一家）

题目类型也是先考察一下语法，然后几道算法题，几道 高数/线代/数理统计 题，几道 操作系统/计网/图形学 题，最后考察基英语读写能力。考察的方面很广，但都是基础题，并不难（尤其是对于应届生）

不过最后是我把这家公司挂了（有三面邀约但我没去），因为面试官的态度令人不爽，让我对团队的技术氛围很担忧

@codehz #23

如果用的是 coreutils 的 ls ，它是走 libc 的 getopt() 来处理参数的。而某些 libc （比如 glibc ）的 getopt() 实现有 shuffle 参数的默认行为

参考： https://www.man7.org/linux/man-pages/man3/getopt.3.html （搜索 POSIXLY_CORRECT ）

本来能偷看你的浏览历史的，只有那些对你的设备有物理接触权限的人，或许还有部分恶意软件。这些都是可以用朴素的技术手段规避的

这下可好，直接把自己的浏览行为毫无保留地拱手送给大厂，“再也不担心别人看不到我的浏览记录了”

小时候有次坐公交车，有个老头在车上抽烟。司机用喇叭喊话让他别抽，老头当没听见，照抽不误。

于是司机直接把车停在路边，钥匙一拔，然后告诉乘客，公交公司有规定，除非那个乘客停止抽烟，不然无法继续行驶

车上的人一开始在劝，后来都在骂那老头。僵持了五分钟后，估计他自己也觉得无趣，就把烟掐了，车这才继续开

现在想来还是挺佩服那司机的。对付缺乏公德的人，态度就该强硬些。可惜像我这种懦弱的庸人，遇到这种事总是恨不得躲得越远越好

可以了解一下 PAKE ，比传统的 KDF 泄露密码的风险更低。

我们公司网站目前用的是 OPAQUE： https://www.ietf.org/archive/id/draft-irtf-cfrg-opaque-02.html

TOTP 只是 2FA 的一种手段，对于国内一般用户来说，便利性往往不如手机短信

我们可能算是国内公司的另类吧，毕竟自诩的是数据安全，目标用户也往往是有技术背景的。在我们网站注册的账号，绑定手机号仅作为满足监管要求的手段，不用于用户认证。密码作为主要凭证，用 WebAuthn 做 2FA 。然后每个账号可以绑定一个 GPG key ，重置密码之类的操作需要用这个 key 签名一个请求。如果 GPG key 丢了，你就算拿着身份证到我们公司前台，也不会给你找回账号。