HackerNews中文版HackerNews CN
GitHubTwitter
返回首页

最新

请大家停止使用 curl | sudo bash,好吗?
6作者: b1125 天前原帖
使用 `<p>curl -s https://url | sudo bash<p>` 这种方式简直是疯狂。给予了根权限。我们知道账户是如何被攻破的,因此显然有可能这个网址会被黑客替换成恶意内容。我们甚至见过黑客入侵页面,返回标准页面,同时只针对少数人(例如地理位置)发送恶意数据。 然而,也有可能返回的是格式错误的文本。Bash 会乐意执行每一行代码,例如: ``` E#@%SDVsdcvxdsf4a6t4g erfgrr;rm * regdfgereridbd 4524wfasrfv4 ``` 很难想象这样的输出?是的。不可能吗?绝对不是。在典型的 Linux 安装中,Bash 可以访问成千上万的命令,其中许多是具有破坏性的。为什么还要冒这个险呢? 除了格式错误之外,可能还会出现简单的发布错误。错误信息中可能包含代码行。未知文本。每一行返回的文本都会被执行。我简直无法相信这种情况在任何地方、出于任何原因都存在。我甚至不会在我自己的个人网络服务器上执行这样的命令,更不用说远程了。 当我在项目页面上看到这样的荒谬时,这对我来说是一个巨大的警示信号。便利性胜过最基本的安全性,甚至连简单的验证都没有,确保 curl 请求没有出错。由此产生的不信任感如同喉咙中的胆汁,项目作者采取了什么其他捷径,似乎对最基本的风险评估几乎一无所知? 请,永远不要执行这个。如果你不得不抛弃所有的理智和谨慎,使用一个建议这种安装方法的项目……那么,至少用 `curl > file` 并花一秒钟查看结果。
展示HN:Notation – 一款iOS国际象棋教练(使用Stockfish和可选的BYOK Claude)
1作者: darrenc815 天前原帖
嗨,HN。 我是一位来自英国的中年单身iOS开发者,稍微有些疲惫,想知道是否有人对我正在开发的项目感兴趣。我是一个终身的国际象棋爱好者,虽然水平不高,但一直在努力提高,最近我开始开发一个名为“Notation: Chess Coach”的应用。 这个应用在App Store上线已经一个月了,表现一般,但我学到了很多东西……主要是让我的大脑放慢速度,停下来,测试每个功能两次,绝不在疲惫时提交!提交永远可以再等一天! 很多人会在chess.com或lichess上玩,也有很多人在应用程序和线下比赛中参与。我的应用(我希望是不同的)是将这些数据整合在一起。 你可以导入你的棋局PGN,连接到chess.com和lichess,进行游戏同步,或者在应用中直接下棋。如果你有Chessnut电子棋盘,也可以在现实中使用它进行游戏。 每一局棋、每一个走法都会通过一系列设备上的检测器和分类器进行分析。我并不是在说“我运行Stockfish 18并给出你的走法评估”,像大多数工具那样……这背后还有很多更多的内容。 如果有人感兴趣,我很乐意在评论中详细讨论! 然后,它会利用这些数据(在设备上——没有广告,没有追踪器,没有订阅,除非你想分享数据)来创建你的游戏档案,你可以在仪表板上查看,或者导出为PDF——这就是你的教练报告——显示你在哪些方面以及如何改进。 大多数应用会说Nd6是一个失误,而我的应用可以告诉你为什么。为此,我创建了一个教练Nadia,当在练习游戏中启用时,她会在你下棋时观察你,主动提出改进建议,并通过棋盘位置与你进行交流——设备上的文本转语音和模板使这一切成为可能,同时还融入了一些Apple的基础模型。 我的原则一直是数据隐私和无订阅。 在最新版本中,有一个“影子”对手——字面意思是与自己对弈——相同的开局,相同的弱点,相同的策略。 现在,由于Apple设备的限制,运行更大模型在设备上并不实际……期待WWDC和Gemini……我添加了一个100%可选的功能,你可以为你选择的服务添加API密钥,并使用云端的LLM来帮助解读你的教练数据——全面的游戏回顾、单独位置评估,以及即将推出的对手侦察报告,实际上是基于你与该对手对弈时的表现——没有人这样做,他们都只是说“这个人玩x”。 但是——我强调——这是可选的,并且使用用户自己的API密钥,所以这是他们的数据/选择。我看不到任何内容,并且发送的数据负载结构非常明确,以确保没有任何幻觉的可能性。 如果有人想查看输出,我很乐意分享样本。 App Store: [https://apps.apple.com/us/app/notation-chess-coach/id6759826744](https://apps.apple.com/us/app/notation-chess-coach/id6759826744)
上一页1...6566676869...5932下一页