Log for Ubuntu 台灣社群
Xubuntu.org 揭露網站遭入侵細節
在郵件清單上,Xubuntu 專案揭露網站遭入侵的相關細節。Xubuntu 官網在上個月中旬被入侵並被植入名為 Xubuntu-Safe-Download.zip 的惡意檔案,開發者表示攻擊者是利用 WordPress 的一個存在弱點的組件,採取暴力破解方式取得網站存取權限。這次事件只牽涉下載站以及其提供的 Torrent 連結,其餘部分均未受影響,Xubuntu 的建置系統、軟體套件或其他組件皆未受影響。若使用者下載了 Xubuntu-Safe-Download.zip,建議立刻刪除,並使用安全軟體掃描系統。
在郵件清單上,Xubuntu 專案揭露網站遭入侵的相關細節。Xubuntu 官網在上個月中旬被入侵並被植入名為 Xubuntu-Safe-Download.zip 的惡意檔案,開發者表示攻擊者是利用 WordPress 的一個存在弱點的組件,採取暴力破解方式取得網站存取權限。這次事件只牽涉下載站以及其提供的 Torrent 連結,其餘部分均未受影響,Xubuntu 的建置系統、軟體套件或其他組件皆未受影響。若使用者下載了 Xubuntu-Safe-Download.zip,建議立刻刪除,並使用安全軟體掃描系統。
GCC 指導委員會核准將 Algol 68 前端納入 GCC 主線編譯器 (★ 91 分)
GCC 指導委員會宣布,將把 Algol 68 的前端整合進 GCC 主線程式碼庫,但標示為實驗性功能。此前端不會成為 GCC 預設建置的一部分,也不列入正式版本的必要條件,其他 GCC 開發者也可選擇不處理與其相關的問題。若前端後續缺乏維護或逐漸腐朽,便會直接移除。為確保後續開發有人負責,委員會指派 Jose E. Marchesi 擔任此前端的維護者,同時也鼓勵若在主線以外維護前端有困難,開發者可提出具體做法,以便在 GCC 儲存庫的分支中更容易維持相關程式。
Hacker News 討論多集中在 Algol 68 的歷史地位與語言特性。許多開發者指出,現代語言的大部分概念都可追溯到 Algol 系列,而 Algol 68 在當時以高度形式化、設計完整與語義一致性著稱,被形容為那個年代的 Scala,具有大量創新,卻也因規格太複雜而難以實作。部分留言表示,C 其實更接近 Algol 68 的精神,例如型別系統、結構與指標概念的延續;另一派則認為 C 走上不同方向,是更務實但也留下許多問題的設計取捨。
不少人分享自己對 Algol 68 的興趣,有人把它視為有趣的歷史語言,也有人認為其設計理念若持續發展,可能會成為比 C++ 更乾淨的語法體系。也有人提到過去難以真正找到可執行的實作,導致它成為「影響深遠但少有人真正使用」的語言。然而,這次 GCC 納入實驗性前端,讓更多人能以現代工具嘗試這門語言,對愛好者而言十分吸引人。
討論後段也延伸到開放原始碼在企業需求與黑客文化之間的差異。有人指出,企業常聚焦於統一平台與現代語言的支援,而黑客導向的自由軟體社群則傾向維持對舊語言與舊系統的延續性。這讓 Algol 68、Modula-2 等歷史語言反而比 Go 的 GCC 前端獲得更多近期貢獻,也讓一些人感嘆當前社群對歷史與舊程式的重視逐漸減少。
整體而言,GCC 納入 Algol 68 前端在技術層面上的實質影響有限,但在文化與歷史意義上引起熱烈反應。對喜愛老語言、研究語言設計、或想理解現代語言根源的開發者來說,這是一個值得慶祝的新機會。
👥 28 則討論、評論 💬
https://news.ycombinator.com/item?id=46020151
GCC 指導委員會宣布,將把 Algol 68 的前端整合進 GCC 主線程式碼庫,但標示為實驗性功能。此前端不會成為 GCC 預設建置的一部分,也不列入正式版本的必要條件,其他 GCC 開發者也可選擇不處理與其相關的問題。若前端後續缺乏維護或逐漸腐朽,便會直接移除。為確保後續開發有人負責,委員會指派 Jose E. Marchesi 擔任此前端的維護者,同時也鼓勵若在主線以外維護前端有困難,開發者可提出具體做法,以便在 GCC 儲存庫的分支中更容易維持相關程式。
Hacker News 討論多集中在 Algol 68 的歷史地位與語言特性。許多開發者指出,現代語言的大部分概念都可追溯到 Algol 系列,而 Algol 68 在當時以高度形式化、設計完整與語義一致性著稱,被形容為那個年代的 Scala,具有大量創新,卻也因規格太複雜而難以實作。部分留言表示,C 其實更接近 Algol 68 的精神,例如型別系統、結構與指標概念的延續;另一派則認為 C 走上不同方向,是更務實但也留下許多問題的設計取捨。
不少人分享自己對 Algol 68 的興趣,有人把它視為有趣的歷史語言,也有人認為其設計理念若持續發展,可能會成為比 C++ 更乾淨的語法體系。也有人提到過去難以真正找到可執行的實作,導致它成為「影響深遠但少有人真正使用」的語言。然而,這次 GCC 納入實驗性前端,讓更多人能以現代工具嘗試這門語言,對愛好者而言十分吸引人。
討論後段也延伸到開放原始碼在企業需求與黑客文化之間的差異。有人指出,企業常聚焦於統一平台與現代語言的支援,而黑客導向的自由軟體社群則傾向維持對舊語言與舊系統的延續性。這讓 Algol 68、Modula-2 等歷史語言反而比 Go 的 GCC 前端獲得更多近期貢獻,也讓一些人感嘆當前社群對歷史與舊程式的重視逐漸減少。
整體而言,GCC 納入 Algol 68 前端在技術層面上的實質影響有限,但在文化與歷史意義上引起熱烈反應。對喜愛老語言、研究語言設計、或想理解現代語言根源的開發者來說,這是一個值得慶祝的新機會。
👥 28 則討論、評論 💬
https://news.ycombinator.com/item?id=46020151
一個密碼學研究機構舉辦選舉卻無法解密投票結果 (★ 65 分)
國際密碼學研究協會 IACR 在今年例行的理監事選舉中,使用高度保密的電子投票系統 Helios,採取將解密私鑰拆分成三份,由三名受託人共同掌管的做法。然而其中一名受託人遺失了自己的私鑰分片,導致三把鑰匙無法湊齊,投票結果也因此無法解密。IACR 最終只能宣布該次選舉作廢並重新舉行,同時發布說明函件向成員致歉,並計畫將未來的解密門檻改為「三取二」以避免單點失誤癱瘓整個流程。
IACR 表示,未來會提供更明確的書面流程給受託人遵循,以減少操作風險。作為匯聚全球數千名密碼學研究者的專業組織,IACR 長年推動密碼學理論與實作的研究,這次事件反而凸顯在實務操作中,安全機制不只涉及理論可靠性,也必須兼顧可用性與人為流程的易錯性。
在 Hacker News 的討論中,許多評論認為這個事件正好說明「過度強調保密性反而犧牲可用性」的典型案例。一些資安從業者指出,三取三的門檻原本就容易因為任何一人發生意外(例如私鑰遺失或設備故障)而導致系統完全無法運作,因此 IACR 改成三取二被視為更合理的安全設計。也有人強調,不該把問題完全歸咎於人為失誤,因為任何關鍵系統本來就應避免讓單點故障造成全面癱瘓。
部分討論則質疑是否有人可能以「遺失」為名刻意阻撓選舉,但許多參與 IACR 的研究者反駁這種推測不具可信度,認為此事件更像是高壓工作環境下的偶發疏失。也有內部成員分享,IACR 多年來使用 Helios 時其實已討論過門檻式解密的重要性,只是 Helios 的原生設計並未讓分散式門檻解密變得容易,才導致目前的結果。
整體來看,討論多半聚焦於系統設計的可用性、密鑰管理在人類流程中的脆弱性,以及密碼學社群自身也難以完全避免操作錯誤的反諷意味。事件雖然麻煩,但多數人認為其實影響有限,反而提供一次難得的真實案例,凸顯密碼學技術與可用性工程之間的落差。
👥 31 則討論、評論 💬
https://news.ycombinator.com/item?id=46020596
國際密碼學研究協會 IACR 在今年例行的理監事選舉中,使用高度保密的電子投票系統 Helios,採取將解密私鑰拆分成三份,由三名受託人共同掌管的做法。然而其中一名受託人遺失了自己的私鑰分片,導致三把鑰匙無法湊齊,投票結果也因此無法解密。IACR 最終只能宣布該次選舉作廢並重新舉行,同時發布說明函件向成員致歉,並計畫將未來的解密門檻改為「三取二」以避免單點失誤癱瘓整個流程。
IACR 表示,未來會提供更明確的書面流程給受託人遵循,以減少操作風險。作為匯聚全球數千名密碼學研究者的專業組織,IACR 長年推動密碼學理論與實作的研究,這次事件反而凸顯在實務操作中,安全機制不只涉及理論可靠性,也必須兼顧可用性與人為流程的易錯性。
在 Hacker News 的討論中,許多評論認為這個事件正好說明「過度強調保密性反而犧牲可用性」的典型案例。一些資安從業者指出,三取三的門檻原本就容易因為任何一人發生意外(例如私鑰遺失或設備故障)而導致系統完全無法運作,因此 IACR 改成三取二被視為更合理的安全設計。也有人強調,不該把問題完全歸咎於人為失誤,因為任何關鍵系統本來就應避免讓單點故障造成全面癱瘓。
部分討論則質疑是否有人可能以「遺失」為名刻意阻撓選舉,但許多參與 IACR 的研究者反駁這種推測不具可信度,認為此事件更像是高壓工作環境下的偶發疏失。也有內部成員分享,IACR 多年來使用 Helios 時其實已討論過門檻式解密的重要性,只是 Helios 的原生設計並未讓分散式門檻解密變得容易,才導致目前的結果。
整體來看,討論多半聚焦於系統設計的可用性、密鑰管理在人類流程中的脆弱性,以及密碼學社群自身也難以完全避免操作錯誤的反諷意味。事件雖然麻煩,但多數人認為其實影響有限,反而提供一次難得的真實案例,凸顯密碼學技術與可用性工程之間的落差。
👥 31 則討論、評論 💬
https://news.ycombinator.com/item?id=46020596